Revisión de ISO 27001 2013 vs. 2022: ¿qué ha cambiado?
Después de nueve años, se actualizó ISO 27001, el estándar de seguridad de la información líder en el mundo: el 25 de octubre de 2022 se publicó el nuevo ISO/IEC 27001:2022. Aunque esta revisión trae solo cambios moderados, es importante estudiarlos de cerca: repasemos todos los cambios y veamos cómo se compara esta revisión de 2022 con la anterior revisión de 2013 de ISO 27001.
- La parte principal de ISO 27001, es decir, las cláusulas 4 a 10, ha cambiado solo ligeramente.
- Los cambios en los controles de seguridad del Anexo A son moderados.
- El número de controles ha disminuido de 114 a 93.
- Los controles se colocan en 4 secciones, en lugar de las 14 anteriores.
- Hay 11 controles nuevos, aunque ninguno de los controles se eliminó y muchos controles se fusionaron.
Historial de ISO 27001 e ISO 27002
La primera versión de ISO 27001 se publicó allá por 1999 con el nombre de BS 7799-2 y desde entonces ha sufrido varios cambios.
Puede ver los cambios entre las revisiones de 2005 y 2013 de ISO 27001 en este artículo: Infografía: Nueva revisión de ISO 27001 2013: ¿Qué ha cambiado?
La ISO 27001 no debe confundirse con la ISO 27002: la primera es la norma principal con la que puede certificar su empresa, mientras que la segunda es la norma de apoyo que proporciona pautas sobre la implementación de controles de seguridad. La diferencia más importante es que ISO 27002 no es obligatorio para la certificación ISO 27001 y una empresa no puede obtener la certificación ISO 27002.
ISO 27002 se publicó por primera vez en 1995 con el nombre de BS 7799-1, y en febrero de este año se publicó la revisión de ISO 27002:2022 con la nueva estructura de 93 controles; esta misma estructura de controles fue adoptada por ISO 27001:2022 , como se explica a continuación.
Comparación
En general, en comparación con la revisión de 2013, los cambios en la revisión de ISO 27001:2022 son de pequeños a moderados. La parte principal del estándar permanece con 11 cláusulas, y los cambios en esta parte del estándar son pequeños (ver más abajo).
A primera vista, el Anexo A ha cambiado mucho: la cantidad de controles se redujo de 114 a 93 y está organizado en solo cuatro secciones en comparación con las 14 secciones de la revisión de 2013. Sin embargo, después de una mirada más cercana, se vuelve obvio que los cambios en el Anexo A son solo moderados; consulte la explicación a continuación.
Cambios en el sistema de gestión
El texto de las cláusulas obligatorias 4 a 10 ha cambiado solo ligeramente, principalmente para alinearse con ISO 9001, ISO 14001 y otras normas de gestión ISO, y con el Anexo SL.
Aquí hay una breve descripción general de los cambios en ISO 27001: 2022:
- En la cláusula 4.2 (Comprensión de las necesidades y expectativas de las partes interesadas), se agregó el ítem (c) que requiere un análisis de cuáles de los requisitos de las partes interesadas deben ser atendidos a través del SGSI.
- En la cláusula 4.4 (Sistema de gestión de la seguridad de la información), se agregó una frase que requiere la planificación de los procesos y sus interacciones como parte del SGSI.
- En la cláusula 5.3 (Funciones, responsabilidades y autoridades de la organización), se agregó una frase para aclarar que la comunicación de las funciones se realiza internamente dentro de la organización.
- En la cláusula 6.2 (Objetivos de seguridad de la información y planificación para lograrlos), se agregó el inciso (d) que requiere que los objetivos sean monitoreados.
- Se agregó la Cláusula 6.3 (Planificación de cambios), que requiere que cualquier cambio en el SGSI debe realizarse de manera planificada.
- En la cláusula 7.4 (Comunicación), se eliminó el inciso (e), que requería establecer procesos para la comunicación.
- En la cláusula 8.1 (Planificación y control operativo), se agregaron nuevos requisitos para establecer criterios para los procesos de seguridad y para implementar procesos de acuerdo con esos criterios. En la misma cláusula, se eliminó el requisito de implementar planes para el logro de objetivos.
- En la cláusula 9.3 (Revisión de la dirección), se agregó el nuevo elemento 9.3.2 c) que aclara que los aportes de las partes interesadas deben ser sobre sus necesidades y expectativas, y relevantes para el SGSI.
- En la cláusula 10 (Mejora), las subcláusulas han cambiado de lugar, por lo que la primera es Mejora continua (10.1), y la segunda es No conformidad y acción correctiva (10.2), mientras que el texto de esas cláusulas no ha cambiado.
Cambios en los controles de seguridad del Anexo A
En realidad, los cambios en el Anexo A son solo moderados porque la mayoría de los controles se han mantenido iguales (35 de ellos) o solo han cambiado de nombre (23). Se fusionaron otros 57 controles, lo que redujo el número de controles, pero los requisitos dentro de esos controles permanecieron casi iguales. Finalmente, un control se dividió en dos controles separados, mientras que los requisitos permanecieron iguales. Para ver cómo han cambiado los controles, descargue este documento técnico gratuito: Descripción general de los nuevos controles de seguridad en ISO 27002:2022 .
Hay 11 nuevos controles, que eran necesarios debido a las tendencias en TI y seguridad; puede ver los detalles aquí: Explicación detallada de 11 nuevos controles de seguridad en ISO 27001:2022 .
Sugerencia: puede usar esta herramienta de conversión de ISO 27001:2013 a ISO 27001:2022 para averiguar cómo se relacionan los controles de la revisión anterior del estándar con los nuevos.
Periodo de transicion
De acuerdo con el documento "Requisitos de transición para ISO/IEC 27001:2022" del Foro Internacional de Acreditación, para las empresas que ya están certificadas con ISO 27001:2013, la transición a ISO 27001:2022 debe completarse antes del 31 de octubre de 2025.
Los organismos de certificación deben comenzar a certificar a las empresas según la norma ISO 27001:2022 a más tardar el 31 de octubre de 2023, pero estoy seguro de que la mayoría de ellos comenzará con esta nueva revisión mucho antes. Si tiene dudas sobre si optar por la certificación según la revisión de 2013 o 2022, utilice esta herramienta gratuita: ¿Debería comenzar a implementar la revisión de ISO 27001 2013 o 2022?
Consejo: Si ya implementó la revisión anterior de 2013 del estándar y desea hacer una transición a la revisión de 2022 de ISO 27001, programe una consulta gratuita con nuestro experto en ISO 27001.
¿Cuánto ha cambiado?
En resumen, los cambios en la parte principal del estándar son solo pequeños y se pueden realizar con bastante rapidez, con solo ligeros cambios en la documentación y los procesos. Los cambios en los controles del Anexo A son moderados y pueden solucionarse en su mayoría agregando los nuevos controles a la documentación existente.
Después de nueve (largos) años de espera por esta nueva revisión, algunos profesionales de la seguridad esperaban que los cambios fueran más extensos, pero creo que las empresas que ya están certificadas contra la revisión de 2013 se sentirán aliviadas de que el trabajo a realizar no es ese. grande después de todo.
Fuente: 27001Academy
Comentarios
Publicar un comentario