by drmunozcl
Share
Por drmunozcl
Compartir
Principales cambios de la norma ISO 27001:2022 respecto a su versión anterior
La revisión 2022 de la norma ISO/IEC 27001 trae consigo una serie de cambios estratégicos que mejoran su alineación con las necesidades actuales de la industria y las amenazas emergentes. A continuación, desglosamos los cambios a la norma ISO 27001:2022:
El Título
El nombre se ha cambiado para reflejar el alcance real de la norma:
-
ISO/IEC 27001:2013
«Information technology — Security techniques — Information security management systems — Requirements» -
ISO/IEC 27001:2022
«Information security, cybersecurity and privacy protection — Information security management systems — Requirements»
La versión 2022 amplía el alcance incluyendo explícitamente los conceptos de ciberseguridad y protección de la privacidad, reflejando la evolución del entorno digital y regulatorio. Esta actualización alinea la norma con otras del sistema de gestión ISO bajo el enfoque de gobernanza integral en TIC.
Numeración de cláusulas
Se ha introducido nuevas subcláusulas para armonizar la estructura del documento con otras normas de sistemas de gestión, como ISO 9001 e ISO 22301.
Resumen tabla comparativa de cambios respecto a versión 2013
| Cláusula | 2013 | 2022 (novedades) |
|---|---|---|
| 4.1 | – | Amendment 1 – Climate action changes: Se añade un requisito: “la organización determinará si el cambio climático es un asunto relevante” |
| 4.2 | Comprender partes interesadas |
|
| 4.4 | Establecer SGSI | + incluir procesos e interacciones del SGSI |
| 5.3 | Asignación de roles | + comunicación interna explícita |
| 6.2 | Objetivos definidos | + monitoreo y documentación |
| 6.3 | – | ✔ Planificación de cambios |
| 7.4 | Quién y cómo comunicar | ✔ Solo “cómo” comunicar |
| 8.1 | Planificación operativa | + definición de criterios y control externo |
| 9.1 | Medición e informes | ✔ Claridad sobre eficacia. Estas acciones ahora deben ser comparables y reproducibles. |
| 9.2-9.3 | Auditoría/revisión | + considerar cambios partes interesadas |
| 10.2 | No conformidad | + análisis de causa raíz y priorización |
Cambios en el Anexo A
Reducción y re estructuración de controles
-
Número total de controles:
-
2013: 114
-
2022: 93
-
-
Los 114 controles se reducen mediante:
-
57 controles fusionados en 24 nuevos conjuntos
-
23 controles renombrados
-
1 control dividido en 2
-
Nueva estructura de dominio
ISO 27001:2022 reorganiza los controles en 4 dominios temáticos (antes eran 14):
| Dominio | Controles |
|---|---|
| Organizacional | 37 |
| Personal | 8 |
| Físico | 14 |
| Tecnológico | 34 |
Controles nuevos
Estos 11 controles reflejan riesgos y tecnologías actuales:
-
Dominio organizacional:
-
A.5.7 Threat intelligence
-
A.5.23 Cloud services security
-
A.5.30 ICT readiness for business continuity
-
-
Dominio físico:
- A.7.4 Physical security monitoring
-
Dominio tecnológico:
- A.8.9 Configuration management
- A.8.10 Information deletion
- A.8.11 Data masking
- A.8.12 Data leakage prevention
- A.8.16 Monitoring activities
- A.8.23 Web filtering
- A.8.28 Secure coding
Conclusión
La norma ISO/IEC 27001:2022 representa una evolución significativa en la gestión de la seguridad de la información, con cambios que reflejan el entorno tecnológico actual y las crecientes amenazas. Para los profesionales de TI y seguridad de la información, comprender y aplicar estos cambios no solo asegura cumplimiento, sino también la mejora continua de la seguridad organizacional en un panorama de amenazas en constante evolución. Adoptar una mentalidad proactiva y de mejora continua será clave para gestionar eficazmente la seguridad de la información bajo la nueva norma.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
¿Quieres fortalecer tu ciberseguridad y acercarte al cumplimiento ISO 27001 sin dar palos de ciego? Empieza por la gestión de activos TI. Si no sabes con precisión qué hardware, software, cuentas y servicios en la nube existen en tu entorno, el resto de controles se vuelven frágiles. Gestión de activos TI e ISO 27001: por
Preparar una empresa de servicios para la auditoría ISO 27001 no tiene por qué ser una carrera de último minuto. Si tu equipo depende de datos para operar y cerrar contratos, fallar la auditoría puede costarte clientes, reputación y foco operativo. La buena noticia: con un plan claro, la auditoría ISO 27001 se convierte en
Esta guía visual explica cómo proteger datos personales y sensibles en el trabajo: qué son, cómo cumplir la ley (Ley de Protección de Datos y GDPR) y buenas prácticas para clasificar documentos, asegurar bases de datos y compartir información con control. Incluye recomendaciones clave como cifrado, MFA, minimización y auditoría.
La transición de ISO/IEC 27001:2013 a ISO/IEC 27001:2022 ya no es opcional: es una obligación con fechas límite claras. Si tu organización aún opera bajo la versión 2013, necesitas actuar ahora para evitar la caducidad del certificado, la pérdida de elegibilidad en licitaciones y la erosión de confianza con clientes y auditores. La fecha límite
