Este estándar proporciona orientación a los auditores con respecto a los controles de sistemas de gestión de la seguridad de la información, descritos en el ISO/IEC 27001 y ISO/IEC 27002, seleccionados mediante un enfoque basado en riesgos (análisis de riesgos y posterior construcción del sistema basado en su evaluación).

Respalda el proceso de gestión de riesgos de seguridad de la información descrito en el ISO / IEC 27001.

Ofrece orientación sobre como revisar y evaluar los controles de la seguridad de la información, incluida la evaluación técnica de los controles del sistema de información, el cumplimiento de los requisitos de seguridad de la información establecidos de una organización.

Es aplicable a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas.

El objetivo es que los controles de seguridad sean adecuados para su propósito y eficaces para que mitiguen adecuadamente los riesgos de información de forma aceptable para la organización (rentable y acorde a los objetivos comerciales, políticas y requisitos de la organización).

Para ello esta norma ofrece la flexibilidad necesaria para personalizar las revisiones en base a los objetivos comerciales, políticas y requisitos de la organización

Gracias a este estándar se mejora las auditorias del SGSI a través de la optimización de las relaciones entre su procesos y controles y se garantiza el uso eficiente y efectivo de los recursos de la auditoría.

La primera edición fue publicada en 2011 como ISO / IEC TR 27008: 2011.

La segunda edición ha sido publicada en 2019 como ISO / IEC TS 27008: 2019.

• ISO/IEC 27000-series
• ISO/IEC 27001
• ISO/IEC 27002 (anteriormente ISO/IEC 17799)
• ISO/IEC 27003
• ISO/IEC 27004
• ISO/IEC 27005
• ISO/IEC 27006
• ISO/IEC 27007

• https://www.iso27001security.com/html/27008.html Portal con información sobre ISO/IEC 27008
• https://www.iso.org/obp/ui/#iso:std:iso-iec:ts:27008:ed-1:v1:en Sitio Web oficial del ISO/IEC 27008