Guía de transición ISO 27001:2022
NQA se encuentra a mitad del periodo de transición de la norma ISO 27001:2022. A partir del 1 de mayo de 2024, todas las certificaciones iniciales (nuevas) serán según la edición ISO 27001:2022. Asimismo, todas las auditorías de recertificación deberán ajustarse a la edición de 2022.
Si tiene reservada una auditoría de recertificación después del 1 de mayo de 2024, ésta será para la edición de 2022 y será necesario cumplimentar el documento de análisis de deficiencias.
Resumen de los cambios
Se han introducido cambios en el cuerpo de la norma ISO 27001 para ajustarla mejor a la estructura armonizada de las normas de sistemas de gestión (es decir, el anexo SL).
Cabe destacar los cambios introducidos en los siguientes requisitos:
-
4.2 Comprender las necesidades y expectativas de las partes interesadas
-
4.4 Sistema de gestión de la seguridad de la información
-
5.3 Funciones, responsabilidades y autoridades de la organización
-
6.2.d Objetivos de seguridad de la información y planificación para alcanzarlos
-
6.3 Planificación de los cambios
-
9.3.2.c Aportaciones para la revisión de la gestión
-
Los controles del Anexo A se han reagrupado de 14 objetivos de control a 4 grandes temas que incluyen: Controles organizativos, de personas, físicos y tecnológicos.
-
El número total de controles del anexo A asciende a 93, frente a los 114 de la edición anterior.
-
Sin embargo, varios controles anteriores se han consolidado en nuevos controles más amplios; y se han añadido 11 nuevos controles, entre ellos:
-
Inteligencia sobre amenazas
-
Seguridad de la información para el uso de servicios en nube
-
Supervisión de la seguridad física
-
Gestión de la configuración
-
Supresión de información
-
Enmascaramiento de datos
-
Prevención de fugas de datos
-
Filtrado web
-
Codificación segura
-
-
Además, la norma ISO 27002:2022 identifica 5 atributos de control para clasificar los controles de distintas maneras; entre los atributos se incluyen:
-
Tipo de control
-
Propiedades de seguridad de la información
-
Conceptos de ciberseguridad
-
Capacidades operativas
-
Dominios de seguridad
-
- La norma ISO 27002:2022 también define un propósito para cada control individual con el fin de explicar mejor la intención de cada control.
Próximos pasos
Para garantizar que los clientes tengan éxito con su transición, NQA aconseja los siguientes pasos:
Preparación de la transición a la norma ISO 27001
-
Las organizaciones deben realizar la transición de su sistema de gestión de acuerdo con los requisitos de la norma ISO 27001:2022 antes de que se lleve a cabo la auditoría de transición. Esto debe incluir cualquier cambio en la documentación, junto con pruebas de cualquier requisito de proceso nuevo o modificado y un GAP analysis completado a tiempo para su auditoría.
-
Cabe destacar que las organizaciones deben llevar a cabo una auditoría interna y una revisión por parte de la dirección de los requisitos nuevos o modificados antes de que se realice la auditoría de transición de NQA.
-
NQA puede realizar una evaluación de las deficiencias en la transición de las organizaciones antes de su auditoría oficial de transición. Esta evaluación puede llevarse a cabo junto con una vigilancia anterior de la norma ISO 27001:2013, o en cualquier otro momento independiente antes de la auditoría de transición.
Herramientas e información útiles
Hemos elaborado una Guía de transición y una Herramienta de análisis de deficiencias para ayudarle en su transición, así que descárguese estos documentos para obtener más información e iniciar su transición.
La otra fecha importante para su agenda es:
-
31 de octubre de 2025 - Fin del periodo transitorio
Los certificados para ISO/IEC 27001:2013 dejarán de ser válidos después de esta fecha.
Apoyo adicional
El equipo de NQA está a su disposición para ayudarle durante todo el proceso de transición. Si tiene alguna pregunta o necesita ayuda, podemos ayudarle:
-
Pre-auditoría / Análisis de deficiencias - NQA puede proporcionar una pre-auditoría o un análisis de deficiencias de su SGSI revisado para determinar el nivel de conformidad de su SGSI con los requisitos de la norma ISO 27001:2022.
-
Seminarios web y blogs - NQA ha organizado una serie de seminarios web y blogs para apoyar su transición. Continuarán en los próximos meses.
-
Formación - NQA ofrece una serie de cursos de transición para garantizar que los asistentes tengan toda la información pertinente que necesitan para asegurar una transición sin problemas para su organización.
Si tiene alguna pregunta o necesita hablar con alguien sobre su transición, póngase en contacto con nosotros.