6.1. Acciones para tratar riesgos y oportunidades 2013

Se ha publicado la versión 27001:2022. Puedes ver el contenido actualizado aquí

6.1. Acciones para tratar riesgos y oportunidades

6.1.1 Generalidades

Al planificar el sistema de Gestión de Seguridad de la Información, la empresa debe considerar las cuestiones referidas en el numeral 4.1 y los requisitos a que se hace referencia en el numeral 4.2 y determinar los riesgos y oportunidades que es necesario tratar, con el fin de:

a) Asegurarse de que el Sistema de Gestión de Seguridad de la Información pueda conseguir los resultados esperados
b) Prevenir o reducir efectos indeseados
c) Logara la mejora continua
La empresa debe planificar:
a) Las acciones para tratar estos riesgos y oportunidades
b) La manera de integrar e implantar estas acciones en sus procesos del Sistema de Gestión de Seguridad de la Información, además evaluar la eficiencia de las acciones

6.1.2 Valoración de riesgos de la seguridad de la información

La empresa debe definir y aplicar un proceso de valoración de riesgos de la seguridad de la información que:

a) Establecer y mantener los criterios de los riesgos en la seguridad de la información
b) Asegurarse de que las valoraciones repetidas de riesgos de la seguridad de la información produzcan resultados consistentes, válidos y comparables
c) Identificar los riesgos de la seguridad de la información
d) Analizar los riesgos de la seguridad de la información
e) Evaluar los riesgos de seguridad de la información

La empresa debe conservar información documentada sobre el proceso de valoración de riesgos de la seguridad de la información.

6.1.3 Tratamiento de riesgos de la seguridad de la información

La empresa debe definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la información para:

a) Seleccionar las opciones apropiadas de tratamiento de riesgos de la seguridad de la información, se deben tener en cuenta los resultados de la valoración de riesgos
b) Determinar todos los controles que sean necesarios para implantar las opciones escogidas para el tratamiento de riesgo de la seguridad de la información
c) Producir una declaración de aplicabilidad que contenga los controles necesarios y la justificación de las inclusiones, ya sea que se implementen o no, y la justificación para las exclusiones de los controles del Anexo A
d) Formular un plan de tratamiento de riesgo de la seguridad de la información
e) Obtener la aprobación del plan de tratamiento de riesgo de la seguridad de la información y la aceptación de los riesgos residuales de la seguridad de la información

La empresa debe conservar información documentada sobre el proceso de tratamiento de riesgos de la seguridad de la información.

Artículos relacionados

Artículos relacionados

Evaluación de la vulnerabilidad

¿Qué es y cómo realizar una evaluación de la vulnerabilidad?

2 abril, 2026
Manuel.barrera@esginnova.com
Ciberseguridad

Una evaluación de la vulnerabilidad identifica debilidades técnicas y organizativas que un atacante puede explotar, prioriza riesgos y orienta acciones…

Read more
ISO 20000

Conociendo ISO 20000 para Gestión de los Servicios de Tecnología de la Información

28 marzo, 2026
Manuel.barrera@esginnova.com
Seguridad de la Información

ISO 20000 se ha convertido en la referencia para profesionalizar la gestión de servicios de TI, alineando procesos, roles y…

Read more
Seguridad en la nube

ISO 27001 y otros estándares para garantizar la seguridad en la nube

21 marzo, 2026
Manuel.barrera@esginnova.com
ISO/IEC 27001:2022

La adopción masiva de servicios cloud ha cambiado tu modelo de riesgos, y exige tratar la seguridad en la nube…

Read more
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba