Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿Qué es la cláusula 6 «Planificación»?

La Cláusula 6 establece cómo tu organización debe planificar para abordar los riesgos de seguridad de la información y, a la vez, definir objetivos coherentes con la política y el contexto del negocio. Se divide en:

  1. Acciones para abordar riesgos y oportunidades (6.1)
    • Impulsa el análisis de riesgos (qué puede salir mal, dónde, cómo y por qué) y la definición de planes para tratarlos (el famoso plan de tratamiento de riesgos).
    • Involucra la consideración de oportunidades: no solo evitar incidentes, sino también cómo la buena gestión de la seguridad puede aportar ventajas competitivas o de negocio.
  2. Objetivos de la seguridad de la información y la planificación para lograrlos (6.2)
    • Estipula que los objetivos deben ser medibles, coherentes con la política, tener plazos definidos y asignarse responsabilidades.
    • Asegura que haya un seguimiento de tales objetivos para verificar la efectividad del SGSI y la mejora continua.
  3. Planificación de los cambios (6.3)
    • Novedad destacada en la versión 2022, en la que se formaliza un requisito específico para la gestión de cambios.
    • Se debe planificar y controlar cualquier modificación que pueda afectar la eficacia del SGSI (nuevas tecnologías, reorganizaciones, fusiones, etc.), asegurando una transición ordenada y segura.

Diferencias clave entre ISO 27001:2013 y ISO 27001:2022 en la Cláusula 6

  1. Refuerzo en la integración de riesgos y oportunidades
    • En la versión 2013, el foco en los riesgos era claro, pero en la 2022 se subraya la importancia de identificar oportunidades ligadas a la seguridad de la información, buscando una visión más proactiva que aporte valor al negocio.
  2. Formalización de la cláusula 6.3
    • En 2013, la gestión de cambios aparecía integrada de forma dispersa.
    • En 2022, se crea 6.3 como un apartado independiente, dándole visibilidad a la necesidad de planificar cuidadosamente cualquier modificación que pueda impactar el SGSI. Este requisito ayuda a evitar riesgos no contemplados en los procesos de cambio y refuerza el ciclo de mejora continua.
  3. Mayor alineación con el Anexo SL revisado
    • La nueva estructura mantiene consistencia con otras normas de sistemas de gestión (como ISO 9001 o ISO 22301).
    • Esto facilita la integración de diferentes sistemas de gestión dentro de una misma organización, ahorrando esfuerzos y recursos.
  4. Objetivos más medibles y orientados a resultados
    • Aunque la versión 2013 ya pedía objetivos coherentes, la 2022 refuerza la idea de que los objetivos deben ser específicos, medibles, asignables y con plazos claros (alineado con el enfoque SMART).
    • La intención es asegurar una evaluación más objetiva de la eficacia de las medidas de seguridad.
  5. Conexión con los controles actualizados del Anexo A
    • Con la publicación de ISO/IEC 27002:2022, el número y la estructura de los controles ha cambiado. Esto repercute en la planificación de los planes de tratamiento de riesgos (6.1).
    • Se enfatiza seleccionar controles relevantes a la realidad actual de ciberseguridad, incluyendo entornos en la nube, teletrabajo y la gestión de proveedores.

 

Guía de implementación de Cláusula 6 (PDF)

El siguiente documento es una guía de implementación de la cláusula 6. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • codificación seguro iso 27001 control 8.28

    Implementación Control A.8.28 – Codificación segura

    El control 8.28 de ISO/IEC 27001:2022 establece la necesidad de aplicar prácticas de codificación segura durante el desarrollo de software y sistemas, con el fin de minimizar vulnerabilidades que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. En este artículo, te guiamos paso a paso en su implementación. Objetivo del Control 8.28 “Asegurar

  • WAF - filtrado web control 8.23 iso 27001

    Implementación Control A.8.23 – Filtrado web

    El control 8.23 – Filtrado Web de la norma ISO/IEC 27001:2022 tiene como objetivo proteger a la organización de amenazas derivadas del acceso a contenidos maliciosos o inapropiados en la web, mediante la implementación de mecanismos de control y monitoreo del tráfico web. A continuación, se describe una guía práctica para su implementación exitosa. Objetivo

  • monitoreo control 8.16 iso27001

    Implementación Control A.8.16 – Actividades de monitoreo

    El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con

  • Ejemplo de Declaración de Aplicabilidad ISO 27001 (SoA)

    La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su