Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿Qué es la Cláusula 8 y por qué es importante?

La Cláusula 8 (Operación) se encarga de la ejecución práctica de todo lo que se ha planificado en las secciones anteriores (en particular la 6, sobre evaluación y tratamiento de riesgos). Se divide en tres apartados:

  1. 8.1 Planificación y control operacional

    • Asegura que todos los procesos necesarios (según la cláusula 6) se pongan en marcha de manera coherente.
    • Incluye la gestión y supervisión de los cambios operativos (teniendo en cuenta ahora la referencia al punto 6.3 de la nueva versión, sobre planificación de cambios).
    • Requiere el control de procesos externos (p. ej., proveedores o servicios subcontratados) para garantizar que se cumplan los requisitos de seguridad.

  2. 8.2 Evaluación de los riesgos de seguridad de la información

    • Indica la necesidad de evaluar los riesgos de forma periódica (en los intervalos previstos) y también cuando se produzcan cambios importantes.
    • Debe haber registros y documentación que evidencien estas evaluaciones, alineadas con los criterios definidos en 6.1.

  3. 8.3 Tratamiento de los riesgos de seguridad de la información

    • Obliga a implementar el plan de tratamiento de riesgos (definido también en 6.1).
    • Hace hincapié en conservar la información documentada relativa a los resultados del tratamiento (cuáles controles se han aplicado, qué riesgos se han mitigado, etc.).

Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 8

  1. Refuerzo de la relación con la nueva Cláusula 6.3

    • En la edición de 2013, la planificación de cambios estaba dispersa dentro de los requisitos de planificación general.
    • En 2022, se introduce el punto 6.3 (Planificación de cambios) de forma explícita. Esto impacta en la operación (8.1), pues ahora es más claro cómo deben gestionarse los cambios y cómo deben reflejarse en las acciones operativas.

  2. Mayor énfasis en la integración y el control de proveedores externos

    • Ya se solicitaba en 2013, pero en 2022 se ve reforzada la idea de controlar externamente los procesos que afecten la seguridad de la información (p. ej., servicios en la nube, subcontratación de IT).
    • El texto incide más en la supervisión continua, de modo que las organizaciones no se limiten a firmar un contrato, sino que vigilen de forma activa la ejecución y el desempeño del proveedor.

  3. Alianza con otras normas ISO (Anexo SL)

    • La redacción de la nueva versión está más alineada con el Anexo SL revisado, lo que facilita el control operacional si la empresa también implementa otros sistemas de gestión (ISO 9001, ISO 22301, etc.).
    • Se unifican la terminología y la secuencia de pasos, de manera que la operación y el seguimiento sean más sencillos de integrar con otros departamentos.

  4. Claridad sobre la documentación

    • La norma actual insiste en que exista evidencia documental de la evaluación de riesgos (8.2) y del tratamiento de riesgos (8.3).
    • Aunque no es un cambio drástico, se establece un énfasis en la necesidad de mantener registros consistentes y fácilmente rastreables, alineados con el enfoque de mejora continua.

  5. Enfoque proactivo de la operación

    • Con el auge de las ciberamenazas, ISO/IEC 27001:2022 subraya la importancia de anticiparse a los cambios y adaptarse rápidamente (aprovechando la nueva cláusula 6.3 y revisando los planes de acción en 8.1).
    • Esto da un toque más dinámico a la parte operativa, en lugar de enfocarse solo en chequeos periódicos.

Guía de implementación de Cláusula 8 (PDF)

El siguiente documento es una guía de implementación de la cláusula 8. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • Desmitificando la iso 27001

    Desmitificando la ISO 27001

    La seguridad de la información suele estar rodeada de términos técnicos y percepciones que pueden resultar complejas para quienes recién comienzan a explorar este mundo. Por eso, hemos creado el video “Desmitificando la ISO 27001”, una pieza desarrollada con inteligencia artificial luego de algunas pruebas experimentales. Este video es una excelente puerta de entrada para

  • ISO 27002

    ¿Qué es y para qué sirve la ISO 27002?

    Si te enfrentas a ransomware, auditorías exigentes y clientes que piden garantías, probablemente te preguntas por dónde empezar para fortalecer la seguridad. El ruido de marcos y buenas prácticas no ayuda. Aquí es donde ISO 27002 aporta claridad y orden: es el catálogo de controles de seguridad que te guía para proteger la información con

  • Evaluación del Entorno Externo: PESTEL e ISO 27001

    Cuando la tecnología, la regulación y las expectativas de clientes cambian más rápido que tu roadmap, el riesgo no espera. La Evaluación Entorno Externo PESTEL ISO 27001 te permite anticipar amenazas y oportunidades con método, alineando el contexto externo con tu Sistema de Gestión de Seguridad de la Información (SGSI). ¿Por qué importa la Evaluación

  • Comprensión del Análisis FODA en ISO 27001: Contexto, pasos y valor

    Implementar un SGSI que resista auditorías y ataques no es cuestión de suerte. El Análisis FODA en ISO 27001 ofrece una forma clara y práctica de entender tu contexto, priorizar riesgos y alinear inversiones de seguridad con objetivos del negocio. Si diriges TI o una pyme, este enfoque te ayuda a decidir dónde actuar primero,