BM Trada Logo Library
Solicitar presupuesto
Home Recursos Blog Marzo 2022

Publicación de la ISO 27002 - Actualización de la norma de seguridad de la información

08 marzo 2022
Tras la reciente publicación de la ISO 27002:2022, el director de aseguramiento de la seguridad de la información de NQA, Tim Pinnell, ha escrito un blog para ofrecer a los actuales titulares de la certificación ISO 27001 una actualización de los cambios previstos.

La norma ISO 27002:2022 se publicó el 16 de febrero de 2022. Sustituye a la norma ISO 27002:2017 y supone un cambio fundamental en la estructura de la norma de seguridad de la información. El nuevo conjunto de controles utiliza los controles de la versión anterior, al tiempo que añade nuevos controles que pueden considerarse un reflejo de las prácticas actuales de seguridad de la información.

Los cambios también tendrán implicaciones para:

  • ISO 27001:2013 - Sistemas de gestión de la seguridad de la información: se está realizando un cambio de emergencia en la norma ISO 27001, principalmente para adaptar el anexo A al nuevo conjunto de controles de la norma ISO 27002:2022.

  • ISO 27017:2015 - Código de prácticas para los controles de seguridad de la información basados en la norma ISO 27002 para los servicios en la nube

  • ISO 27018:2019 - Código de prácticas para la protección de la información personal identificable (PII) en las nubes públicas que actúan como procesadores de PII.

  • ISO 27701:2019 - Gestión de la Privacidad de la Información.

Restructuración

Un comentario anterior había sugerido que se habían suprimido varios controles. Las tablas de asignación que figuran en el anexo B de la norma ISO 27002:2021 demuestran que no se ha suprimido ningún control. Sin embargo, el análisis ha mostrado que algunos de los controles se han minimizado mucho cuando se han fusionado con otros controles.

Los cambios son los siguientes:

  • Los 12 grupos de control y los objetivos ya no existen. Se han sustituido por 4 grupos de control sin objetivos. Los grupos de control son:

    • Organización (cláusula 5)

    • Personas (cláusula 6)

    • Físico (cláusula 7)

    • Tecnología (cláusula 8)

  • Hay 93 controles en lugar de 114

  • Se consolidan 19 controles

  • 11 nuevos controles

Las categorizaciones de los controles se denominan temas, y a cada control se le asigna un conjunto de atributos, por ejemplo:



Los temas y atributos se proporcionan como una forma de organizar y estructurar los controles a través de vistas determinadas por el usuario. No tienen ninguna relación con los controles en sí.

Controlar los cambios

NQA publicará un artículo en la web en el que se tratarán los cambios con más detalle, pero este documento de mapeo demuestra los movimientos de control.

> DESCARGUE NUESTRA HERRAMIENTA DE MAPEO DE SEGURIDAD DE LA INFORMACIÓN <

Preguntas frecuentes

  1. No hay transición a la norma ISO 27002:2021 porque es un documento de directrices. Es probable que en mayo de este año se publique un cambio de emergencia a la norma ISO 27001 con una transición de dos años. Pero esto no puede confirmarse hasta que el IAF publique el calendario. Los clientes que realicen la transición con antelación seguirán siendo auditados según la norma ISO 27001:2013.

  2. ISO 27001:2013 6.1.3 c) La nota 2 establece que pueden ser necesarios controles adicionales a los del Anexo A. La nueva versión de ISO 27002 proporciona más controles para incluir en la declaración de aplicabilidad (SoA), aunque su inclusión debe estar basada en el riesgo.

  3. NQA se pondrá en contacto con todos los clientes de la norma ISO 27001:2013 por correo electrónico con el plan de transición y la guía de transición tan pronto como se conozca el calendario del IAF. Habrá información adicional disponible en la web de NQA con actualizaciones y consejos, incluyendo blogs, artículos y guías.

  4. Algunos clientes, además de la ISO 27001:2013, están certificados en PIMS (ISO 27701:2019) y/o ISO 27017 e ISO 27018. No hay información sobre si estas normas se actualizarán o no en línea con la ISO 27002:2022 o el cambio de emergencia a la ISO 27001. Los clientes realizarán la transición a la norma ISO 27001:2022, pero su Declaración de aplicabilidad (SoA) ampliada se completará con:

    • Los controles que ampliaron la norma ISO 27002:2017 se asignarán directamente a la norma ISO 27002:2022, por lo que deberían cambiar en consecuencia

    • Controles adicionales introducidos por las normas ISO 27017, ISO 27018 e ISO 27701 que no se ven afectados por los cambios de la norma ISO 27002:2022.

Si tiene alguna pregunta o duda sobre estas actualizaciones, no dude en ponerse en contacto con NQA, tenga la seguridad de que en cuanto tengamos más información de la IAF nos comunicaremos con usted para destacar los cambios y actualizaciones pertinentes.