Publicada la nueva norma ISO/IEC 27001:2022, algunas organizaciones se aprestan a ajustar sus Sistemas de Gestión de Seguridad de la Información para armonizarlos con las novedades que propone la nueva edición del estándar más utilizado en el mundo en esta área.
La nueva norma ISO/IEC 27001:2022 incorpora novedades en sus requisitos, pero también en lo referente a los controles del Anexo A. A continuación, desglosamos los cambios que introduce el nuevo estándar de seguridad de la información cláusula a cláusula.
¿Qué es la norma ISO/IEC 27001:2022?
La norma ISO/IEC 27001:2022 es la actualización para el estándar internacional de gestión de Seguridad de la Información de ISO. Es una actualización esperada, porque sabemos de antemano que los estándares ISO son revisados y actualizados con una periodicidad media de cinco años. La más reciente revisión de la norma, antes de la que hoy nos ocupa, se produjo en 2013.
Para los profesionales que hoy deben ocuparse de hacer la transición, ajustar sus Sistemas de Gestión o iniciar la implementación del estándar, ahora bajo la nueva norma, es importante entender que muchos cambios estructurales significativos se produjeron en la actualización de ISO/IEC 27002 – estándar complementario y accesorio de ISO/IEC 27001-, al iniciar el año.
Así, los cambios en la nueva norma ISO/IEC 27001:2022 buscan, ante todo, una alineación necesaria entre estos dos estándares. Entendido esto, vamos a lo sustancial: las novedades en la edición 2022 de ISO/IEC 27001.
¿Qué cambia en la nueva norma ISO/IEC 27001:2022?
Para establecer los cambios en la revisión de este estándar, y de cualquier otro, lo procedente es revisar el texto de la norma y confrontarlo con el de su antecesora. Es lo que hemos hecho para determinar qué novedades se presentan y qué requisitos se mantienen en la norma ISO/IEC 27001:2022:
Cláusula 4 – Contexto de la Organización
- Cláusula 4.1: en este apartado no se presenta cambio alguno. Se mantiene la obligación de definir y documentar su contexto interno y externo, haciendo referencia a las cuestiones, aspectos, factores o condiciones que pueden impedir o retardar el alcance de los objetivos de seguridad de la información.
- Cláusula 4.2: en este apartado, la norma solicita la comprensión de las expectativas y necesidades de las partes interesadas. No hay cambios sustanciales, sin embargo, la norma ahora aclara que es preciso identificar los requisitos que abordará el SG-SI.
- Cláusula 4.3: no hay un cambio importante aquí. La determinación del alcancel del Sistema de Gestión solo presenta la supresión de una conjunción “y” al final del texto del apartado 4.3 b.
- Cláusula 4.4: en esta cláusula, que habla del Sistema de Gestión de Seguridad de la Información, la edición anterior hacía referencia a “el estándar internacional”. Ahora, se define como “este documento”. Igualmente, se aumenta el alcance a los procesos necesarios y sus interacciones. Se trata, ante todo, de una redacción mucho más precisa, que elimina cualquier duda.
Cláusula 5 – Liderazgo
- Cláusula 5.1: en cuanto al Liderazgo y Compromiso, no se presenta ningún cambio. Esta sigue siendo una responsabilidad para la Alta Dirección.
- Cláusula 5.2: la obligación de redactar y comunicar una política de Seguridad de la Información continúa igual.
- Cláusula 5.3: aquí, cuando se definen las funciones, responsabilidades y autoridades de la organización en el Sistema, nuevamente se debe hablar de “este documento”, en lugar de “estándar internacional”.
Cláusula 6 – Planificación
- Cláusula 6.1: en cuanto a las acciones para abordar riesgos y oportunidades, todo continúa igual.
- Cláusula 6.1.1: en este apartado de Generalidades, solo se suprime una “y”.
- Cláusula 6.1.2: ningún cambio con respecto a la evaluación de riesgos de Seguridad de la Información.
- Cláusula 6.1.3: la gestión de riesgos de seguridad de la información, tema tratado en este apartado, presenta varias novedades que buscan armonizarla con las modificaciones a los controles del Anexo A. Se especifica ahora que los objetivos de control no son necesariamente controles de seguridad, o estar directamente asociados a ellos. Por ello, cambia la palabra “objetivos de control” a “controles”. Igualmente, la expresión “estándar” o “norma internacional” es sustituida por “documento”.
- Cláusula 6.2: los objetivos de seguridad de la información y la planificación necesaria para alcanzarlos presentan como mayor novedad una aclaración semántica: la norma ahora especifica que los objetivos de seguridad de la información deben ser monitorizados y documentados.
- Cláusula 6.3: Planificación de cambios es el tema que se trata en esta nueva cláusula. Aquí se establece la necesidad de planificar los cambios que requiera el sistema en cualquier punto y en cualquier momento.
