27001-2022 - Español
27001-2022 - Español
27001-2022 - Español
INTERNACIONAL 27001
Tercera edición
2022-10
Página de contenidos
Prólogo....................................................................................................................................................................................iv
Introducción..............................................................................................................................................................................v
1 Alcance.......................................................................................................................................................................1
2 Referencias normativas ...........................................................................................................................................1
3 Términos y definiciones.............................................................................................................................................1
4 Contexto de la organización......................................................................................................................................1
4.1 Comprender la organización y su contexto..................................................................................................1
4.2 Comprender las necesidades y expectativas de las partes interesadas ...................................................1
4.3 Determinación del alcance del sistema de gestión de la seguridad de la información ............................2
4.4 Sistema de gestión de la seguridad de la información ..............................................................................2
5 Liderazgo...................................................................................................................................................................2
5.1 Liderazgo y compromiso..............................................................................................................................2
5.2 Política..........................................................................................................................................................3
5.3 Funciones, responsabilidades y autoridades de la organización ...............................................................3
6 Planificación...............................................................................................................................................................3
6.1 Acciones para abordar riesgos y oportunidades..........................................................................................3
Generalidades
6.1.1 Información seguridad riesgo evaluación.......................................................................................4
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
4
Introducción
1.1 General
Este documento ha sido preparado para proporcionar los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de seguridad de la información. La adopción de un sistema de gestión de seguridad
de la información es una decisión estratégica para una organización. El establecimiento e implementación del sistema de
gestión de seguridad de la información de una organización está influenciado por las necesidades y objetivos de la
organización, los requisitos de seguridad, los procesos organizativos utilizados y el tamaño y la estructura de la
organización. Se espera que todos estos factores influyentes cambien con el tiempo.
El sistema de gestión de la seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la
información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas de que
los riesgos se gestionan adecuadamente.
Es importante que el sistema de gestión de seguridad de la información forme parte de los procesos de la organización y
la estructura general de gestión y que la seguridad de la información se tenga en cuenta en el diseño de procesos,
sistemas de información y controles. Se espera que la implementación de un sistema de gestión de seguridad de la
información se escale de acuerdo con las necesidades de la organización.
Este documento puede ser utilizado por partes internas y externas para evaluar la capacidad de la organización para
cumplir con los propios requisitos de seguridad de la información de la organización.
El orden en que se presentan los requisitos en este documento no refleja su importancia ni implica el orden en que
deben implementarse. Los elementos de lista se enumeran sólo con fines de referencia.
ISO/IEC 27000 describe la visión general y el vocabulario de los sistemas de gestión de seguridad de la información,
haciendo referencia a la familia de normas de sistemas de gestión de seguridad de la información (incluyendo ISO/IEC
27003[2], ISO/IEC 27004[3] e ISO/IEC 27005[4]), con términos y definiciones relacionados.
5
Seguridad de la información, ciberseguridad y protección de la
privacidad — Sistemas de gestión de la seguridad de la información
— Requisitos
1 Alcance
Este documento especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de
gestión de seguridad de la información dentro del contexto de la organización. Este documento también incluye requisitos
para la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la
organización. Los requisitos establecidos en este documento son genéricos y están destinados a ser aplicables a todas
las organizaciones, independientemente de su tipo, tamaño o naturaleza. La exclusión de cualquiera de los requisitos
especificados en las Cláusulas 4 a 10 no es aceptable cuando una organización reclama conformidad con este
documento.
2 Referencias normativas
Este documento especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de
gestión de seguridad de la información en el contexto de la organización. Este documento también incluye requisitos para
la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la
organización. Los requisitos establecidos en este documento son genéricos y están destinados a ser aplicables a todas
las organizaciones, independientemente de su tipo, tamaño o naturaleza. Excluir cualquiera de los requisitos
especificados en las Cláusulas 4 a 10 no es aceptable cuando una organización reclama la conformidad con este
documento.
