Noticias
11/11/2022
NUEVA VERSIÓN ISO/IEC 27001:2022 DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
El pasado 25 de octubre de 2022 se publicó la nueva versión de la norma internacional ISO/IEC 27001 de Gestión de Seguridad de la Información. Es por ello que las organizaciones contarán con tres años – hasta octubre de 2025 -, para ajustar sus Sistemas de Gestión al nuevo estándar proceder a la certificación.
Esta modificación de la norma está adaptada a las nuevas necesidades surgidas de los cambios acontecidos en nuestra forma de trabajar: trabajo en remoto y uso de la nube. Estos cambios han conllevado el surgir de nuevos riesgos; ahora, el perímetro de seguridad de nuestras empresas se ha extendido a los hogares de las personas que teletrabajan, por lo que nuestros Sistemas de Gestión de Seguridad de la Información, SGSI, deben tener en cuenta estos riesgos. Adicionalmente, la industria de la ciberseguridad ha cambiado vertiginosamente en esta última década.
Cambios en el cuerpo de la ISO 27001:2022.
No son muy significativos, haciendo especialmente hincapié en que los procesos estén claramente definidos junto con sus interacciones. Pasamos a enumerar los principales.
- Alineación del Sistema de Gestión con el Anexo SL, lo que en la práctica significa un claro interés por promover la integración con otros Sistemas.
- Cláusula 4.4. hay un requisito explícito para definir los procesos y sus interacciones.
- Cláusula 5.3. se especifica la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
- Cláusula 6.2. hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
- Cláusula 6.3. indica que hay que planificar los cambios del sistema de gestión y que estos se realicen de manera controlada, planificando cómo se van a implementar y validar.
- Cláusula 8.1. indica: “establecer criterios para los procesos y aplicar el control de los mismos.”
- En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.
Los cambios más importantes se encuentran dentro del Anexo A de la ISO/IEC ISO 27002 que desarrollan los controles a aplicar.
En esta nueva versión de la norma hay 93 controles que están organizados en 4 grupos; la anterior versión de la norma de 2013 contenía 114 controles organizados en 14 categorías.
Ha habido una reestructuración, racionalización, reagrupación de controles con el objetivo de minimizar los controles y agruparlos de una forma más lógica y fácil de entender.
Se incorporan un total de 11 nuevos controles, 24 se han fusionado, 58 han sido revisados, y 35 se mantienen sin cambios respecto a la anterior versión.
Desde ISO EXPERTISE les ofrecemos asesoramiento para conseguir su certificación en la norma ISO 27001:2022 así como adaptar su sistema a esta nueva norma. ¡No duden en contactar con nosotros!