Cláusula 7 – Soporte
Cláusula 7.1: ningún cambio en lo relativo a recursos.
Cláusula 7.2: ningún cambio en la definición de competencia.
Cláusula 7.3: ningún cambio en cuanto a conocimiento.
Cláusula 7.4: la cláusula con respecto a comunicación incorpora cambios que pretenden hacerla más comprensible y fácil. “Quién se comunicará” es reemplazado por “Cómo comunicar”, a la vez que se prescinde de la necesidad de tener procesos que demuestren que se efectuará la comunicación.
Cláusula 7.5: el requisito sobre información documentada no presenta ninguna modificación.
Cláusula 7.5.1: nuevamente, el cambio significativo es el reemplazo de las menciones a estándar internacional o norma internacional, por el genérico “este documento”. Esto es todo en cuanto a esta cláusula de generalidades.
Cláusula 7.5.2: no hay novedad en cuanto a la cláusula sobre creación y actualización.
Cláusula 7.5.3: el control de la información documentada, en esta nueva norma ISO/IEC 27001:2022, salvo el ya recurrente de sustitución del término estándar por documento.
Cláusula 8 – Operación
- Cláusula 8.1: los cambios en cuanto a planificación y control operativo buscan una redacción más general. Donde antes se solicitaba “cumplir con los requisitos de seguridad de la información”, ahora solo se pide “cumplir con los requisitos”. La nueva norma ISO/IEC 27001:2022 solicita ahora que la información documentada esté siempre disponible, en lugar de mantenerla solamente, lo que implica reafirmar el criterio de disponibilidad. Finalmente, se adiciona a la solicitud de “determinar y controlar procesos subcontratados”, la especificación de que esos procesos, productos o servicios subcontratados, sean relevantes para la Gestión de la Seguridad de la Información.
- Cláusula 8.2: la evaluación de riesgos solicitada, no tiene cambios.
- Cláusula 8.3: igualmente, la gestión de riesgos tampoco los tiene.
Cláusula 9 – Evaluación de Desempeño
- Cláusula 9.1: en este apartado sobre seguimiento, medición, análisis y evaluación, la nueva norma ISO/IEC 27001:2022 elimina la solicitud directa a la organización para que evalúe el desempeño de la gestión, ya que considera que está suficientemente claro en otros apartados, incluso dentro de la misma cláusula. Por otra parte, hay una interesante actualización sobre los métodos que se utilizarán para medir y evaluar el desempeño. Métodos que ya eran recomendados antes en una nota de pie de página. Finalmente, también se recalca aquí la importancia de conservar la documentación y de que esta esté disponible.
- Cláusula 9.2.1: es una división de la cláusula 9.2, que se separa ahora, para describir las generalidades, igual que lo hacía antes, solo que ahora en un apartado propio.
- Cláusula 9.2.2: en este apartado, se habla de la necesidad de crear el programa de auditoría interna, lo cual antes hacía en una sola cláusula que incorporaba el texto del que ahora trata la 9.2.1.
- Cláusula 9.3: se sustituye por tres divisiones de este mismo apartado sobre la revisión de la Alta Dirección.
- Cláusula 9.3.1: las generalidades, antes en la 9.3, no cambian en nada. Solo obtienen su propio lugar.
- Cláusula 9.3.2: igualmente, sobre las entradas de revisión de la Alta Dirección.
- Cláusula 9.3.3: los resultados de la revisión de la Alta Dirección también obtienen su propia cláusula sin que se modifique el texto.
Cláusula 10 – Mejora
- Cláusula 10.1: la mejora continua no presenta ningún cambio. Solo pasa del numeral 2 al 1.
- Cláusula 10.2: los requisitos sobre No Conformidad y Acción Correctiva, en este apartado sobre mejora continua, ahora pasan al numeral 2, sin cambio alguno.
Esto en cuanto al texto integral de la norma. Sin embargo, los controles de seguridad del Anexo A sí representan cambios significativos como comentamos anteriormente.
Dominar la terminología y comprender el alcance de los requisitos, aunque no hayan experimentado profundos cambios, requiere formación constante y actualización de los conocimientos profesionales.
Diplomado en Seguridad de la Información ISO/IEC 27001
La implementación de la nueva norma ISO/IEC 27001:2022 o la actualización desde la edición anterior, son tareas que competen a profesionales expertos, como los que han tomado el Diplomado en Seguridad de la Información ISO/IEC 27001.
Los estudiantes de este programa reciben todo el conocimiento sobre la norma ISO/IEC 27001:2022, así como sobre las mejores prácticas de auditoría aceptadas a nivel internacional. Este programa de excelencia es válido para profesionales que trabajen en la implementación de la norma ISO/IEC 27001:2022, como para los que necesitan actualizar la gestión de sus organizaciones a los requisitos del nuevo estándar.
Este programa tiene una convocatoria nueva abierta ahora. Inscríbete ahora.