ISO 27001:2022 - Controles nuevos
La parte principal de la ISO/IEC 27001, correspondiente a las cláusulas de la 4 a la 10 no van a experimentar cambios.
Estas cláusulas incluyen el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concientización, la comunicación, el control de documentos, el seguimiento y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas.
Es por ello que los cambios atienden a la actualización de los controles de seguridad enumerados en el Anexo A de la ISO 27001 y que se corresponden con la ISO 27002.
Anexo A : Nueva lista de los Controles ISO 27002:2022
NOTA: ESTE ANEXO ES DE RECOMENDACIÓN, NO FORMA PARTE DE UN PROCESO DE CERTIFICACIÓN EN ISO 27001 Y NO SON REQUISITOS EXPLÍCITOS DE LA ISO 27001, SI NO QUE SON UNA GUÍA PARA FACILITAR LA IMPLEMENTACIÓN DE LA ISO 27001
ISO 27002 - 5 : Controles organizativos
ISO 27002 - 5.1 : Políticas de seguridad de la información
ISO 27002 - 5.2 : Funciones y responsabilidades en materia de seguridad de la información
ISO 27002 - 5.3 : Segregación de funciones
ISO 27002 - 5.4 : Responsabilidades de la dirección
ISO 27002 - 5.5 : Contacto con las autoridades
ISO 27002 - 5.6 : Contacto con grupos de interés especial
ISO 27002 - 5.7 : Inteligencia de amenazas - NUEVO
ISO 27002 - 5.8 : Seguridad de la información en la gestión de proyectos
ISO 27002 - 5.9 : Inventario de la información y otros activos asociados - CAMBIOS
ISO 27002 - 5.10 : Uso aceptable de la información y otros activos asociados - CAMBIOS
ISO 27002 - 5.11 : Devolución de activos
ISO 27002 - 5.12 : Clasificación de la información
ISO 27002 - 5.13 : Etiquetado de la información
ISO 27002 - 5.14 : Transferencia de información
ISO 27002 - 5.15 : Control de acceso
ISO 27002 - 5.16 : Gestión de la identidad
ISO 27002 - 5.17 : Información de autenticación - NUEVO
ISO 27002 - 5.18 : Derechos de acceso - CAMBIOS
ISO 27002 - 5.19 : Seguridad de la información en las relaciones con los proveedores
ISO 27002 - 5.20 : Gestión de la seguridad de la información en los acuerdos con los proveedores
ISO 27002 - 5.21 : Gestión de la seguridad de la información en la cadena de suministro de las TIC - NUEVO
ISO 27002 - 5.22 : Monitoreo, revisión y gestión de cambios de los servicios de los proveedores - CAMBIOS
ISO 27002 - 5.23 : Seguridad de la información para el uso de servicios en la nube - NUEVO
ISO 27002 - 5.24 : Planificación y preparación de la gestión de incidentes de seguridad de la información - CAMBIOS
ISO 27002 - 5.25 : Evaluación y decisión sobre eventos de seguridad de la información
ISO 27002 - 5.26 : Respuesta a incidentes de seguridad de la información
ISO 27002 - 5.27 : Aprendizaje de los incidentes de seguridad de la información
ISO 27002 - 5.28 : Recogida de pruebas
ISO 27002 - 5.29 : Seguridad de la información durante la interrupción - CAMBIOS
ISO 27002 - 5.30 : Preparación de las TIC para la continuidad del negocio - NUEVO
ISO 27002 - 5.31 : Identificación de los requisitos legales, reglamentarios y contractuales
ISO 27002 - 5.32 : Derechos de propiedad intelectual
ISO 27002 - 5.33 : Protección de registros
ISO 27002 - 5.34 : Privacidad y protección de la información personal
ISO 27002 - 5.35 : Revisión independiente de la seguridad de la información
ISO 27002 - 5.36 : Cumplimiento de políticas y normas de seguridad de la información
ISO 27002 - 5.37 : Procedimientos operativos documentados
ISO 27002 - 6 : Controles de personas
ISO 27002 - 6.1 : Selección de personal
ISO 27002 - 6.2 : Términos y condiciones de empleo
ISO 27002 - 6.3 : Concienciación, educación y formación en materia de seguridad de la información
ISO 27002 - 6.4 : Proceso disciplinario
ISO 27002 - 6.5 : Responsabilidades después de la terminación o cambio de empleo
ISO 27002 - 6.6 : Acuerdos de confidencialidad o no divulgación
ISO 27002 - 6.7 : Trabajo a distancia - NUEVO
