ISO 27001:2022 - Controles nuevos

La parte principal de la ISO/IEC 27001, correspondiente a las cláusulas de la 4 a la 10 no van a experimentar cambios.

Estas cláusulas incluyen el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concientización, la comunicación, el control de documentos, el seguimiento y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas.

Es por ello que los cambios atienden a la actualización de los controles de seguridad enumerados en el Anexo A de la ISO 27001 y que se corresponden con la ISO 27002.

Anexo A : Nueva lista de los Controles ISO 27002:2022

NOTA: ESTE ANEXO ES DE RECOMENDACIÓN, NO FORMA PARTE DE UN PROCESO DE CERTIFICACIÓN EN ISO 27001 Y NO SON REQUISITOS EXPLÍCITOS DE LA ISO 27001, SI NO QUE SON UNA GUÍA PARA FACILITAR LA IMPLEMENTACIÓN DE LA ISO 27001

ISO 27002 - 5 : Controles organizativos

ISO 27002 - 5.1 : Políticas de seguridad de la información

ISO 27002 - 5.2 : Funciones y responsabilidades en materia de seguridad de la información

ISO 27002 - 5.3 : Segregación de funciones

ISO 27002 - 5.4 : Responsabilidades de la dirección

ISO 27002 - 5.5 : Contacto con las autoridades

ISO 27002 - 5.6 : Contacto con grupos de interés especial

ISO 27002 - 5.7 : Inteligencia de amenazas - NUEVO

ISO 27002 - 5.8 : Seguridad de la información en la gestión de proyectos

ISO 27002 - 5.9 : Inventario de la información y otros activos asociados - CAMBIOS

ISO 27002 - 5.10 : Uso aceptable de la información y otros activos asociados - CAMBIOS

ISO 27002 - 5.11 : Devolución de activos

ISO 27002 - 5.12 : Clasificación de la información

ISO 27002 - 5.13 : Etiquetado de la información

ISO 27002 - 5.14 : Transferencia de información

ISO 27002 - 5.15 : Control de acceso

ISO 27002 - 5.16 : Gestión de la identidad

ISO 27002 - 5.17 : Información de autenticación - NUEVO

ISO 27002 - 5.18 : Derechos de acceso - CAMBIOS

ISO 27002 - 5.19 : Seguridad de la información en las relaciones con los proveedores

ISO 27002 - 5.20 : Gestión de la seguridad de la información en los acuerdos con los proveedores

ISO 27002 - 5.21 : Gestión de la seguridad de la información en la cadena de suministro de las TIC - NUEVO

ISO 27002 - 5.22 : Monitoreo, revisión y gestión de cambios de los servicios de los proveedores - CAMBIOS

ISO 27002 - 5.23 : Seguridad de la información para el uso de servicios en la nube - NUEVO

ISO 27002 - 5.24 : Planificación y preparación de la gestión de incidentes de seguridad de la información - CAMBIOS

ISO 27002 - 5.25 : Evaluación y decisión sobre eventos de seguridad de la información

ISO 27002 - 5.26 : Respuesta a incidentes de seguridad de la información

ISO 27002 - 5.27 : Aprendizaje de los incidentes de seguridad de la información

ISO 27002 - 5.28 : Recogida de pruebas

ISO 27002 - 5.29 : Seguridad de la información durante la interrupción - CAMBIOS

ISO 27002 - 5.30 : Preparación de las TIC para la continuidad del negocio - NUEVO

ISO 27002 - 5.31 : Identificación de los requisitos legales, reglamentarios y contractuales

ISO 27002 - 5.32 : Derechos de propiedad intelectual

ISO 27002 - 5.33 : Protección de registros

ISO 27002 - 5.34 : Privacidad y protección de la información personal

ISO 27002 - 5.35 : Revisión independiente de la seguridad de la información

ISO 27002 - 5.36 : Cumplimiento de políticas y normas de seguridad de la información

ISO 27002 - 5.37 : Procedimientos operativos documentados

ISO 27002 - 6 : Controles de personas

ISO 27002 - 6.1 : Selección de personal

ISO 27002 - 6.2 : Términos y condiciones de empleo

ISO 27002 - 6.3 : Concienciación, educación y formación en materia de seguridad de la información

