ISO/IEC 27000 en seguridad informática para oposiciones
Sistema de Gestión de la Seguridad de la Información (SGSI) según la familia ISO/IEC 27000.
Idea clave para el examen
La ISO/IEC 27000 define el Sistema de Gestión de la Seguridad de la Información (SGSI) como el conjunto de elementos interrelacionados que usa una organización para establecer su política y objetivos de seguridad, basándose en análisis de riesgo y mejora continua.
Definición sencilla
La familia ISO/IEC 27000 engloba las normas de sistemas de gestión de seguridad de la información (SGSI).
Un SGSI es un sistema de gestión que define políticas, objetivos, procesos y controles para preservar la confidencialidad, integridad y disponibilidad de la información.
Se basa en un enfoque de gestión del riesgo y de mejora continua, normalmente siguiendo el ciclo PDCA (Plan-Do-Check-Act).
No es lo mismo que la seguridad de la información en general (que es el concepto amplio) ni que la gestión de incidentes (que es una parte concreta).
Ejemplo práctico
Si una Administración quiere certificarse en seguridad, implanta un SGSI basado en ISO/IEC 27001 (que es la norma certificable de la familia).
Familia ISO/IEC 27000:
27000: vocabulario y definiciones
27001: requisitos del SGSI (certificable)
27002: controles de seguridad
27005: gestión de riesgosErrores habituales
- Confundir el SGSI con la seguridad de la información: el SGSI es el sistema de gestión que la asegura.
- Pensar que un SGSI es solo comprar herramientas: también incluye políticas, procesos y mejora continua.
- Olvidar que la norma certificable de la familia es la 27001, no la 27000.
Pregunta real de examen
Fuente: INAP Cuestionario AUX-L MODELO A (2025) — pregunta 12, pagina 10 del PDF | Plantilla definitiva
Pregunta oficial del examen INAP AUX-L 2025, numero 12 (pagina 10 del PDF), clave C validada contra la plantilla definitiva.
Según la ISO/IEC 27000, el conjunto de elementos interrelacionados o interactuantes que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua, ¿qué nombre recibe?
- Sistema de Información.
- Sistema de Gestión de la Seguridad de la Información.
- Seguridad de la Información.
- Gestión de Incidentes de Seguridad de la Información.
Respuesta correcta: C
Explicación: La respuesta correcta (C) es Sistema de Gestión de la Seguridad de la Información (SGSI). Un SGSI es, según la familia ISO/IEC 27000, el conjunto de elementos interrelacionados (políticas, procesos, controles, personas y herramientas) que una organización usa para establecer su política de seguridad, fijar objetivos y alcanzarlos mediante un enfoque de gestión del riesgo y de mejora continua (ciclo PDCA: Plan-Do-Check-Act). Por qué las otras son incorrectas: A) Sistema de Información es un concepto más amplio, incluye hardware, software, datos, personas y procedimientos sin centrarse en seguridad; B) Seguridad de la Información es el concepto general (preservar confidencialidad, integridad y disponibilidad) pero no es un "sistema de gestión" en sí; D) Gestión de Incidentes de Seguridad es solo una parte del SGSI, no su definición completa. Clave validada contra la plantilla definitiva de INAP AUX-L 2025, pregunta 12, fila 12 de la segunda parte, pagina 10 del cuestionario.
También debes conocer
Siguiente paso útil
Si quieres preparar estos conceptos con explicaciones guiadas, ejercicios y tests, puedes pedirme información del curso de informática para oposiciones.