3 Referencias normativas
Los siguientes documentos se mencionan en el texto de tal manera que parte o la totalidad de su contenido constituye
requisitos de este documento. Para referencias fechadas, solo se aplica la edición citada. Para referencias sin fecha, se
aplica la última edición del documento al que se hace referencia (incluidas las modificaciones).
ISO/IEC 27000, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la
información — Visión general y vocabulario
4 Términos y definiciones
A los efectos de este documento, se aplican los términos y definiciones dados en ISO/IEC 27000.
ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:
— ISO en línea ramoneo plataforma: disponible en https://www.iso.org/obp
— IEC Electro pedía: disponible en https://www.electropedia.org/
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
6
4 Contexto de la organización
4.1 Comprender la organización y su contexto
La organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afectan
su capacidad para lograr los resultados previstos de su sistema de gestión de seguridad de la información.
NOTA La determinación de estas cuestiones se refiere a establecer el contexto externo e interno de la organización considerada en
la Cláusula 5.4.1 de ISO 31000:2018[5].
NOTA Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y obligaciones contractuales.
5 Liderazgo
7
e) garantizar que el sistema de gestión de la seguridad de la información logre los resultados previstos ;
f) dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión de la seguridad de la
información;
g) promover la mejora continua; y
h) apoyar a otros roles gerenciales relevantes para demostrar su liderazgo tal como se aplica a sus áreas de
responsabilidad.
NOTA La referencia a "negocios" en este documento puede interpretarse en sentido amplio para significar aquellas
actividades que son fundamentales para los propósitos de la existencia de la organización.
5.2 Política.
La alta dirección establecerá una política de seguridad de la información que:
a) es apropiado para el propósito de la organización;
b) incluya objetivos de seguridad de la información (véase 6.2) o proporcione el marco para establecer objetivos de
seguridad de la información;
c) incluye el compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información;
d) incluye un compromiso con la mejora continua del sistema de gestión de seguridad de la información. La política de
seguridad de la información deberá:
e) estar disponible como información documentada;
f) ser comunicado dentro de la organización;
g) estar a disposición de las partes interesadas, según proceda.
6 Planeación.
6.1.1 General
Al planificar el sistema de gestión de seguridad de la información, la organización debe considerar los problemas
mencionados en 4.1 y los requisitos mencionados en 4.2 y determinar los riesgos y oportunidades que deben abordarse
para:
a) garantizar que el sistema de gestión de la seguridad de la información pueda lograr los resultados previstos;
b) prevenir o reducir los efectos no deseados;
c) lograr la mejora continua.
8
La organización debe planificar:
d) acciones para abordar estos riesgos y oportunidades; y
e) Cómo
1) integrar e implementar las acciones en los procesos de su sistema de gestión de seguridad de la información;
y
2) Evaluar la efectividad de estas acciones.
1) evaluar las posibles consecuencias que se derivarían si los riesgos identificados en 6.1.2 c) 1) fueran
Materializar;
2) evaluar la probabilidad realista de que se produzcan los riesgos identificados en 6.1.2 c) 1); y
3) determinar los niveles de riesgo;
e) Evalúa los riesgos de seguridad de la información:
1) comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos en 6.1.2 a); y
2) Priorizar los riesgos analizados para el tratamiento de riesgos.
La organización debe conservar información documentada sobre la evaluación de riesgos de seguridad de la información.
proceso.
c) comparar los controles determinados en el punto 6.1.3 b) con los del Anexo A y comprobar que no se ha omitido
ningún control necesario;
NOTA 2 El Anexo A contiene una lista de posibles controles de seguridad de la información. Los usuarios de este documento son
9
dirigido al Anexo A para garantizar que no se pasen por alto los controles de seguridad de la información necesarios.
NOTA 3Los controles de seguridad de la información enumerados en el anexo A no son exhaustivos y, si es necesario,
pueden incluirse controles adicionales de seguridad de la información.
— justificación de su inclusión;
— si se aplican o no los controles necesarios; y
— la justificación para excluir cualquiera de los controles del anexo A .
e) formular un plan de tratamiento de riesgos de seguridad de la información; y
f) Obtener la aprobación de los propietarios de riesgos del plan de tratamiento de riesgos de seguridad de la
información y la aceptación de los riesgos residuales de seguridad de la información.
La organización debe retener información documentada sobre el tratamiento de riesgos de seguridad de la información.
proceso.
NOTA 4El proceso de evaluación y tratamiento de riesgos de seguridad de la información en este documento se alinea con
los principios y directrices genéricas proporcionadas en ISO 31000 [5].
La organización debe conservar información documentada sobre los objetivos de seguridad de la información.
Al planificar cómo lograr sus objetivos de seguridad de la información, la organización debe determinar:
h) qué se hará;
i) qué recursos se necesitarán;
j) quién será responsable;
k) cuándo se completará; y
l) cómo se evaluarán los resultados.
1
0
6.3 Planificación de cambios
Cuando el organización Determina el necesitar para Cambios Para él información seguridad sistema de gestión, los
cambios se llevarán a cabo de manera planificada.
7 Apoyo
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación,
mantenimiento y mejora continua del sistema de gestión de seguridad de la información.
7.2 Competencia
La organización deberá:
a) determinar la competencia necesaria de la(s) persona(s) que realiza trabajos bajo su control que afectan su
desempeño en materia de seguridad de la información;
b) garantizar que estas personas sean competentes sobre la base de una educación, capacitación o experiencia
adecuadas;
c) en su caso, adoptar medidas para adquirir la competencia necesaria y evaluar la eficacia de las medidas adoptadas;
y
d) Conservar la información documentada apropiada como prueba de competencia.
NOTA Las acciones aplicables pueden incluir, por ejemplo: la provisión de capacitación, la tutoría o la reasignación de empleados
actuales; o la contratación o contratación de personas competentes.
7.4 Comunicación
La organización debe determinar la necesidad de comunicaciones internas y externas relevantes para el sistema de
gestión de seguridad de la información, incluyendo:
a) sobre qué comunicar;
b) cuándo comunicarse;
c) con quién comunicarse ;
d) Cómo comunicarse.
7.5.1 General.
El sistema de gestión de seguridad de la información de la organización debe incluir:
a) información documentada requerida por este documento; y
11
b) Información documentada determinada por la organización como necesaria para la eficacia del sistema de gestión de
seguridad de la información.
NOTA El alcance de la información documentada para un sistema de gestión de seguridad de la información puede diferir de una
organización a otra debido a:
8 Operación
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados,
tomando medidas para mitigar cualquier efecto adverso, según sea necesario.
1
2
La organización debe asegurarse de que los procesos, productos o servicios proporcionados externamente que son
relevantes para el sistema de gestión de seguridad de la información estén controlados.
9.1.2 General
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el
sistema de gestión de seguridad de la información:
a) se ajusta a
1) los requisitos propios de la organización para su sistema de gestión de la seguridad de la información;
13
Al establecer el(los) programa(s) de auditoría interna, la organización debe considerar la importancia de los procesos en
cuestión y los resultados de auditorías anteriores.
La organización deberá:
a) definir los criterios de auditoría y el alcance de cada auditoría;
b) seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
c) garantizar que los resultados de las auditorías se comuniquen a la dirección pertinente;
Se dispondrá de información documentada como prueba de la ejecución del programa o programas de auditoría y de
los resultados de la auditoría.
9.3.1 General
La alta dirección revisará el sistema de gestión de la seguridad de la información de la organización a intervalos
planificados para garantizar su idoneidad, adecuación y eficacia continuas.
Los resultados de la revisión por la dirección incluirán decisiones relacionadas con las oportunidades de mejora
continua y cualquier necesidad de cambios en el sistema de gestión de la seguridad de la información.
Se dispondrá de información documentada como prueba de los resultados de los exámenes por la dirección.
10 Mejora
1
4
10.2 No conformidad y acción correctiva
Cuando ocurra una no conformidad, la organización deberá:
a) reaccionar a la no conformidad y, según corresponda:
1) tomar medidas para controlarlo y corregirlo ;
2) lidiar con las consecuencias;
b) Evaluar la necesidad de acción para eliminar las causas de la no conformidad, a fin de que no se repita u ocurra
en otro lugar, mediante:
1) revisar la no conformidad;
2) determinar las causas de la no conformidad; y
3) determinar si existen o podrían ocurrir no conformidades similares;
c) implementar cualquier acción necesaria;
d) revisar la efectividad de cualquier acción correctiva tomada; y
e) Realice cambios en el sistema de gestión de seguridad de la información, si es necesario. Las
acciones correctivas serán apropiadas a los efectos de las no conformidades encontradas. Se dispondrá
de información documentada como prueba de:
f) la naturaleza de las no conformidades y cualquier acción posterior tomada,
g) los resultados de cualquier acción correctiva.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
15
Anexo A
(Normativo)
Los controles de seguridad de la información enumerados en el cuadro A.1 se derivan directamente de los
enumerados en ISO/IEC 27002:2022[1], Cláusulas 5 a 8, y se utilizarán en contexto con 6.1.3.
1
6
Cuadro A.1 (continuación)
5.12 Clasificación de la información Control
La información se clasificará de acuerdo con las necesidades de seguridad de la
información de la organización en función de la confidencialidad, integridad,
disponibilidad y los requisitos pertinentes de las partes interesadas.
5.13 Etiquetado de la información Control
Se elaborará y aplicará un conjunto adecuado de procedimientos para el
etiquetado de la información de conformidad con el sistema de clasificación de la
información adoptado por la organización.
5.14 Transferencia de información Control
Las reglas, procedimientos o acuerdos de transferencia de información deben
estar en su lugar para todos los tipos de instalaciones de transferencia dentro de la
organización y entre la organización y otras partes.
5.15 Control de acceso Control
Las normas para controlar el acceso físico y lógico a la información y otros activos
asociados se establecerán y aplicarán sobre la base de los requisitos de negocio y
seguridad de la información.
5.16 Gestión de identidades Control
Se gestionará todo el ciclo de vida de las identidades.
5.17 Información de autenticación Control
La asignación y gestión de la información de autenticación se controlará mediante
un proceso de gestión, incluido el asesoramiento al personal sobre el tratamiento
adecuado de la información de autenticación.
5.18 Derechos de acceso Control
Los derechos de acceso a la información y otros activos asociados se
aprovisionarán, revisarán, modificarán y eliminarán de acuerdo con la política y las
reglas específicas del tema de la organización sobre el control de acceso.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
17
Cuadro A.1 (continuación)
5.25 Evaluación y decisión sobre eventos Control
de seguridad en la información
La organización debe evaluar los eventos de seguridad de la información y
decidir si deben clasificarse como incidentes de seguridad de la información.
5.26 Respuesta a la seguridad de la Control
información
Los incidentes de seguridad de la información se responderán de acuerdo con
Incidentes
los procedimientos documentados .
5.27 Aprender de los incidentes de Control
seguridad de la información
Los conocimientos adquiridos en los incidentes de seguridad de la información
se utilizarán para reforzar y mejorar los controles de seguridad de la información.
5.28 Obtención de pruebas Control
La organización debe establecer e implementar procedimientos para la
identificación, recopilación, adquisición y preservación de evidencia relacionada
con eventos de seguridad de la información.
5.29 Seguridad de la información Control
durante
La organización debe planificar cómo mantener la seguridad de la información en
ruptura
un nivel apropiado durante la interrupción.
5.30 Preparación de las TIC para la Control
actividad empresarial La preparación para las TIC se planificará, aplicará, mantendrá y probará sobre la
base de los objetivos de continuidad de las actividades y los requisitos de
continuidad de las TIC.
5.31 Requisitos legales, estatutarios, Control
reglamentarios y contractuales
Los requisitos legales, estatutarios, reglamentarios y contractuales relevantes para
la seguridad de la información y el enfoque de la organización para cumplir con
estos requisitos deben identificarse, documentarse y mantenerse actualizados.
5.32 Derechos de propiedad intelectual Control
La organización aplicará procedimientos apropiados para proteger los derechos de
propiedad intelectual.
5.33 Protección de registros Control
Los registros estarán protegidos contra pérdida, destrucción, falsificación, acceso
no autorizado y divulgación no autorizada.
5.34 Privacidad y protección de la Control
información de identificación personal La organización debe identificar y cumplir con los requisitos relacionados con la
(PII)
preservación de la privacidad y la protección de la PII de acuerdo con las --``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
1
8
ISO/IEC 27001:2022(E)
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
7.9 Seguridad de los activos fuera de las Control
instalaciones
Los activos externos estarán protegidos.
7.10 Medios de almacenamiento Control
Los medios de almacenamiento se gestionarán durante todo su ciclo de vida de
adquisición, uso, transporte y eliminación de acuerdo con el esquema de
clasificación y los requisitos de manipulación de la organización.
7.11 Utilidades de apoyo Control
Las instalaciones de tratamiento de la información deberán estar protegidas
contra fallos de suministro eléctrico y otras interrupciones causadas por fallos en
los servicios públicos de apoyo.
7.12 Seguridad del cableado Control
Los cables que transporten energía, datos o servicios de información de apoyo
estarán protegidos contra interceptaciones, interferencias o daños.
7.13 Mantenimiento de equipos Control
El equipo deberá mantenerse correctamente para garantizar la disponibilidad,
integridad y confidencialidad de la información.
7.14 Eliminación segura o reutilización Control
del equipo
Los equipos que contengan medios de almacenamiento se verificarán para
garantizar que los datos confidenciales y el software con licencia se hayan
eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.
8 Controles tecnológicos
8.1 Dispositivos de punto final de Control
usuario Se protegerá la información almacenada, tratada o accesible a través de
dispositivos de punto final de usuario.
8.2 Derechos de acceso privilegiados Control
Se restringirá y gestionará la asignación y el uso de derechos de acceso
privilegiados.
8.3 Restricción de acceso a la Control
información El acceso a la información y otros activos asociados se restringirá de acuerdo
con la política de control de acceso establecida sobre temas específicos .
8.4 Acceso al código fuente Control
El acceso de lectura y escritura al código fuente, las herramientas de desarrollo y
las bibliotecas de software se gestionará adecuadamente.
15
Cuadro A.1 (continuación)
8.5 Autenticación segura Control
Las tecnologías y procedimientos de autenticación segura se implementarán sobre la
base de las restricciones de acceso a la información y la política de control de
acceso específica del tema.
8.6 Gestión de la capacidad Control
El uso de los recursos se supervisará y ajustará en función de las necesidades
de capacidad actuales y previstas.
8.7 Protección contra malware Control
La protección contra el malware se implementará y estará respaldada por un
conocimiento adecuado del usuario.
8.8 Gestión de las capacidades Control
técnicas Se obtendrá información sobre las vulnerabilidades técnicas de los sistemas de
información en uso , se evaluará la exposición de la organización a dichas
vulnerabilidades y se tomarán las medidas apropiadas.
8.9 Gestión de la configuración Control
Se establecerán, documentarán, aplicarán, supervisarán y revisarán las
configuraciones, incluidas las configuraciones de seguridad, de hardware,
software, servicios y redes.
8.10 Eliminación de información Control
La información almacenada en sistemas de información, dispositivos o en
cualquier otro medio de almacenamiento se eliminará cuando ya no sea necesaria.
8.11 Enmascaramiento de datos Control
El enmascaramiento de datos se utilizará de acuerdo con la política específica del
tema de la organización sobre control de acceso y otras políticas específicas de
temas relacionados, y los requisitos comerciales, teniendo en cuenta la legislación
aplicable .
8.12 Prevención de fuga de datos Control
Se aplicarán medidas de prevención de fuga de datos a los sistemas, redes y
cualquier otro dispositivo que procese, almacene o transmita información sensible.
16
Cuadro A.1 (continuación)
8.18 Uso de programas de utilidad Control
privilegiados El uso de programas de utilidad que puedan ser capaces de anular los controles
del sistema y de la aplicación debe restringirse y controlarse estrictamente.
8.19 Instalación de software en sistemas Control
operativos
Se implementarán procedimientos y medidas para administrar de forma segura la
instalación de software en los sistemas operativos.
8.20 Seguridad de redes Control
Las redes y los dispositivos de red deben estar protegidos, gestionados y
controlados para proteger la información en los sistemas y aplicaciones.
8.21 Seguridad de los servicios de red Control
Se identificarán, aplicarán y supervisarán los mecanismos de seguridad, los
niveles de servicio y los requisitos de servicio de los servicios de red.
8.22 Segregación de redes Control
Los grupos de servicios de información, usuarios y sistemas de información se
separarán en las redes de la organización.
8.23 Filtrado web Control
El acceso a sitios web externos se gestionará para reducir la exposición a
contenidos maliciosos.
8.24 Uso de criptografía Control
Se definirán y aplicarán normas para el uso eficaz de la criptografía, incluida la
gestión de claves criptográficas.
8.25 Ciclo de vida de desarrollo seguro Control
Se establecerán y aplicarán normas para el desarrollo seguro de programas
informáticos y sistemas.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
8.26 Requisitos de seguridad de las Control
aplicaciones Los requisitos de seguridad de la información se identificarán, especificarán y
aprobarán al desarrollar o adquirir aplicaciones.
8.27 Arquitectura segura del sistema y Control
Principios de ingeniería
Se establecerán, documentarán, mantendrán y aplicarán principios para la
ingeniería de sistemas seguros a cualquier actividad de desarrollo de
sistemas de información.
8.28 Codificación segura Control
Los principios de codificación segura se aplicarán al desarrollo de software.
8.29 Pruebas de seguridad en Control
desarrollo y aceptación
Los procesos de pruebas de seguridad se definirán y aplicarán en el ciclo de
vida del desarrollo.
8.30 Desarrollo externalizado Control
La organización dirigirá, supervisará y revisará las actividades relacionadas con el
desarrollo de sistemas subcontratados.
8.31 Separación de entornos de Control
desarrollo, prueba y producción
Los entornos de desarrollo, ensayo y producción deberán estar separados y
protegidos.
8.32 Gestión del cambio Control
Los cambios en las instalaciones de tratamiento de la información y los sistemas
de información estarán sujetos a procedimientos de gestión de cambios.
8.33 Información de la prueba Control
La información del ensayo se seleccionará, protegerá y gestionará adecuadamente.
17
Cuadro A.1 (continuación)
8.34 Protección de los sistemas de Control
información durante las pruebas de
Las pruebas de auditoría y otras actividades de aseguramiento que impliquen la
auditoría
evaluación de los sistemas operativos se planificarán y acordarán entre el
evaluador y la dirección apropiada.
Bibliografía
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
[3] ISO/IEC 27004, Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la
información
— Seguimiento, medición, análisis y evaluación
[4] ISO/IEC 27005, Seguridad de la información, ciberseguridad y protección de la privacidad — Guía sobre la
gestión de los riesgos de seguridad de la información
[5] ISO 31000:2018, Gestión de riesgos — Directrices