Durante el año 2022 se procederá a la actualización de la norma ISO 27001. Este estándar internacional quedará actualizado al finalizar el año, por lo que existe un gran interés en torno a los cambios de la ISO/IEC 27001. A continuación, se nombran algunas de las claves a tener en cuenta en esta actualización.
La parte principal de la ISO/IEC 27001, correspondiente a las cláusulas de la 4 a la 10 no van a experimentar cambios. Estas cláusulas incluyen el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concientización, la comunicación, el control de documentos, el seguimiento y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas.
Es por ello que los cambios atienden a la actualización de los controles de seguridad enumerados en el Anexo A de la ISO 27001 y que se corresponden con la ISO 27002.
Cambios de la ISO/IEC 27001 sobre el Anexo A
Como se ha dejado ver hasta ahora, en general, los cambios de la ISO/IEC 27001 son moderados y se llevarán a cabo principalmente con el objetivo de simplificar la implementación. Con ello, los cambios en el Anexo A implica la reducción del número de controles de 114 a 93.
En su actualización, se dispondrán en 4 secciones en lugar de las 14 anteriores. Se incluyen 11 controles nuevos, no obstante, ninguno de los controles anteriores se eliminó, aunque si se fusionaron algunos. Los cambios en el Anexo A de la norma ISO/IEC 27001:2022 van en línea con los cambios de la ISO 27002:2022.
Diferencias entre la norma ISO 27002 y la norma ISO 27001
ISO 27001 es el estándar principal en materia de Seguridad de la Información y las empresas y organizaciones que lo deseen pueden certificarse con él. Sin embargo, hay que mencionar que no es posible certificarse en la norma ISO 27002:2022 ya que es solo constituye un estándar de respaldo.
En su Anexo A, la ISO/IEC 27001 proporciona una serie de controles de seguridad, no obstante, no detalla cómo se pueden implementar. Por su parte, la ISO 27002 enumera esos mismos controles y brinda cierta orientación acerca de cómo podrían implementarse. Cabe dejar claro que la guía que constituye la ISO 27002 no es obligatoria, por lo que será decisión de las empresas y las organizaciones decidir si usarla o no.
Los cambios de la ISO 27002 ya se confirmaron y publicaron el 15 de febrero de 2022. Por su parte, se espera que la actualización y los cambios de la ISO/IEC 27001 se produzcan a lo largo de este mismo año, pero no se ha anunciado aún una fecha concreta.
Si desea implementar la Norma ISO 27001 o despejar ciertas dudas, contáctenos.