Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿Qué es la Cláusula 8 y por qué es importante?

La Cláusula 8 (Operación) se encarga de la ejecución práctica de todo lo que se ha planificado en las secciones anteriores (en particular la 6, sobre evaluación y tratamiento de riesgos). Se divide en tres apartados:

  1. 8.1 Planificación y control operacional

    • Asegura que todos los procesos necesarios (según la cláusula 6) se pongan en marcha de manera coherente.
    • Incluye la gestión y supervisión de los cambios operativos (teniendo en cuenta ahora la referencia al punto 6.3 de la nueva versión, sobre planificación de cambios).
    • Requiere el control de procesos externos (p. ej., proveedores o servicios subcontratados) para garantizar que se cumplan los requisitos de seguridad.

  2. 8.2 Evaluación de los riesgos de seguridad de la información

    • Indica la necesidad de evaluar los riesgos de forma periódica (en los intervalos previstos) y también cuando se produzcan cambios importantes.
    • Debe haber registros y documentación que evidencien estas evaluaciones, alineadas con los criterios definidos en 6.1.

  3. 8.3 Tratamiento de los riesgos de seguridad de la información

    • Obliga a implementar el plan de tratamiento de riesgos (definido también en 6.1).
    • Hace hincapié en conservar la información documentada relativa a los resultados del tratamiento (cuáles controles se han aplicado, qué riesgos se han mitigado, etc.).

Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 8

  1. Refuerzo de la relación con la nueva Cláusula 6.3

    • En la edición de 2013, la planificación de cambios estaba dispersa dentro de los requisitos de planificación general.
    • En 2022, se introduce el punto 6.3 (Planificación de cambios) de forma explícita. Esto impacta en la operación (8.1), pues ahora es más claro cómo deben gestionarse los cambios y cómo deben reflejarse en las acciones operativas.

  2. Mayor énfasis en la integración y el control de proveedores externos

    • Ya se solicitaba en 2013, pero en 2022 se ve reforzada la idea de controlar externamente los procesos que afecten la seguridad de la información (p. ej., servicios en la nube, subcontratación de IT).
    • El texto incide más en la supervisión continua, de modo que las organizaciones no se limiten a firmar un contrato, sino que vigilen de forma activa la ejecución y el desempeño del proveedor.

  3. Alianza con otras normas ISO (Anexo SL)

    • La redacción de la nueva versión está más alineada con el Anexo SL revisado, lo que facilita el control operacional si la empresa también implementa otros sistemas de gestión (ISO 9001, ISO 22301, etc.).
    • Se unifican la terminología y la secuencia de pasos, de manera que la operación y el seguimiento sean más sencillos de integrar con otros departamentos.

  4. Claridad sobre la documentación

    • La norma actual insiste en que exista evidencia documental de la evaluación de riesgos (8.2) y del tratamiento de riesgos (8.3).
    • Aunque no es un cambio drástico, se establece un énfasis en la necesidad de mantener registros consistentes y fácilmente rastreables, alineados con el enfoque de mejora continua.

  5. Enfoque proactivo de la operación

    • Con el auge de las ciberamenazas, ISO/IEC 27001:2022 subraya la importancia de anticiparse a los cambios y adaptarse rápidamente (aprovechando la nueva cláusula 6.3 y revisando los planes de acción en 8.1).
    • Esto da un toque más dinámico a la parte operativa, en lugar de enfocarse solo en chequeos periódicos.

Guía de implementación de Cláusula 8 (PDF)

El siguiente documento es una guía de implementación de la cláusula 8. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • ¿Cómo preparar una empresa de servicios para la auditoría ISO 27001?

    Preparar una empresa de servicios para la auditoría ISO 27001 no tiene por qué ser una carrera de último minuto. Si tu equipo depende de datos para operar y cerrar contratos, fallar la auditoría puede costarte clientes, reputación y foco operativo. La buena noticia: con un plan claro, la auditoría ISO 27001 se convierte en

  • Protección de datos personales y sensibles (Infografía)

    Esta guía visual explica cómo proteger datos personales y sensibles en el trabajo: qué son, cómo cumplir la ley (Ley de Protección de Datos y GDPR) y buenas prácticas para clasificar documentos, asegurar bases de datos y compartir información con control. Incluye recomendaciones clave como cifrado, MFA, minimización y auditoría.

  • Recordatorio: Fecha límite de transición de ISO 27001 versión 2013 a 2022

    La transición de ISO/IEC 27001:2013 a ISO/IEC 27001:2022 ya no es opcional: es una obligación con fechas límite claras. Si tu organización aún opera bajo la versión 2013, necesitas actuar ahora para evitar la caducidad del certificado, la pérdida de elegibilidad en licitaciones y la erosión de confianza con clientes y auditores. La fecha límite

  • Uso responsable de dispositivos y equipos de trabajo (Infografía)

    El uso responsable de computadores, móviles y tablets es clave para proteger la información de tu organización. En esta guía práctica aprenderás hábitos esenciales: bloquear el equipo al ausentarte, instalar solo software autorizado, separar el uso personal del corporativo y aplicar precauciones en dispositivos móviles (PIN/biometría, actualizaciones, VPN).