Home » Noticias » Cambios significativos en la norma ISO 27002:2022

Cambios significativos en la norma ISO 27002:2022

by admin

Con la revisión de la norma ISO 27002:2022, se ha proporcionado un conjunto de referencia para los controles de seguridad de la información que se utilizarán basándose en la gestión de riesgos de seguridad de la información y que pretende mejorar otras normas de la familia 27000.

El entorno cada vez más amenazador, las vulnerabilidades en materia de seguridad y el rápido crecimiento de la tecnología digital parecen satisfacer las necesidades que faltaban con la actualización de la norma ISO 27002:2022.

Novedades de la norma ISO 27002:2022

La norma ISO 27002:2013 se dividía en 14 cláusulas y contenía 114 controles. Se ha reestructurado, la versión 2022 incluye 93 controles divididos en 4 secciones:

5. Organizativo (37 controles)

6. Personas (8 controles)

7. Físico (14 controles)

8. Tecnológico (34 controles)

Respuestas a sus preguntas esenciales

1 – ¿Cuál es la diferencia entre ISO 27001 e ISO 27002?

ISO 27001 es la norma principal y las empresas pueden certificarse; las empresas no pueden obtener la certificación ISO 27002:2022, ya que sólo es una norma de apoyo.

En el anexo A, la norma ISO 27001 sólo proporciona una lista de controles de seguridad, pero no explica cómo pueden aplicarse; la norma ISO 27002 enumera los mismos controles y proporciona orientación sobre cómo aplicarlos. Sin embargo, esta guía de la norma ISO 27002 no es obligatoria, lo que significa que las empresas pueden decidir si la utilizan o no.

2 – ¿Cuándo se producirán estos cambios?

La norma ISO 27002 se actualizó el 15 de febrero de 2022 y el anexo A de la norma ISO 27001 se adaptará a estos cambios.

La actualización del anexo A de la norma ISO 27001 se producirá en 2022, fecha que aún no se ha anunciado.

3 – Queremos empezar a implantar la norma ISO 27001, ¿debemos esperar a que se publiquen los cambios o empezar ahora?

Si su cliente actual o potencial está esperando a que se certifique, debería empezar cuanto antes; si puede esperar hasta finales de 2022 con su proyecto, puede esperar a la norma actualizada.

En otras palabras, esta decisión no tiene nada que ver con las normas: depende de lo rápido que necesite la certificación ISO 27001.

4- Ahora bien, si empezamos con la aplicación de la ISO 27001, ¿seguiremos con los nuevos conjuntos de control o con los antiguos?

Debería empezar por los controles existentes, ya que los cambios de la norma ISO 27001 aún no se han publicado.

La migración a la nueva revisión de la norma será un esfuerzo menor, ya que los cambios en los controles son sólo moderados y tendrá tiempo de sobra para actualizar la documentación de los nuevos controles.

5- Ya hemos implantado la ISO 27001, ¿qué debemos cambiar en nuestra documentación?

Los cambios en las normas están relacionados sobre todo con la reorganización de los controles, por lo que no será necesario introducir cambios en las secciones tecnológicas, sino sólo en la documentación.

Dado que los cambios son moderados, nuestra recomendación es que no añada nuevos documentos ni suprima ninguno de los existentes.

6- ¿Cuándo hay que cambiar los documentos?

El periodo de transición para estos cambios aún no se ha publicado, pero probablemente será de 24 meses a partir de la fecha oficial de actualización de la norma ISO 27001:2022.

Por lo tanto, tendrá tiempo de sobra para cumplirla.

7 – ¿Es necesario que el organismo de certificación compruebe si se han producido cambios en los documentos?

Sí, si su empresa está certificada, el organismo de certificación comprobará si ha adaptado sus documentos durante el periodo transitorio.

Como lo harán durante las auditorías periódicas de vigilancia, no será necesario planificar una nueva auditoría.

Impacto en las normas ISO 27000 pertinentes

Existen muchas normas y marcos relacionados con la norma ISO 27002:2013 o basados en ella. La sustitución de la norma por una nueva versión les afectará sin duda.

En primer lugar, se espera que la norma ISO 27001 reciba una actualización poco después de que se finalice y publique la norma ISO 27002:2022. Según la información disponible, la actualización de la norma ISO 27001 se limitará a pequeños cambios en el texto y a una revisión completa del anexo A de conformidad con la actualización de la norma ISO 27002.

Se espera que se actualice en normas comunes como ISO 27701, ISO 27017 e ISO 27018.

Aunque la estructura general de la norma es similar a la de otras normas, se ha introducido un cambio importante en la estructura de las secciones de control. La norma ISO 27002:2013, que consta de 14 cláusulas, será sustituida por 4 cláusulas, como se muestra en la siguiente comparación.

¿Qué debemos hacer?

En primer lugar, hay que tener en cuenta que, en circunstancias normales, la publicación de una nueva norma por confirmar supondrá un periodo transitorio. Normalmente, el periodo de transición será de 24 meses, dependiendo de en qué punto del ciclo de certificación actual se encuentre la certificación.

Puede empezar a prepararse adquiriendo la versión publicada de la norma ISO 27002:2022.

¿Qué puede hacer en esta fase?

Aunque no se limita a la lista que figura a continuación, éstas pueden ser las primeras cosas que puede hacer;

– Adquiera la norma actualizada,

– Comparación entre la nueva norma y la antigua,

– Realización de un análisis de riesgos y comprobación del análisis GAP,

– Seleccione los controles aplicables y establezca las políticas, normas y actualizaciones de su SGSI.

– Actualice su declaración de aplicabilidad,

– Actualice su programa de auditoría interna para incluir los controles actualizados seleccionados …. Etc.

Mensaje de CFE

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *