La nueva ISO/IEC 27001:2022 se publicó el 25 de octubre de 2022. Algunas de las principales actualizaciones nuevas de ISO/IEC 27001:2022 incluyen un cambio importante del Anexo A, actualizaciones menores de las cláusulas y un cambio en el título de la norma.
La última versión de ISO/IEC 27002 se publicó a principios de 2022 y sus últimos cambios también afectaron a ISO/IEC 27001.
Los nuevos cambios de ISO/IEC 27001:2022
A medida que el mundo enfrenta nuevos desafíos de seguridad en evolución, el estándar internacionalmente reconocido ISO/IEC 27001, que tiene como objetivo proteger la confidencialidad, disponibilidad e integridad de los activos de información de las organizaciones se ha actualizado.
A diferencia de ISO/IEC 27001:2013, el título completo de la nueva versión es ISO/IEC 27001:2022 Seguridad de la información, ciberseguridad y protección de la privacidad.
La parte que ha sufrido los cambios más significativos es el Anexo A de ISO/IEC 27001, que está alineado con las actualizaciones de ISO/IEC 27002:2022, publicadas a principios de este año y que ya os explicamos en este post.
En cuanto a otras partes, las cláusulas 4 a 10 han sufrido varios cambios menores, especialmente en las cláusulas 4.2, 6.2, 6.3 y 8.1 donde se ha agregado contenido nuevo adicional. Otras actualizaciones incluyen cambios menores en la terminología y la reestructuración de oraciones y cláusulas. Sin embargo, el título y el orden de estas cláusulas siguen siendo los mismos:
Cláusula 4 Contexto de la organización
Cláusula 5 Liderazgo
Cláusula 6 Planificación
Cláusula 7 Soporte
Cláusula 8 Operación
Cláusula 9 Evaluación del desempeño
Cláusula 10 Mejora
¿Cuáles son los principales cambios de control en el Anexo A?
El Anexo A de ISO/IEC 27001:2022 contiene cambios tanto en el número de controles como en su listado en grupos. El título de este Anexo también ha cambiado de Controles y objetivos de control de referencia a Controles de referencia de seguridad de la información. Por tanto, los objetivos de referencia de cada grupo de control que estaban presentes en la versión anterior de la norma ahora se han eliminado.
El número de controles del Anexo A ha disminuido de 114 a 93. La disminución en el número de controles se debe principalmente a la fusión de muchos de ellos. 35 controles permanecieron igual, 23 controles cambiaron de nombre, 57 controles se fusionaron en 24 controles y un control se dividió en dos. Los 93 controles se han reestructurado en cuatro grupos o secciones de control.
Los nuevos grupos de control de ISO/IEC 27001:2022 son:
- A.5 Controles organizacionales – contiene 37 controles
- A.6 Controles de personas – contiene 8 controles
- A.7 Controles físicos – contiene 14 controles
- A.8 Controles tecnológicos – contiene 34 controles
ISO/IEC 27001:2022 también ha agregado los 11 nuevos controles mencionados a continuación a su Anexo A:
- Inteligencia de amenazas
- Seguridad de la información para el uso de servicios en la nube
- Preparación de las TIC para la continuidad del negocio
- Monitoreo de seguridad física
- Gestión de la configuración
- Eliminación de información
- Enmascaramiento de datos
- Prevención de fuga de datos
- Actividades de seguimiento
- Filtrado web
- Codificación segura
¿Afectarán los cambios de ISO/IEC 27001:2022 a mi certificado ISO/IEC 27001 actual?
Los nuevos cambios en ISO/IEC 27001:2022 no afectarán al certificado ISO/IEC 27001 actual. Se facilitan 2 años de transición a la nueva norma.