ISO 27002 - 6.8 : Reporte de eventos de seguridad de la información
ISO 27002 - 7 : Controles físicos
ISO 27002 - 7.1 : Perímetro de seguridad física
ISO 27002 - 7.2 : Controles físicos de entrada
ISO 27002 - 7.3 : Seguridad de oficinas, salas e instalaciones
ISO 27002 - 7.4 : Supervisión de la seguridad física
ISO 27002 - 7.5 : Protección contra amenazas físicas y ambientales
ISO 27002 - 7.6 : Trabajar en áreas seguras
ISO 27002 - 7.7 : Escritorio y pantalla despejados
ISO 27002 - 7.8 : Ubicación y protección de los equipos
ISO 27002 - 7.9 : Seguridad de los activos fuera de las instalaciones
ISO 27002 - 7.10 : Medios de almacenamiento - NUEVO
ISO 27002 - 7.11 : Servicios de apoyo
ISO 27002 - 7.12 : Seguridad del cableado
ISO 27002 - 7.13 : Mantenimiento de equipos
ISO 27002 - 7.14 : Seguridad en la eliminación o reutilización de equipos
ISO 27002 - 8 : Controles tecnológicos
ISO 27002 - 8.1 : Dispositivos de punto final del usuario - NUEVO
ISO 27002 - 8.2 : Derechos de acceso con privilegios
ISO 27002 - 8.3 : Restricción de acceso a la información
ISO 27002 - 8.4 : Acceso al código fuente
ISO 27002 - 8.5 : Autenticación segura
ISO 27002 - 8.6 : Gestión de la capacidad
ISO 27002 - 8.7 : Protección contra el malware
ISO 27002 - 8.8 : Gestión de las vulnerabilidades técnicas
ISO 27002 - 8.9 : Gestión de la configuración
ISO 27002 - 8.10 : Eliminación de información - NUEVO
ISO 27002 - 8.11 : Enmascaramiento de datos - NUEVO
ISO 27002 - 8.12 : Prevención de la fuga de datos - NUEVO
ISO 27002 - 8.13 : Copia de seguridad de la información
ISO 27002 - 8.14 : Redundancia de las instalaciones de procesamiento de la información
ISO 27002 - 8.15 : Registro de datos
ISO 27002 - 8.16 : Actividades de supervisión
ISO 27002 - 8.17 : Sincronización de relojes
ISO 27002 - 8.18 : Uso de programas de utilidad privilegiados
ISO 27002 - 8.19 : Instalación de software en sistemas operativos
ISO 27002 - 8.20 : Controles de red
ISO 27002 - 8.21 : Seguridad de los servicios de red
ISO 27002 - 8.22 : Filtrado web - NUEVO
ISO 27002 - 8.23 : Segregación en redes
ISO 27002 - 8.24 : Uso de criptografía
ISO 27002 - 8.25 : Ciclo de vida de desarrollo seguro
ISO 27002 - 8.26 : Requisitos de seguridad de las aplicaciones - NUEVO
ISO 27002 - 8.27 : Arquitectura de sistemas seguros y principios de ingeniería - NUEVO
ISO 27002 - 8.28 : Codificación segura
ISO 27002 - 8.29 : Pruebas de seguridad en el desarrollo y la aceptación
ISO 27002 - 8.30 : Desarrollo externalizado
ISO 27002 - 8.31 : Separación de los entornos de desarrollo, prueba y producción
ISO 27002 - 8.32 : Gestión del cambio
ISO 27002 - 8.33 : Información de pruebas
ISO 27002 - 8.34 : Protección de los sistemas de información durante la auditoría y las pruebas - NUEVO
Periodo de transición
25 de octubre de 2022: Fecha de publicación de la ISO/IEC 27001:2022 3ª edición
31 de octubre de 2022: Comienzo del periodo de transición
1 de mayo de 2024: A partir de esta fecha, todas las certificaciones iniciales deberán realizarse acorde a la ISO 27001:2022. También se recomienda que todas las auditorías de recertificación a partir de esta fecha se realicen acorde a la ISO 27001:2022. NQA seguirá aceptando solicitudes de certificación y emitiendo nuevos certificados según la norma 27001:2013 hasta esta fecha.
31 de julio de 2025: Todas las auditorías de transición deben realizarse antes de esta fecha.
31 de octubre de 2025: Finaliza el periodo de transición. Los certificados para la norma ISO/IEC 27001:2013 dejarán de ser válidos.
Soluciones en certificación, inspección y auditoria enfocadas a la optimización de los negocios.
NOTA: ESTA WEB NO UTILIZA COOKIES NI NINGÚN MEDIO DE CONTROL VISITANTES.
INTERCER
Avda. del Conocimiento nº 34, Parque Tecnológico de Ciencias de la Salud , 18006 Granada, Spain
Copyright INTERCER. All rights reserved.