ISO 27001:2013. Cambios relevantes en la nueva versión.

Ya se ha hecho pública la nueva versión de la norma internacional que establece los requisitos para la implantación de un Sistema de Gestión de Seguridad de la Información ISO 27001:2013, que sustituye a la anterior ISO 27001:2005.

Entre los cambios más destacados de esta nueva norma destacamos los siguientes:

– En esta nueva versión ya no aparece la sección “Enfoque a procesos” que establecía una metodología de trabajo en base al ciclo PDCA de mejora continua, sino que ofrece una mayor flexibilidad en cuanto a la elección de metodologías de trabajo de análisis de riesgos o de mejora continua.

– Esta nueva versión de la ISO 27001 cambia su estructura de acuerdo al Anexo SL común al resto de estándares ISO, lo que facilita la integración entre sistemas.

– Este mismo anexo SL, establece un nuevo modelo de estructura de la documentación, que elimina la obligatoriedad de algunos documentos en la versión anterior, conservándose solamente como obligatoria la declaración de aplicabilidad.

– Se revisan los requisitos y controles. Los requisitos pasan de ser 102 a 130, lo controles establecidos en el Anexo A se eliminan, fusionan y añaden, viéndose aumentado el número de dominios de 11 a 14 y reduciéndose el número de controles de 133 a 114. Destacamos un nuevo dominio que se crea sobre “Relaciones con el Proveedor” debido a la evolución a la nube o Cloud Computing.

– Por último y quizás el cambio más destacable es el enfoque del análisis del riesgo en la fase de planificación y operación. A partir de ahora para identificar los riesgos no es necesario identificar los activos, las amenazas y sus vulnerabilidades. Sino que se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A para que no se olvide ninguno aplicable.

De momento las organizaciones que vayan a certificarse o renovar su certificado ISO 27001 cuentan con un par de años para poder adaptarse a los cambios de esta nueva versión.

En ISOTools estamos ya al día de todas las novedades incorporadas en esta nueva versión. Para poder ofrecerles el apoyo de la Plataforma Tecnológica ISOTools para la implementación de esta nueva ISO 27001:2013.