Principales cambios de la ISO/IEC 27001 en 2022
Cambios de la ISO/IEC 27001
Durante el año 2022 se procederá a la actualización de la norma ISO 27001. Este estándar internacional quedará actualizadas al finalizar el año, por lo que existe un gran interés en torno a los cambios de la ISO/IEC 27001. A continuación, se nombran algunas de las claves a tener en cuenta en esta actualización:
-
La parte principal de ISO 27001, relativa a las cláusulas de la 4 a la 10 no cambia
La parte principal de la ISO/IEC 27001, correspondiente a las cláusulas de la 4 a la 10 no van a experimentar cambios. Estas cláusulas incluyen el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concientización, la comunicación, el control de documentos, el seguimiento y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas.
Es por ello que los cambios atienden a la actualización de los controles de seguridad enumerados en el Anexo A de la ISO 27001 y que se corresponden con la ISO 27002.
-
Cambios de la ISO/IEC 27001 sobre el Anexo A
Como se ha dejado ver hasta ahora, en general, los cambios de la ISO/IEC 27001 son moderados y se llevarán a cabo principalmente con el objetivo de simplificar la implementación. Con ello, los cambios en el Anexo A implica la reducción del número de controles de 114 a 93.
En su actualización, se dispondrán en 4 secciones en lugar de las 14 anteriores. Se incluyen 11 controles nuevos, no obstante, ninguno de los controles anteriores se eliminó, aunque si se fusionaron algunos. Los cambios en el Anexo A de la norma ISO/IEC 27001:2022 van en línea con los cambios de la ISO 27002:2022.
Diferencias entre la norma ISO 27002 y la norma ISO 27001
ISO 27001 es el estándar principal en materia de Seguridad de la Información y las empresas y organizaciones que lo deseen pueden certificarse con él. Sin embargo, hay que mencionar que no es posible certificarse en la norma ISO 27002:2022 ya que es solo constituye un estándar de respaldo.
En su Anexo A, la ISO/IEC 27001 proporciona una serie de controles de seguridad, no obstante, no detalla cómo se pueden implementar. Por su parte, la ISO 27002 enumera esos mismos controles y brinda cierta orientación acerca de cómo podrían implementarse. Cabe dejar claro que la guía que constituye la ISO 27002 no es obligatoria, por lo que será decisión de las empresas y las organizaciones decidir si usarla o no.
Los cambios de la ISO 27002 ya se confirmaron y publicaron el 15 de febrero de 2022. Por su parte, se espera que la actualización y los cambios de la ISO/IEC 27001 se produzcan a lo largo de este mismo año, pero no se ha anunciado aún una fecha concreta.
Implementación de la ISO/IEC 27001
Si quiere proceder a la implementación de la norma ISO/IEC 27001 en la actualidad puede comenzar cuando lo desee, en cualquier momento. También es posible, si no corre excesiva prisa, esperar a finales de 2022 para poner en marcha el proyecto una vez que se encuentre actualizado el estándar internacional.
¿Qué significa esto? Que la decisión de implementación de la norma ISO 27001 no tiene nada que ver ni está supeditada a la actualización del estándar. Esto dependerá únicamente de la prisa que tenga para obtener la certificación de la ISO/IEC 27001.
Software ISOTools
Por suerte, la tendencia que sigue ISO en las últimas actualizaciones de sus normas está basada en la estandarización y compatibilidad de las mismas. No obstante, a pesar de las facilidades ofrecidas, es muy complicado realizar una buena gestión sin una herramienta tecnológica. La cantidad de ventajas que ofrece un software como ISOTools Excellence son innumerables. ¿Quiere empezar a conocerlas ahora?
