La nueva ISO 27001 2022

La nueva ISO 27001 2022 viene a sustituir a la ISO 27001 2013, y los principales cambios los encontraremos asociados a los Controles que deberemos aplicar en la organización. Ya el título, que ha sido ampliado, nos deja claro donde encontrar los cambios más importantes de esta nueva publicación. Ya que pasa de hablar únicamente de la "Seguridad de la Información" en la versión de 2013, a "Seguridad de la información, ciberseguridad y protección de la privacidad" en la nueva norma ISO 27001 2022.

Los cambios en los requisitos de la norma ISO 27001 2022, son mínimos y poco significativos:

  1. Se matizan algunos requisitos con palabras como "relevantes" o "necesarios" en el apartado 4.
  2. Se añade como "información documentada" obligatoria los objetivos de seguridad.
  3. Se incluye como punto la gestión de los cambios del sistema de gestión de seguridad de la información en el apartado 6.3.
  4. Ahora deberemos aplicar controles a los productos, procesos y servicios suministrados por terceros, que sean relevantes para la seguridad de la información.
  5. Dentro de la revisión del sistema de gestión por la dirección, se deben considerar los cambios en las necesidades y expectativas de las partes interesadas.

Los cambios más relevantes en la norma ISO 27001 2022, se encuentran en su anexo A. Y tiene que ver con una nueva agrupación de los controles, y la aparición de algunos nuevos.

Nuevos controles

El número de controles se ha reducido de 114 a 93, pero no sólo se han eliminado controles asociados a buenas prácticas, sino se han incluido 11 nuevos. También se han reagrupado en cuatro nuevas categorías: tecnológico, organizacional, persona y físico, de los 14 dominios de seguridad que teníamos antes. Y desaparece el término de "Objetivo de control".

Los nuevos controles son:

  1. 5.7 Inteligencia de amenazas: Deberemos analizar información sobre las amenazas aplicables, tanto de carácter estratégico, táctico y operacional.
  2. 5.23 Seguridad de la información en el uso de servicios en la nube: Diferenciaremos entre servicios en la nube, del resto de servicios prestados por terceros. Definiendo procedimientos par su selección, gestión y fin de uso.
  3. 5.30 Preparación de las TIC para la continuidad de negocio: Ahora debemos establecer e implementar una sistemática para garantizar la continuidad TIC. Diferenciandola de la continuidad de negocio, que ya era requisito.
  4. 7.4 Monitorización de la seguridad física: Implantar sistemas de control de accesos físicos, para identificar accesos no permitidos a las instalaciones.
  5. 8.9 Gestión de la configuración: Aplicar medidas para la correcta configuración de los activos, y asegurar que se realizan cambios no deseados en dicha configuración.
  6. 8.10 Borrado de información: Deberemos determinar en cada caso, el tiempo de conservación de la información. Sobre todo, aquella de carácter personal, que tiene regulación legal detrás.
  7. 8.11 Enmascaramiento de datos: Deberemos estar preparados a una publicación no controlada de la información, y aplicar medidas que protejan dichos datos en caso de un incidente.
  8. 8.12 Prevención de fuga de datos: Deberemos implementar controles y herramientas que nos ayuden a detectar fugas de información, sobre todo por parte de los empleados y otros usuarios (Data Lost Prevention).
  9. 8.16 Monitorización de actividades: Monitorizar las actividades y sistemas de información, para identificar resultados atípicos que sean la antesala de un incidente de seguridad (Sistemas "Security Information and Event Management - SIEM").
  10. 8.23 Filtrado web: Aplicar restricciones en el uso de internet de los usuarios de la organización, para controlar su navegación y el acceso a fuentes maliciosas.
  11. 8.28 Control de codificación segura: Debemos implementar metodologías de desarrollo seguro en los departamentos técnicos de la organización, siguiendo las directrices del a "Política de desarrollo seguro".

La nueva ISO 27001 2022

La nueva ISO 27002 2022

La norma ISO 27002 también estrenó nueva versión en marzo de 2022, lo cual es bastante lógico ya que se trata de una guía para la implementación de los Controles incluidos en el anexo de la ISO 27001 2022. Esta guía nos servirá para entender mejor los controles del anexo A de la norma ISO 27001 2022, y así poder aplicarlos de una manera más eficaz en la organización.

Otras normas ISO relacionadas con la Seguridad de la Información, ya fueron actualizadas en años anteriores, como la ISO 27000 que fue publicada en 2018. Un resumen de como queda la familia de estas normas, sería:

  1. ISO/IEC 27000:2018 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
  2. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
  3. ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
  4. ISO/IEC 27003:2017 Information technology — Security techniques — Information security management systems — Guidance.
  5. ISO/IEC 27004:2016 Information Technology – Security techniques – Information Security Management – Measurement.
  6. ISO/IEC 27006:2015 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
  7. ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing.
  8. ISO/IEC TS 27008:2019 — Information technology — Security techniques — Guidelines for the assessment of information security controls.
  9. ISO 31000:2018 Risk management — Guidelines.
  10. ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements.
  11. ISO 22316:2017 Security and resilience — Organizational resilience — Principles and attributes.
  12. ISO 22320:2018 Security and resilience — Emergency management — Guidelines for incident management.
  13. ISO/IEC 22123:2021 Information technology — Cloud computing.
  14. ISO/IEC TR 22678:2019 Information technology — Cloud computing — Guidance for policy development.
  15. ISO/IEC 19086:2016 Information technology — Cloud computing — Service level agreement (SLA) framework.
  16. ISO/IEC 24760:2019 IT Security and Privacy — A framework for identity management.

¿Te ha gustado? Sólo te pedimos que lo compartas... ¡Gracias!

Contacta ahora...

© Copyright ISOwin S.L. | All Right Reserved | Aviso legal