ISO 27002 - 6.4 : Proceso disciplinario

ISO 27002 - 6.5 : Responsabilidades después de la terminación o cambio de empleo

ISO 27002 - 6.6 : Acuerdos de confidencialidad o no divulgación

ISO 27002 - 6.7 : Trabajo a distancia - NUEVO

ISO 27002 - 6.8 : Reporte de eventos de seguridad de la información

ISO 27002 - 7 : Controles físicos

ISO 27002 - 7.1 : Perímetro de seguridad física

ISO 27002 - 7.2 : Controles físicos de entrada

ISO 27002 - 7.3 : Seguridad de oficinas, salas e instalaciones

ISO 27002 - 7.4 : Supervisión de la seguridad física

ISO 27002 - 7.5 : Protección contra amenazas físicas y ambientales

ISO 27002 - 7.6 : Trabajar en áreas seguras

ISO 27002 - 7.7 : Escritorio y pantalla despejados

ISO 27002 - 7.8 : Ubicación y protección de los equipos

ISO 27002 - 7.9 : Seguridad de los activos fuera de las instalaciones

ISO 27002 - 7.10 : Medios de almacenamiento - NUEVO

ISO 27002 - 7.11 : Servicios de apoyo

ISO 27002 - 7.12 : Seguridad del cableado

ISO 27002 - 7.13 : Mantenimiento de equipos

ISO 27002 - 7.14 : Seguridad en la eliminación o reutilización de equipos

ISO 27002 - 8 : Controles tecnológicos

ISO 27002 - 8.1 : Dispositivos de punto final del usuario - NUEVO

ISO 27002 - 8.2 : Derechos de acceso con privilegios

ISO 27002 - 8.3 : Restricción de acceso a la información

ISO 27002 - 8.4 : Acceso al código fuente

ISO 27002 - 8.5 : Autenticación segura

ISO 27002 - 8.6 : Gestión de la capacidad

ISO 27002 - 8.7 : Protección contra el malware

ISO 27002 - 8.8 : Gestión de las vulnerabilidades técnicas

ISO 27002 - 8.9 : Gestión de la configuración

ISO 27002 - 8.10 : Eliminación de información - NUEVO

ISO 27002 - 8.11 : Enmascaramiento de datos - NUEVO

ISO 27002 - 8.12 : Prevención de la fuga de datos - NUEVO

ISO 27002 - 8.13 : Copia de seguridad de la información

ISO 27002 - 8.14 : Redundancia de las instalaciones de procesamiento de la información

ISO 27002 - 8.15 : Registro de datos

ISO 27002 - 8.16 : Actividades de supervisión

ISO 27002 - 8.17 : Sincronización de relojes

ISO 27002 - 8.18 : Uso de programas de utilidad privilegiados

ISO 27002 - 8.19 : Instalación de software en sistemas operativos

ISO 27002 - 8.20 : Controles de red

ISO 27002 - 8.21 : Seguridad de los servicios de red

ISO 27002 - 8.22 : Filtrado web - NUEVO

ISO 27002 - 8.23 : Segregación en redes

ISO 27002 - 8.24 : Uso de criptografía

ISO 27002 - 8.25 : Ciclo de vida de desarrollo seguro

ISO 27002 - 8.26 : Requisitos de seguridad de las aplicaciones - NUEVO

ISO 27002 - 8.27 : Arquitectura de sistemas seguros y principios de ingeniería - NUEVO

ISO 27002 - 8.28 : Codificación segura

ISO 27002 - 8.29 : Pruebas de seguridad en el desarrollo y la aceptación

ISO 27002 - 8.30 : Desarrollo externalizado

ISO 27002 - 8.31 : Separación de los entornos de desarrollo, prueba y producción

ISO 27002 - 8.32 : Gestión del cambio

ISO 27002 - 8.33 : Información de pruebas

ISO 27002 - 8.34 : Protección de los sistemas de información durante la auditoría y las pruebas - NUEVO

Periodo de transición

25 de octubre de 2022: Fecha de publicación de la ISO/IEC 27001:2022 3ª edición

31 de octubre de 2022: Comienzo del periodo de transición

1 de mayo de 2024: A partir de esta fecha, todas las certificaciones iniciales deberán realizarse acorde a la ISO 27001:2022. También se recomienda que todas las auditorías de recertificación a partir de esta fecha se realicen acorde a la ISO 27001:2022. NQA seguirá aceptando solicitudes de certificación y emitiendo nuevos certificados según la norma 27001:2013 hasta esta fecha.

31 de julio de 2025: Todas las auditorías de transición deben realizarse antes de esta fecha.

31 de octubre de 2025: Finaliza el periodo de transición. Los certificados para la norma ISO/IEC 27001:2013 dejarán de ser válidos.