This post is also available in: Português Español
El ciclo de vida estándar de una norma ISO es de 5 años. Después de este período, se lleva a cabo una revisión para evaluar si la norma sigue siendo válida, necesita revisión o debe suspenderse.
Durante el año 2022, las ISO’s/IEC’s 27001 y 27002 pasaron por un proceso de revisión, lo que generó ciertas expectativas en el mercado.
La nueva revisión de ISO/IEC 27001:2022 está en proceso de publicación y reemplaza la versión de 2013. Algunos de los principales cambios son: una actualización del Anexo A y un cambio en el título de la norma, que ahora se llama ISO/ IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection.
La última versión de ISO/IEC 27002 se publicó a principios de este año y sus últimos cambios también afectan a ISO/IEC 27001:2022.
Diferencia entre ISO/IEC 27001 e ISO/IEC 27002
ISO/IEC 27001 es el estándar certificable, que contiene los requisitos para implementar un sistema de gestión de seguridad de la información.
Por otro lado, la ISO/IEC 27002, contiene las mejores prácticas para la implementación y gestión de controles de seguridad de la información.
Vale la pena mencionar que la ISO 27002 no es una norma certificable, ya que es un material de apoyo que ayuda en la implementación de los requisitos, enumerados en el Anexo A, de la norma ISO/IEC 27001.
¿Qué cambios trajo la nueva actualización a las ISO?
Es importante señalar que los cambios realizados a la norma ISO/IEC 27002 están vigentes desde marzo de 2022, es decir, son anteriores a la actualización de la norma ISO/IEC 27001. Para facilitar la comprensión, se presenta una recopilación de los cambios realizados a ISO/IEC 27002 sigue.
- 1.Reducción del número de controles de 114 a 93;
- 2.Inserción de 11 controles nuevos;
- 3. Reorganización de secciones de control (4 secciones)
- 4. Inclusión de 2 adjuntos
a. Inteligencia de amenazas
b. Seguridad de la información para el uso de servicios en la nube
c. Preparación de las TIC para la continuidad del negocio
d. Monitoreo de seguridad física
e. Gestión de la configuración
F. Eliminación de información
g. Enmascaramiento de datos
h. Prevención de fugas de datos
i. Actividades de seguimiento
j. Filtrado web
k. Codificación segura
a. controles organizativos
B. controles de personas
c. controles físicos
d. Controles tecnológicos
a. Adjunto A – Usando atributos
b. Adjunto B – Corresponde con la ISO/IEC 27001:2013
Inserción de nuevos atributos para los controles:
- Tipos: preventivo, detección y corrección;
- Propriedad: confidencialidad, integridad y disponibilidad;
- Concepto: identificar, proteger, detectar, responder y recuperar;
- Capacidades operativas: gobernanza, gestión de activos, seguridad de la información, seguridad de los recursos humanos, etc.;
- Dominios: gobernanza y ecosistema, protección, defensa y resiliencia.
A pesar de la reducción en la cantidad de controles, es importante enfatizar que no se eliminó ningún control, solo se fusionaron.
En términos de ISO/IEC 27001, como se mencionó anteriormente, además del cambio de nombre a ISO/IEC 27001:2022 Seguridad de la información, ciberseguridad y protección de la privacidad, el Adjunto A recibió actualizaciones de la siguiente manera:
- 1. Reducción del número de controles de 114 a 93;
- 2. Inserción de 11 nuevos controles;
- 3. Reorganización de secciones de control (4 secciones)
Los cambios siguen a los cambios promovidos en la norma ISO/IEC 27002, que tuvo lugar en marzo de 2022.
¿Qué se debe cambiar en las ISO ya implementadas?
Los cambios a los valores predeterminados se refieren principalmente a la reorganización de los controles, por lo que no necesita realizar ningún cambio en la tecnología, solo cambios en la documentación.
Las empresas pueden comenzar a familiarizarse con los controles ISO/IEC 27002:2022, actualizar sus procesos de gestión de riesgos con los nuevos controles, adaptar sus documentos en consecuencia, actualizar y simplificar su Declaración de aplicabilidad y adaptar ciertas secciones de sus políticas y procedimientos.
Si su empresa está certificada, el organismo de certificación verificará que ha adaptado su documentación dentro del período de transición.
No habrá necesidad de programar nuevas auditorías, ya que lo harán durante las auditorías regulares de seguimiento.
La Consulta Nacional de la ABNT lanzó el proyecto Revisión ISO/IEC 27001 2022, que se puede consultar a través del sitio web oficial: https://www.abntonline.com.br/consultanacional/
¿Tiene alguna pregunta sobre la actualización de las normas? Nuestros expertos están listos para ayudarte. Hable con nosotros.
This post is also available in: Português Español