Solicitar presupuesto
Home Recursos Blog Septiembre 2022

Transición a la norma ISO 27001:2022 - ¿Qué sabemos hasta ahora?

21 septiembre 2022
Se espera que la norma ISO 27001:2022 se publique en octubre de 2022, tras la publicación de la norma ISO 27002:2021, publicada el 16 de febrero de 2022.

Debido a la constante evolución del entorno de la seguridad de la información y a las amenazas a las que se enfrenta, la actualización de la norma ISO 27002 y, a su vez, de la ISO 27001, es un cambio bienvenido que beneficiará a las organizaciones de cualquier tamaño.

La norma ISO 27002:2021 sustituye a la ISO 27002:2017 y contiene un cambio notable en la estructuración de los controles del Anexo A. El nuevo conjunto de controles toma muchos de los controles de la versión anterior, consolidando algunos mientras añade nuevos controles que reflejan las prácticas actuales de seguridad de la información.

Se han introducido 4 temas clave que sustituyen a las 14 cláusulas. Se trata de "Personas" (8 controles), "Organización" (37 controles), "Tecnología" (34 controles) y "Física" (14 controles). Los temas permiten que los controles se solapen en varias áreas, lo que garantiza que los riesgos se gestionen y se traten en consecuencia dentro de una declaración de aplicabilidad.

Entendemos que el título de la norma ISO 27001:2022 cambiará de "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos" a "Seguridad de la información, ciberseguridad y protección de la privacidad - Sistema de gestión de la seguridad de la información - Requisitos", lo que introduce nuevos elementos de ciberseguridad y protección de la privacidad en la norma.

Tanto la ciberseguridad como la protección de la privacidad son claves para un Sistema de Gestión de la Seguridad de la Información seguro. La práctica de proteger los sistemas críticos y la información sensible de los ataques cibernéticos, físicos y multivectoriales combinados se vincula directamente con la protección de los datos, garantizando la seguridad de la información de su empresa. Aunque esto siempre ha estado en nuestras mentes, en los últimos años, esto ha sido más latente con la aceleración del teletrabajo y una carrera hacia la red basada en la nube y las soluciones de alojamiento.

También entendemos que las notas en torno a la cláusula 6.1.3 están cambiando para asegurar el vínculo con la norma ISO 27002:2021 y las cláusulas 5 a 8 están en línea con esto. Aparte de estas áreas resaltadas, entendemos que la mayor parte de la norma ISO 27001:2022 permanecerá como está actualmente.

El periodo de transición dará a las organizaciones tiempo para revisar su Sistema de Gestión de la Seguridad de la Información y se espera que la evaluación de riesgos, el plan de tratamiento de riesgos y la declaración de aplicabilidad se actualicen en función de los cambios. Los controles nuevos y modificados tendrán que ser incorporados a su Sistema de Gestión de la Seguridad de la Información.

NQA está desarrollando un nuevo curso de formación para apoyarle con la transición. Estará disponible una vez que la norma haya sido publicada. Si desea más información al respecto, póngaso en contacto con NQA.

Una vez que la norma ISO 27001:2022 haya sido publicada, NQA se pondrá en contacto con todos sus clientes para informarles del periodo de transición. Si usted es un nuevo cliente que está implementando la norma ISO 27001:2022 y desea obtener la certificación según la norma actualizada, póngase en contacto con nuestros expertos para recibir un presupuesto de certificación.