Categories: Certificación iso 27001, ISO 27001

by drmunozcl

Share

Categories: Certificación iso 27001, ISO 27001

Por drmunozcl

Compartir

Principales cambios de la norma ISO 27001:2022 respecto a su versión anterior

La revisión 2022 de la norma ISO/IEC 27001 trae consigo una serie de cambios estratégicos que mejoran su alineación con las necesidades actuales de la industria y las amenazas emergentes. A continuación, desglosamos los cambios a la norma ISO 27001:2022:

El Título

El nombre se ha cambiado para reflejar el alcance real de la norma:

  • ISO/IEC 27001:2013
    «Information technology — Security techniques — Information security management systems — Requirements»

  • ISO/IEC 27001:2022
    «Information security, cybersecurity and privacy protection — Information security management systems — Requirements»

La versión 2022 amplía el alcance incluyendo explícitamente los conceptos de ciberseguridad y protección de la privacidad, reflejando la evolución del entorno digital y regulatorio. Esta actualización alinea la norma con otras del sistema de gestión ISO bajo el enfoque de gobernanza integral en TIC.

Numeración de cláusulas

Se ha introducido nuevas subcláusulas para armonizar la estructura del documento con otras normas de sistemas de gestión, como ISO 9001 e ISO 22301.

Resumen tabla comparativa de cambios respecto a versión 2013

Cláusula 2013 2022 (novedades)
4.1 Amendment 1 – Climate action changes: Se añade un requisito: “la organización determinará si el cambio climático es un asunto relevante”
4.2 Comprender partes interesadas
  • + determinar qué requisitos se atienden en el SGSI
  • Amendment 1 – Climate action changes: Incorpora una nueva nota: “las partes interesadas relevantes pueden tener requisitos relacionados con el cambio climático”
4.4 Establecer SGSI + incluir procesos e interacciones del SGSI
5.3 Asignación de roles + comunicación interna explícita
6.2 Objetivos definidos + monitoreo y documentación
6.3 ✔ Planificación de cambios
7.4 Quién y cómo comunicar ✔ Solo “cómo” comunicar
8.1 Planificación operativa + definición de criterios y control externo
9.1 Medición e informes ✔ Claridad sobre eficacia. Estas acciones ahora deben ser comparables y reproducibles.
9.2-9.3 Auditoría/revisión + considerar cambios partes interesadas
10.2 No conformidad + análisis de causa raíz y priorización

Cambios en el Anexo A

Reducción y re estructuración de controles

  • Número total de controles:

    • 2013: 114

    • 2022: 93

  • Los 114 controles se reducen mediante:

    • 57 controles fusionados en 24 nuevos conjuntos

    • 23 controles renombrados

    • 1 control dividido en 2

Nueva estructura de dominio

ISO 27001:2022 reorganiza los controles en 4 dominios temáticos (antes eran 14):

Dominio Controles
Organizacional 37
Personal 8
Físico 14
Tecnológico 34

Controles nuevos

Estos 11 controles reflejan riesgos y tecnologías actuales:

  • Dominio organizacional:

    1. A.5.7 Threat intelligence

    2. A.5.23 Cloud services security

    3. A.5.30 ICT readiness for business continuity

  • Dominio físico:

    1. A.7.4 Physical security monitoring

  • Dominio tecnológico:

    1. A.8.9 Configuration management
    1. A.8.10 Information deletion
    1. A.8.11 Data masking
    1. A.8.12 Data leakage prevention
    1. A.8.16 Monitoring activities
    1. A.8.23 Web filtering
    1. A.8.28 Secure coding

Conclusión

La norma ISO/IEC 27001:2022 representa una evolución significativa en la gestión de la seguridad de la información, con cambios que reflejan el entorno tecnológico actual y las crecientes amenazas. Para los profesionales de TI y seguridad de la información, comprender y aplicar estos cambios no solo asegura cumplimiento, sino también la mejora continua de la seguridad organizacional en un panorama de amenazas en constante evolución. Adoptar una mentalidad proactiva y de mejora continua será clave para gestionar eficazmente la seguridad de la información bajo la nueva norma.

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • codificación seguro iso 27001 control 8.28

    Implementación Control A.8.28 – Codificación segura

    El control 8.28 de ISO/IEC 27001:2022 establece la necesidad de aplicar prácticas de codificación segura durante el desarrollo de software y sistemas, con el fin de minimizar vulnerabilidades que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. En este artículo, te guiamos paso a paso en su implementación. Objetivo del Control 8.28 “Asegurar

  • WAF - filtrado web control 8.23 iso 27001

    Implementación Control A.8.23 – Filtrado web

    El control 8.23 – Filtrado Web de la norma ISO/IEC 27001:2022 tiene como objetivo proteger a la organización de amenazas derivadas del acceso a contenidos maliciosos o inapropiados en la web, mediante la implementación de mecanismos de control y monitoreo del tráfico web. A continuación, se describe una guía práctica para su implementación exitosa. Objetivo

  • monitoreo control 8.16 iso27001

    Implementación Control A.8.16 – Actividades de monitoreo

    El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con

  • Ejemplo de Declaración de Aplicabilidad ISO 27001 (SoA)

    La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su