Blog B-SECURE

Todo lo que debes saber sobre la nueva versión de la ISO 27002:2022

Recientemente fue publicada la norma ISO 27002:2022, que sustituye la versión del año 2013. Esta proporciona una guía de buenas prácticas para la implementación de controles en el tratamiento de los riesgos de seguridad de la información, orienta y profundiza en los objetivos de control definidos en el Anexo A de la norma ISO 27001:2013, el cual es uno de los estándares más usados de la Organización Internacional para la
Estandarización (ISO) al ser una referencia a nivel mundial para la gestión de la seguridad de la información en cualquier tipo de organización.

Por lo anterior, si estás certificado o estás considerando certificarte en la norma ISO 27001 aquí te explicamos como la nueva ISO 27002:2022 impacta en tus sistemas de gestión de seguridad de la información.

¿Cuáles son los principales cambios?

El primer cambio significativo es su nombre, el cual indica un alcance más amplio: "Seguridad de la información, ciberseguridad y protección de la privacidad- controles de seguridad de la información", es importante este cambio ya que cobija y fija una base para proteger los datos personales, alineándose con los requerimientos legales entorno a su protección.

Su estructura también ha cambiado, el estándar ISO 27002:2022 ahora cuenta con 93 controles agrupados en 4 dominios:

  • Organizacional (37 controles)
  • Personas (8 controles)
  • Físico (14 controles)
  • Tecnológico (34 controles)

Cada control del estándar tiene atributos que hace más sencilla su categorización, la identificación de su aplicabilidad y facilitan su integración con otros marcos de gestión como NIST. Los atributos son: Tipo de control, Propiedades de Seguridad de la Información, Conceptos de seguridad Cibernética, Capacidades Operativas y Dominios de seguridad.

¿Cuál es el siguiente paso para la norma ISO 27001?

Continua vigente su versión 2013 con su anexo A, del cual hacen parte 114 controles, por tanto, los esquemas de certificación continúan sobre esta versión. Se espera una modificación para actualizar su anexo A ajustándolo a los controles de la norma ISO 27002:2022, frente al su anexo SL no se contemplan modificaciones importantes. Este cambio podría suceder después de julio.

Estoy implementado ISO 27001 ¿debo esperar la actualización?

Aun no se ha realizado la publicación de la modificación a la norma ISO 27001 por lo cual se recomienda continuar con la implementación de los controles existentes, e ir identificando como se verían afectados los controles implementados por la organización para facilitar a futuro su adopción.

Una vez publicada la modificación a la ISO 27001 ¿por dónde empezar?

El estándar ISO 27002 ofrece una guía para la implementación de los controles de seguridad, podrías usar esta buena practica para actualizar la declaración de aplicabilidad (SOA), obedeciendo a un análisis de riesgos previo que te permita identificar nuevos controles para la mitigación de riesgos. Si esto sucede el siguiente paso será actualizar documentos como políticas, lineamientos y procedimientos que soportan la implementación de controles.

¿Cómo impacta la certificación de mi empresa?

La organización mantiene su certificado, una vez se apruebe y publique los cambios a la norma ISO 27001 las organizaciones contarán con un periodo de gracia durante el cuál podrán adoptar los cambios de la norma y preséntalos durante el ciclo de auditoría.

 

Referencias:
Topics: ISO 27002 ISO 27001 Consultoria Seguridad de la informacion