Principales cambios en la revisión ISO 27001 2022

10 noviembre, 2022

Después de nueve años, ISO 27001, el estándar de seguridad de la información líder en el
mundo, se ha actualizado: el 25 de octubre de 2022, se publicó la nueva ISO / IEC 27001: 2022.
Aunque esta revisión solo trae cambios moderados, es importante estudiarlos de cerca:
repasemos todos los cambios y veamos cómo se compara esta revisión 2022 con la antigua
revisión del 2013 de ISO 27001.

La parte principal de ISO 27001, es decir, las cláusulas 4 a 10, ha cambiado solo
ligeramente.


Los cambios en los controles de seguridad del anexo A son moderados.
El número de controles ha disminuido de 114 a 93.


Los controles se colocan en 4 secciones, en lugar de las 14 anteriores.
Hay 11 controles nuevos, mientras que ninguno de los controles se eliminó y muchos
controles se fusionaron.

Historia de ISO 27001 e ISO 27002
La primera versión de ISO 27001 se publicó en 1999 bajo el nombre de BS 7799-2, y ha sufrido
varios cambios desde entonces.
ISO 27001 no debe confundirse con ISO 27002: la primera es la norma principal contra la cual
puede certificar su empresa, mientras que la segunda es la norma de soporte que proporciona
pautas sobre la implementación de controles de seguridad. La diferencia más importante es
que ISO 27002 no es obligatoria para la certificación ISO 27001, y una empresa no puede
obtener la certificación ISO 27002.
ISO 27002 se publicó por primera vez en 1995 bajo el nombre de BS 7799-1, y ya se publicó la
revisión ISO 27002: 2022 con la nueva estructura de 93 controles: esta misma estructura de
controles fue adoptada por ISO 27001: 2022, como se explica a continuación.

Comparación

En general, en comparación con la revisión de 2013, los cambios en la revisión de ISO 27001: 2022 son pequeños a moderados. La parte principal de la norma sigue siendo con 11 cláusulas, y los cambios en esta parte de la norma son pequeños.

A primera vista, el Anexo A ha cambiado mucho: el número de controles ha disminuido de 114 a 93, y está organizado en solo cuatro secciones frente a las 14 secciones de la revisión de 2013. Sin embargo, después de examinar más de cerca, resulta obvio que los cambios en el Anexo A son sólo moderados.

Cambios en el sistema de gestión

El texto de las cláusulas obligatorias 4 a 10 ha cambiado solo ligeramente, principalmente para alinearse con ISO 9001, ISO 14001 y otras normas de gestión ISO, y con el Anexo SL.

A continuación, una breve descripción de los cambios en ISO 27001:2022:

  • En la cláusula 4.2 (Comprensión de las necesidades y expectativas de las partes interesadas), se agregó el punto (c) que requiere un análisis de cuáles de los requisitos de las partes interesadas deben abordarse a través del SGSI.
  • En la cláusula 4.4 (Sistema de gestión de seguridad de la información), se agregó una frase que requiere planificación para los procesos y sus interacciones como parte del SGSI.
  • En la cláusula 5.3 (Roles, responsabilidades y autoridades de la organización), se agregó una frase para aclarar que la comunicación de roles se realiza internamente dentro de la organización.
  • En la cláusula 6.2 (Objetivos de seguridad de la información y planificación para alcanzarlos), se agregó el punto (d) que requiere que los objetivos sean monitoreados.
  • Se agregó la Cláusula 6.3 (Planificación de cambios), que requiere que cualquier cambio en el SGSI debe hacerse de manera planificada.
  • En la cláusula 7.4 (Comunicación), se suprimió el punto e), que requería el establecimiento de procesos de comunicación.
  • En la cláusula 8.1 (Planificación y control operativos), se agregaron nuevos requisitos para establecer criterios para los procesos de seguridad y para implementar procesos de acuerdo con esos criterios. En la misma cláusula, se suprimió el requisito de aplicar planes para alcanzar los objetivos.
  • En la cláusula 9.3 (Revisión por la dirección), se agregó el nuevo punto 9.3.2 c) que aclara que las aportaciones de las partes interesadas deben referirse a sus necesidades y expectativas, y ser pertinentes para el SGSI.

En la cláusula 10 (Mejora), las subcláusulas han cambiado de lugar, por lo que la primera es Mejora continua (10.1), y la segunda es No conformidad y acción correctiva (10.2), mientras que el texto de esas cláusulas no ha cambiado.

Cambios en los controles de seguridad del anexo A

En realidad, los cambios en el anexo A son sólo moderados porque la mayoría de los controles se han mantenido iguales (35 de ellos) o sólo han cambiado de nombre (23). Se fusionaron otros 57 controles, lo que ha reducido el número de controles, pero los requisitos dentro de esos controles siguieron siendo casi los mismos.

Finalmente, un control se dividió en dos controles separados, mientras que los requisitos siguieron siendo los mismos

Hay 11 nuevos controles, que eran necesarios debido a las tendencias en TI y seguridad.

Período de transición

Según el documento "Requisitos de transición para ISO / IEC 27001: 2022" del Foro Internacional de Acreditación, para las empresas que ya están certificadas según ISO 27001: 2013, la transición a ISO 27001: 2022 debe completarse antes del 31 de octubre de 2025.

Los organismos de certificación deben comenzar a certificar a las empresas según ISO 27001: 2022 a más tardar el 31 de octubre de 2023, pero estoy seguro de que la mayoría de ellos comenzarán con esta nueva revisión mucho antes.

En resumen, ¿cuánto ha cambiado?

En resumen, los cambios en la parte principal de la norma son pequeños y se pueden hacer con bastante rapidez, con solo ligeros cambios en la documentación y los procesos. Los cambios en los controles del anexo A son moderados y pueden abordarse principalmente añadiendo los nuevos controles a la documentación existente.

Después de nueve (largos) años de espera para esta nueva revisión, algunos profesionales de la seguridad esperaban que los cambios fueran más extensos, pero creo que las empresas que ya están certificadas contra la revisión de 2013 se sentirán aliviadas de que el trabajo a hacer no sea tan grande después de todo.