3 minute read
PRINCIPALES CAMBIOS EN LA VERSIÓN 2022 DE ISO/IEC
27001
• Número de controles: 114 vs. 93 (agrupados de manera más sencilla y evita repeticiones).
Advertisement
• Categorías de control: la versión 2013 está dividida por dominios y subdominios. La versión 2022 está dividida por 4 categorías que son: organizacionales, personas, tecnológicos y físicos.
• Nuevos controles: 12
• Controles eliminados: 16
• Atributos de control para poder reagruparlos.
Anexo A son más de forma que de fondo, como explicaremos a continuación.
CAMBIOS EN EL SISTEMA DE GESTIÓN Y ALINEACIÓN CON LA ESTRUCTURA ARMONIZADA
El texto de las cláusulas obligatorias 4 a 10 ha cambiado solo ligeramente, principalmente para alinearse con ISO 9001, ISO 14001 y otras normas de gestión ISO, y con el Anexo SL, que establece una estructura común para estas normas de sistemas de gestión.
• Cambio de nombre, para adoptar el nuevo nombre de la familia de normas desarrolladas por el comité ISO/IEC JTC 1/SC 27 “Information security, cybersecurity and privacy protection”.
• Alineación con la Estructura Armonizada (HS) de las directivas ISO/ IEC parte 2.
• La parte principal de la norma ISO/IEC 27001, es decir, las cláusulas 4 a 10, ha cambiado solo ligeramente.
• Los cambios en los controles de seguridad del Anexo A son moderados.
En general, los cambios en la revisión ISO/IEC 27001:2022 son pequeños a moderados. La parte principal de la norma sigue con 10 cláusulas, y los cambios en esta parte de la norma son pequeños.
A primera vista, el Anexo A ha cambiado mucho: el número de controles ha disminuido de 114 a 93, y se organiza en solo cuatro secciones en lugar de las 14 secciones de la versión 2013. Sin embargo, después de una mirada más cercana, queda claro que los cambios en el
En la cláusula 4.2 (Comprensión de las necesidades y expectativas de las partes interesadas), se agregó el inciso c) que requiere un análisis de cuáles de los requisitos de las partes interesadas deben abordarse a través del SGSI.
En la cláusula 4.4 (Sistema de gestión de seguridad de la información), se agregó una frase que requiere la planificación de procesos e interacciones como parte del SGSI.
En el primer párrafo del 4.4 después de “… sistema de gestión de seguridad de la información, de acuerdo a los requisitos…” se incluyó “… sistema de gestión de seguridad de la información, incluyendo los procesos necesarios y sus interacciones, de acuerdo con los requisitos…”
En la cláusula 5.1 agrega una nota: “La referencia a “negocio” en este documento puede interpretarse en sentido amplio para referirse a aquellas actividades que son fundamentales para los propósitos de la existencia de la organización.”
Al final del primer párrafo de 5.3 se incluye que la comunicación de los roles deben ser “… comunicados dentro de la organización.
En la cláusula 6.2 (Objetivos de seguridad de la información y planificación para lograrlos), se agregó el inciso d) que requiere que los objetivos sean monitoreados y que deben estar disponibles como información documentada.
Se agregó Un nuevo requisito en la nueva cláusula 6.3 (Planificación de cambios), que requiere que cualquier cambio en el SGSI se realice de manera planificada.
En la cláusula 7.4 (Comunicación), se modifican los incisos, agregando el c) y d) sobre a quién comunicar y cómo comunicar los aspectos relevantes del SGSI. Se eliminó el inciso e), que requería establecer procesos para la comunicación.
En la cláusula 8.1 (Planificación y control operacional), cambio su estructura, aunque el contenido es similar.
El 9.1 tiene cambios en el orden de los párrafos: el primer párrafo se mueve al final de esa sub-cláusula.
El 9.2 se divide en 9.2.1 general y 9.2.2 programa de auditoría interna y el 9.3 también se divide en 9.3.1 general, 9.3.2 insumos para la revisión por la dirección y 9.3.3 resultados de la revisión por la dirección.
En la cláusula 10 (Mejora), las sub-cláusulas han cambiado de lugar, por lo que la primera es Mejora continua (10.1) y la segunda es No conformidad y acción correctiva (10.2), pero el texto de esas cláusulas no ha cambiado.
Cambios En Los Controles De Seguridad Del Anexo A
En realidad, los cambios en el Anexo A no son tan grandes, porque la mayoría de los controles han permanecido iguales (35 de ellos) o solo han sido renombrados (23) de hecho podemos encontrar como anexo a la norma ISO/IEC 27002 un mapeo entre los controles de la versión 2013 con los de la 2022 y veremos que la mayoría tiene una correspondencia directa, simplemente 57 controles se fusionaron o simplificaron para evitar repeticiones.
Hay 11 controles nuevos, que fueron necesarios debido a las tendencias en TI y seguridad. Algunos ejemplos son la Inteligencia de amenazas, Seguridad de la información para el uso de servicios en la nube, Eliminación de información y enmascaramiento de datos.
Periodo De Transici N
Según el documento MD26 “Requisitos de transición para ISO/IEC 27001:2022” del Foro Internacional de Acreditación, para las empresas que ya están certificadas contra ISO 27001:2013, la transición a ISO 27001:2022 debe completarse antes del 31 de octubre de 2025, tres años después de su publicación.
Los organismos de certificación deben comenzar a certificar a las empresas según ISO 27001:2022 a más tardar el 31 de octubre de 2023, pero varios organismos han comenzado con esta evaluación mucho antes.
Consejo: si ya ha implementado versión de 2013 de la norma y desea hacer la transición a la versión de 2022 de ISO/IEC 27001, los anexos al final de la ISO/IEC 27002 y los cambios descritos anteriormente ayudará a establecer un programa de trabajo para la migración.
ANDREA SARAVIA DIRECTORA DE DESARROLLO ORGANIZACIONAL, INTEGRA
