Marcos Normativos Internacionales

Normas ISO en la Era Digital
protección de datos · ciberseguridad
inteligencia artificial · información

Catálogo de las normas ISO/IEC más relevantes para la gestión de la seguridad, la privacidad, los sistemas de inteligencia artificial y el gobierno de la información, con explicación concisa y enlaces oficiales.

— Parte I —

Gestión de la Seguridad de la Información

La familia ISO/IEC 27000

ISO/IEC 27000

Vocabulario y panorama general

Define la terminología común usada en toda la familia 27000. Documento de referencia para alinear conceptos entre estándares.

www.iso.org/standard/73906.html

ISO/IEC 27001:2022

Sistema de Gestión de Seguridad de la Información (SGSI)

La norma central y certificable. Establece los requisitos para implementar, mantener y mejorar un SGSI en organizaciones de cualquier tamaño y sector.

www.iso.org/standard/27001

ISO/IEC 27002:2022

Controles de seguridad de la información

Catálogo de 93 controles agrupados en cuatro temas: organizacionales, personas, físicos y tecnológicos. Guía operativa del Anexo A de la 27001.

www.iso.org/standard/75652.html

ISO/IEC 27003

Guía de implementación del SGSI

Aclara cómo aplicar los requisitos de la 27001 paso a paso. Material de soporte para quienes despliegan el sistema por primera vez.

www.iso.org/standard/63417.html

ISO/IEC 27004

Monitoreo, medición y evaluación

Define cómo medir el desempeño y la eficacia del SGSI mediante métricas e indicadores objetivos.

www.iso.org/standard/64120.html

ISO/IEC 27005:2022

Gestión de riesgos de seguridad de la información

Metodología completa compatible con ISO 31000 para identificar, analizar, evaluar y tratar riesgos de seguridad.

www.iso.org/standard/80585.html

ISO/IEC 27007

Directrices para auditar un SGSI

Marco para auditorías internas y externas, alineado con la ISO 19011.

www.iso.org/standard/77802.html

— Parte II —

Ciberseguridad y Continuidad

Respuesta a incidentes, redes, forense digital

ISO/IEC 27031

Preparación de las TIC para la continuidad del negocio

Conecta la seguridad de la información con la continuidad operativa. Complementa la ISO 22301.

www.iso.org/standard/44374.html

ISO/IEC 27032:2023

Directrices para la ciberseguridad de Internet

Cubre la protección frente a amenazas en el ciberespacio: malware, phishing, ingeniería social y colaboración entre partes interesadas.

www.iso.org/standard/76070.html

ISO/IEC 27033

Seguridad de redes (serie multi-parte)

Cubre arquitectura de red, gateways de seguridad, VPN, redes inalámbricas y comunicaciones IP en seis partes.

www.iso.org/standard/63461.html

ISO/IEC 27035 — Partes 1 a 4

Gestión de incidentes de seguridad

Principios, planificación, operaciones de respuesta y coordinación frente a incidentes de seguridad de la información.

www.iso.org/standard/78973.html

ISO/IEC 27036 — Partes 1 a 4

Seguridad en relaciones con proveedores

Marco para gestionar riesgos de la cadena de suministro ICT y la externalización de servicios.

www.iso.org/standard/59648.html

ISO/IEC 27037

Evidencia digital — informática forense

Identificación, recolección, adquisición y preservación de evidencia digital con validez probatoria.

www.iso.org/standard/44381.html

ISO/IEC 27040:2024

Seguridad del almacenamiento de datos

Controles específicos para infraestructuras de almacenamiento: SAN, NAS, cintas, cifrado y borrado seguro.

www.iso.org/standard/80194.html

ISO 22301

Gestión de continuidad del negocio

Norma certificable hermana de la 27001 para resiliencia organizacional ante interrupciones críticas.

www.iso.org/standard/75106.html

— Parte III —

Protección de Datos y Privacidad

PIMS, nube, evaluación de impacto, GDPR-compatibles

ISO/IEC 27701:2025

Sistema de Gestión de Información de Privacidad (PIMS)

En su segunda edición pasó a ser una norma autónoma, ya no es una extensión de la 27001. Alineada con GDPR, CCPA y LGPD; guía específica para responsables y encargados del tratamiento.

www.iso.org/standard/85819.html

ISO/IEC 27017:2015

Controles de seguridad para servicios en la nube

Extensión de la 27002 con controles específicos para proveedores y clientes de cloud computing.

www.iso.org/standard/43757.html

ISO/IEC 27018:2019

Protección de PII en nubes públicas

Estándar de referencia para Google Cloud, AWS y Azure cuando actúan como encargados del tratamiento de datos personales.

www.iso.org/standard/76559.html

ISO/IEC 29100:2024

Marco de privacidad

Define los principios fundamentales: consentimiento, finalidad, minimización, exactitud, transparencia, responsabilidad y limitación.

www.iso.org/standard/85938.html

ISO/IEC 29134:2023

Evaluación de Impacto a la Privacidad (PIA / EIPD)

Metodología equivalente al DPIA exigido por el GDPR; analiza riesgos para los derechos y libertades de los titulares.

www.iso.org/standard/86012.html

ISO/IEC 29151:2017

Código de prácticas para la protección de PII

Complementa los controles de la 27002 con guía específica para el tratamiento responsable de información personal.

