Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿Qué es la cláusula 6 «Planificación»?

La Cláusula 6 establece cómo tu organización debe planificar para abordar los riesgos de seguridad de la información y, a la vez, definir objetivos coherentes con la política y el contexto del negocio. Se divide en:

  1. Acciones para abordar riesgos y oportunidades (6.1)
    • Impulsa el análisis de riesgos (qué puede salir mal, dónde, cómo y por qué) y la definición de planes para tratarlos (el famoso plan de tratamiento de riesgos).
    • Involucra la consideración de oportunidades: no solo evitar incidentes, sino también cómo la buena gestión de la seguridad puede aportar ventajas competitivas o de negocio.
  2. Objetivos de la seguridad de la información y la planificación para lograrlos (6.2)
    • Estipula que los objetivos deben ser medibles, coherentes con la política, tener plazos definidos y asignarse responsabilidades.
    • Asegura que haya un seguimiento de tales objetivos para verificar la efectividad del SGSI y la mejora continua.
  3. Planificación de los cambios (6.3)
    • Novedad destacada en la versión 2022, en la que se formaliza un requisito específico para la gestión de cambios.
    • Se debe planificar y controlar cualquier modificación que pueda afectar la eficacia del SGSI (nuevas tecnologías, reorganizaciones, fusiones, etc.), asegurando una transición ordenada y segura.

Diferencias clave entre ISO 27001:2013 y ISO 27001:2022 en la Cláusula 6

  1. Refuerzo en la integración de riesgos y oportunidades
    • En la versión 2013, el foco en los riesgos era claro, pero en la 2022 se subraya la importancia de identificar oportunidades ligadas a la seguridad de la información, buscando una visión más proactiva que aporte valor al negocio.
  2. Formalización de la cláusula 6.3
    • En 2013, la gestión de cambios aparecía integrada de forma dispersa.
    • En 2022, se crea 6.3 como un apartado independiente, dándole visibilidad a la necesidad de planificar cuidadosamente cualquier modificación que pueda impactar el SGSI. Este requisito ayuda a evitar riesgos no contemplados en los procesos de cambio y refuerza el ciclo de mejora continua.
  3. Mayor alineación con el Anexo SL revisado
    • La nueva estructura mantiene consistencia con otras normas de sistemas de gestión (como ISO 9001 o ISO 22301).
    • Esto facilita la integración de diferentes sistemas de gestión dentro de una misma organización, ahorrando esfuerzos y recursos.
  4. Objetivos más medibles y orientados a resultados
    • Aunque la versión 2013 ya pedía objetivos coherentes, la 2022 refuerza la idea de que los objetivos deben ser específicos, medibles, asignables y con plazos claros (alineado con el enfoque SMART).
    • La intención es asegurar una evaluación más objetiva de la eficacia de las medidas de seguridad.
  5. Conexión con los controles actualizados del Anexo A
    • Con la publicación de ISO/IEC 27002:2022, el número y la estructura de los controles ha cambiado. Esto repercute en la planificación de los planes de tratamiento de riesgos (6.1).
    • Se enfatiza seleccionar controles relevantes a la realidad actual de ciberseguridad, incluyendo entornos en la nube, teletrabajo y la gestión de proveedores.

 

Guía de implementación de Cláusula 6 (PDF)

El siguiente documento es una guía de implementación de la cláusula 6. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • monitoreo control 8.16 iso27001

    Implementación Control A.8.16 – Actividades de monitoreo

    El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con

  • Ejemplo de Declaración de Aplicabilidad ISO 27001 (SoA)

    La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su

  • Prevención fuga de datos

    Implementación Control A.8.12 – Prevención de fuga de datos

    En el contexto actual donde la información es uno de los activos más valiosos de una organización, las fugas de datos (data leaks o data loss) representan una de las amenazas más críticas para la seguridad y la reputación corporativa. El control 8.12 de la ISO/IEC 27001:2022, titulado “Prevención de Fuga de Datos”, establece medidas

  • Eliminado de información iso27001 control 8.10

    Implementación Control A.8.10 – Eliminación de información

    El control 8.10 de la norma ISO/IEC 27001:2022 se titula “Eliminación de información” y pertenece al conjunto de controles del dominio 8: Controles de Seguridad para la Gestión de Activos. Su propósito es asegurar que la información se elimine de forma segura cuando ya no se requiere, evitando el acceso no autorizado, la divulgación indebida