ISO 27000 Gestión de la seguridad de la información (Fundamentos y vocabulario) Fue publicada el 1 de mayo de 2009 y contemplan en forma introductoria todos los aspectos fundamentales que enfocan un SGSI, una descripción del ciclo PHVA, al igual que las definiciones de los términos que se emplean en toda la serie 27000.
ISO 27001 Especificaciones para un SGSI Fue publicada el 15 de Octubre de 2005, la cual enmarca los requisitos y/o especificaciones del SGSI. Fue originaria de la BS 7799-2:2002, siendo identificada actualmente como norma ISO 27001:2005. Esta es la norma certificable en la actualidad por los auditores externos de los SGSI de las diferentes empresas. En esta norma se enumera en forma resumida, los objetivos de control y controles, para que sean seleccionadas por las empresas que desean implantar el SGSI. Si bien es cierto que no es de carácter obligatorio que se implementen todos los controles de esta norma, la empresa debe justificar ante los auditores la no aplicabilidad de los controles cuando estén en el proceso de evaluación para una certificación.
ISO 27002 código de buenas prácticas Publicado el 1 de julio de 2007. Esta norma no es certificable, es una guía de buenas prácticas que detalla los objetivos de control y controles recomendables en los aspectos de seguridad de la información. En cuanto a seguridad de la información. La ISO 27002, contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
ISO 19011 Auditoria de gestión para la calidad ambiental Reemplaza a la serie anterior ISO 10011 de auditorias de sistemas de gestión de la calidad (SGC) y proporciona lineamientos para las auditorías de primera, segunda y tercera parte de sistemas de gestión de la calidad y ambientales. Aunque la mayor parte de la norma es aplicable a auditorías de tercera parte, no todos sus apartados son directamente aplicables. La norma presenta opciones relacionadas con metodos de auditoría y con las competencias de los auditores, pero su contenido no es de cumplimento obligatorio.
ISO 27003 Guía de implantación de un SGSI Publicado el 1 de Febrero de 2010. Esta norma no es certificable y proporciona una guía que contempla todos los aspectos necesarios para el diseño e implementación de un SGSI de acuerdo a la norma certificable ISO/IEC 27001:2005. El objetivo de esta norma es describir las especificaciones y diseño en el proceso de la implementación del SGSI.
ISO 27004 Sistema de métricas e indicadores Fue publicada el 15 de diciembre de 2009. Esta norma es una guía que permite determinar la eficacia de la implantación de un SGSI a través del desarrollo y utilización de métricas y técnicas de medida y los controles o grupos de controles implementados según ISO/IEC 27001.
ISO 27005 Gestión de riesgos Publicada en Junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve por tanto de apoyo a la ISO 27001 y a la implantación de un SGSI.
ISO 27006 Especificaciones para Organismos Certificadores de SGSI Fue publicada en su primera edición el 1 de marzo de 2007 y su segunda edición el 1 de diciembre de 2011. Esta norma específica los requisitos para la acreditación de entidades de auditoría y certificación de SGSI. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
ISO 27007 Guía para auditar un SGSI Fue publicada el 14 de Noviembre de 2011. Es una guía para la aplicación de auditorías a un SGSI como complemento especificado en ISO 19011, no es una norma certificable.
ISO 27008 Auditoria de Controles Proporciona una guía en la revisión de la implementación y operación de los controles, incluyendo la comprobación del cumplimiento técnico. Está dirigido principalmente a los auditores de seguridad de la información para verificar el cumplimiento técnico de los controles de seguridad de la información de una organización según la norma ISO / IEC 27002 y otras normas de control utilizadas por la organización.
ISO 27011 Sistema de gestión de la seguridad de la información Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051.