www.iso.org/standard/62726.html

ISO/IEC 27555:2021

Directrices para la eliminación de datos personales

Marco para gestionar el borrado seguro de datos personales en cumplimiento del derecho de supresión.

www.iso.org/standard/71673.html

ISO/IEC 27556:2022

Preferencias centradas en el usuario para datos personales

Marco para gestionar las preferencias del titular en el manejo de su información personal.

www.iso.org/standard/71674.html

— Parte IV —

Inteligencia Artificial

Gestión, riesgos, gobernanza y confiabilidad de la IA

ISO/IEC 22989:2022

Conceptos y terminología de IA

La base vocabular sobre la que se construyen todas las demás normas de IA. Define qué es un sistema de IA, modelo, sesgo, dato de entrenamiento, supervisión humana, etc.

www.iso.org/standard/74296.html

ISO/IEC 23053:2022

Marco para sistemas de IA con aprendizaje automático

Describe componentes, ciclo de vida y relaciones de los sistemas de IA basados en ML. Promueve la interoperabilidad.

www.iso.org/standard/74438.html

ISO/IEC 23894:2023

Gestión de riesgos en IA

Guía operativa para integrar la gestión de riesgos específicos de IA con la ISO 31000 dentro del gobierno organizacional.

www.iso.org/standard/77304.html

ISO/IEC 42001:2023

Sistema de Gestión de IA (AIMS)

La primera norma certificable del mundo para gestión de IA. Especifica requisitos para desarrollar, proveer y usar sistemas de IA de forma responsable: gobernanza, transparencia, sesgos, supervisión humana y mejora continua.

www.iso.org/standard/42001

ISO/IEC 42005:2025

Evaluación de impacto de sistemas de IA

Equivalente a la PIA pero para sistemas de IA: analiza efectos en personas, sociedad y medio ambiente derivados del despliegue de IA.

www.iso.org/standard/44545.html

ISO/IEC 42006:2025

Requisitos para organismos de auditoría y certificación de AIMS

Define los criterios que deben cumplir las entidades acreditadas para auditar y certificar bajo la ISO/IEC 42001.

www.iso.org/standard/44546.html

ISO/IEC TR 24028:2020

Confiabilidad (trustworthiness) en IA

Visión general de los atributos de confiabilidad: transparencia, explicabilidad, robustez, controlabilidad y mitigación de sesgos.

www.iso.org/standard/77608.html

ISO/IEC TR 24027:2021

Sesgos en sistemas de IA

Identificación y tratamiento de sesgos en sistemas de IA y en la toma de decisiones asistida por IA.

www.iso.org/standard/77607.html

ISO/IEC TR 24029 — Partes 1 y 2

Robustez de redes neuronales

Métodos para evaluar y mejorar la robustez de redes neuronales frente a perturbaciones, ataques adversariales y casos extremos.

www.iso.org/standard/77609.html

ISO/IEC 5338:2023

Procesos del ciclo de vida de sistemas de IA

Alineada con ISO/IEC 12207 (software) e ISO/IEC 15288 (sistemas). Cubre todo el ciclo de vida del sistema de IA desde la concepción hasta el retiro.

www.iso.org/standard/81118.html

ISO/IEC 38507:2022

Implicaciones de gobernanza del uso de IA

Pensada para juntas directivas y alta dirección. Aborda las implicaciones de gobierno corporativo del uso de IA en la organización.

www.iso.org/standard/56641.html

— Parte V —

Gestión de Información y Gobierno TI

Normas complementarias para una arquitectura integral

ISO/IEC 20000-1:2018

Sistema de gestión de servicios de TI

Norma certificable derivada de las prácticas ITIL. Especifica los requisitos para un sistema integral de gestión de servicios TI.

www.iso.org/standard/70636.html

ISO/IEC 38500:2024

Gobernanza de TI

Principios y modelos para que la alta dirección dirija, evalúe y supervise el uso de la tecnología en la organización.

www.iso.org/standard/81684.html

ISO 30301:2019

Sistemas de gestión de documentos y registros

Records management. Asegura la creación, captura y mantenimiento de evidencia confiable de actividades y transacciones.

www.iso.org/standard/74293.html

ISO/IEC 25012:2008

Modelo de calidad del dato

Define quince características de calidad del dato (exactitud, completitud, consistencia, credibilidad, etc.). Base para gobernanza de datos en IA y privacidad.

www.iso.org/standard/35736.html

ISO/IEC 25024:2015

Medición de la calidad del dato

Métricas y procedimientos para medir las características definidas por la ISO/IEC 25012.

www.iso.org/standard/35749.html

Cómo se interconectan

Las cinco familias no son compartimentos estancos. La ISO/IEC 27001 es la columna vertebral de la seguridad organizacional; la 27701 se acopla para añadir privacidad; la 42001 replica la misma lógica de sistema de gestión aplicada a la inteligencia artificial; las normas 27017 y 27018 especializan los controles para entornos cloud; y las normas 29134 y 42005 son las herramientas de evaluación de impacto en privacidad e IA respectivamente. Una organización madura suele integrar 27001 + 27701 + 42001 bajo una misma estructura (Anexo SL), optimizando auditorías y aprovechando la documentación común.

INTELIGENCIA ARTIFICIAL JURIDICA

19/5/26

NORMAS ISO