Categories: Certificación iso 27001, ISO 27001

by drmunozcl

Share

Categories: Certificación iso 27001, ISO 27001

Por drmunozcl

Compartir

Principales cambios de la norma ISO 27001:2022 respecto a su versión anterior

La revisión 2022 de la norma ISO/IEC 27001 trae consigo una serie de cambios estratégicos que mejoran su alineación con las necesidades actuales de la industria y las amenazas emergentes. A continuación, desglosamos los cambios a la norma ISO 27001:2022:

El Título

El nombre se ha cambiado para reflejar el alcance real de la norma:

  • ISO/IEC 27001:2013
    «Information technology — Security techniques — Information security management systems — Requirements»

  • ISO/IEC 27001:2022
    «Information security, cybersecurity and privacy protection — Information security management systems — Requirements»

La versión 2022 amplía el alcance incluyendo explícitamente los conceptos de ciberseguridad y protección de la privacidad, reflejando la evolución del entorno digital y regulatorio. Esta actualización alinea la norma con otras del sistema de gestión ISO bajo el enfoque de gobernanza integral en TIC.

Numeración de cláusulas

Se ha introducido nuevas subcláusulas para armonizar la estructura del documento con otras normas de sistemas de gestión, como ISO 9001 e ISO 22301.

Resumen tabla comparativa de cambios respecto a versión 2013

Cláusula 2013 2022 (novedades)
4.1 Amendment 1 – Climate action changes: Se añade un requisito: “la organización determinará si el cambio climático es un asunto relevante”
4.2 Comprender partes interesadas
  • + determinar qué requisitos se atienden en el SGSI
  • Amendment 1 – Climate action changes: Incorpora una nueva nota: “las partes interesadas relevantes pueden tener requisitos relacionados con el cambio climático”
4.4 Establecer SGSI + incluir procesos e interacciones del SGSI
5.3 Asignación de roles + comunicación interna explícita
6.2 Objetivos definidos + monitoreo y documentación
6.3 ✔ Planificación de cambios
7.4 Quién y cómo comunicar ✔ Solo “cómo” comunicar
8.1 Planificación operativa + definición de criterios y control externo
9.1 Medición e informes ✔ Claridad sobre eficacia. Estas acciones ahora deben ser comparables y reproducibles.
9.2-9.3 Auditoría/revisión + considerar cambios partes interesadas
10.2 No conformidad + análisis de causa raíz y priorización

Cambios en el Anexo A

Reducción y re estructuración de controles

  • Número total de controles:

    • 2013: 114

    • 2022: 93

  • Los 114 controles se reducen mediante:

    • 57 controles fusionados en 24 nuevos conjuntos

    • 23 controles renombrados

    • 1 control dividido en 2

Nueva estructura de dominio

ISO 27001:2022 reorganiza los controles en 4 dominios temáticos (antes eran 14):

Dominio Controles
Organizacional 37
Personal 8
Físico 14
Tecnológico 34

Controles nuevos

Estos 11 controles reflejan riesgos y tecnologías actuales:

  • Dominio organizacional:

    1. A.5.7 Threat intelligence

    2. A.5.23 Cloud services security

    3. A.5.30 ICT readiness for business continuity

  • Dominio físico:

    1. A.7.4 Physical security monitoring

  • Dominio tecnológico:

    1. A.8.9 Configuration management
    1. A.8.10 Information deletion
    1. A.8.11 Data masking
    1. A.8.12 Data leakage prevention
    1. A.8.16 Monitoring activities
    1. A.8.23 Web filtering
    1. A.8.28 Secure coding

Conclusión

La norma ISO/IEC 27001:2022 representa una evolución significativa en la gestión de la seguridad de la información, con cambios que reflejan el entorno tecnológico actual y las crecientes amenazas. Para los profesionales de TI y seguridad de la información, comprender y aplicar estos cambios no solo asegura cumplimiento, sino también la mejora continua de la seguridad organizacional en un panorama de amenazas en constante evolución. Adoptar una mentalidad proactiva y de mejora continua será clave para gestionar eficazmente la seguridad de la información bajo la nueva norma.

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • password

    Buenas prácticas en el uso de contraseñas (Infografía)

    Descubre las mejores prácticas para crear contraseñas seguras: por qué la fortaleza y la longitud importan, cuáles son los errores comunes que debes evitar, cómo un gestor simplifica tu día a día y por qué activar MFA añade una capa extra de protección a tus cuentas y datos.

  • información

    La información: el activo más valioso (Infografía)

    La información es el activo más valioso de cualquier organización, pero también el más vulnerable. La concientización en seguridad de la información busca fortalecer la cultura organizacional, recordando que proteger la confidencialidad, la integridad y la disponibilidad de los datos no es solo una tarea tecnológica, sino una responsabilidad compartida.

  • ¿Qué son las políticas en una empresa y por qué son importantes en ISO 27001?

    Si te preguntas qué son las políticas en una empresa y por qué son importantes en ISO 27001, estás en el lugar correcto. En ciberseguridad, las políticas no son papeles para la estantería: son el marco que guía decisiones, reduce riesgos y facilita auditorías. Cuando faltan o se redactan sin rumbo, aparecen brechas, multas, clientes

  • Desmitificando la iso 27001

    Desmitificando la ISO 27001

    La seguridad de la información suele estar rodeada de términos técnicos y percepciones que pueden resultar complejas para quienes recién comienzan a explorar este mundo. Por eso, hemos creado el video “Desmitificando la ISO 27001”, una pieza desarrollada con inteligencia artificial luego de algunas pruebas experimentales. Este video es una excelente puerta de entrada para