Transición a ISO/IEC 27001:2022. Requisitos

Inicio / Transición a ISO/IEC 27001:2022. Requisitos

Transición ISO/IEC 27001:2022

El pasado 9 de agosto el Foro Internacional de Acreditación (IAF, por sus siglas en inglés), publicó el documento Requisitos de transición para ISO/IEC 27001:2022 con el propósito establecer las reglas necesarias para que los organismos de certificación actúen de forma coordinada y asegurar que, en un tiempo prudencial, las organizaciones que implementen la norma tengan la oportunidad de adquirir experiencia, capacitar a su equipo de trabajo y adaptarse al nuevo estándar. Y las que no están certificadas, pueden tener tiempo de emplear el estándar, siempre y cuando sea antes de 2025.

La norma será publicada el último trimestre de este año y la transición entre ISO/IEC 27001: 2013 y la versión del 2022 tendrá una duración de 3 años. Esto último lo sabemos gracias al documento emanado por la IAF. El texto contiene recomendaciones y da cuenta de las variaciones más significativas entre ambos estándares y el sistema de gestión de seguridad de la información. Por esto consideramos que la transición contendrá un alcance más técnico que de estructura, pues esta se mantendrá.

Los principales cambios de la norma dedicada a los sistemas de gestión de seguridad de la información incluyen:

Referencias a los controles del Anexo A en ISO/IEC 27002:2022, que incluye la información del título del control y el control.
Se revisan editorialmente las notas de la cláusula 1.3 c), incluyendo la eliminación del objetivo de control y el uso de «control de seguridad de la información» para reemplazar «control».
En comparación con la edición anterior, el número de controles en ISO/IEC 27002:2022 disminuye de 114 controles en 14 cláusulas a 93 controles en 4 cláusulas.
Para los controles en ISO/IEC 27002:2022, 11 controles son nuevos, 24 controles se fusionan de los controles existentes y 58 controles se actualizan.
Se revisa la estructura de control, que introduce «atributo» y «propósito» para cada control y ya no utiliza «objetivo» para un grupo de controles.

El cambio más significativo será la introducción de un nuevo Anexo A, que se adaptará a los controles de la nueva ISO/IEC 27002:2022. Además, el documento cuenta con un calendario clave en cuanto a fechas:

Actividad	Fecha de vencimiento
AB
AB esté listo para evaluar según ISO/IEC 27001: 2022 a más tardar	6 meses a partir del último día de publicación mes de ISO/IEC 27001:2022
Evaluación inicial por AB de ISO/IEC 27001:2022 para comenzar a más tardar	6 meses a partir del último día de publicación mes de ISO/IEC 27001:2022
Transiciones AB de CAB completadas	12 meses desde el último día de publicación mes de ISO/IEC 27001:2022
TAXI
La certificación inicial de CAB según ISO/IEC 27001: 2022 comenzará a más tardar	2 meses desde el último día de publicación mes de ISO/IEC 27001:2022
Transiciones CAB de clientes certificados completadas	36 meses desde el último día de publicación mes de ISO/IEC 27001:2022

El texto Requisitos de transición para ISO/IEC 27001:2022 es necesario y relevante porque la norma ISO/IEC 27001 será modificada, y este estándar es uno de los más divulgados y demandados. Además, cuenta con un crecimiento exponencial en los últimos años, y para evitar dudas, la IAF lanzó su texto de manera oportuna. IAF es el ente que rige a los organismos de certificación, los agrupa a todos, y, en consecuencia, regula los criterios para poder implementar los sistemas de gestión en los plazos establecidos y da un reconocimiento mutuo a los entes certificadores para que ellos acrediten a los organismos de certificación y estos funjan como evaluadores de la conformidad para evaluar a las organizaciones respecto a su cumplimiento con las normas ISO. Los principales objetivos de la entidad son:

Asegurar el reconocimiento de la acreditación expedida por cada organismo de acreditación miembro de IAF, a un organismo de certificación, por el resto de sus miembros en todo el mundo.
Establecer los Acuerdos de Reconocimiento Multilaterales entre los organismos de acreditación miembros, asegurando que un certificado acreditado tenga validez en todo el mundo.

Todos los textos que brinden información sobre transiciones de documentos normativos, como el caso de Requisitos de transición para ISO/IEC 27001:2022, serán documentos obligatorios que deberán seguir los signatarios del Organismo de Acreditación (AB) de IAF MLA y los Organismos de Evaluación de la Conformidad (CAB) acreditados, con el alcance que se detalla en este texto. Si quieres seguir paso a paso las últimas novedades relacionadas con la publicación de la norma ISO/IEC 27001:2022, no te pierdas nuestros eventos, publicaciones en redes y artículos. Siempre tenemos información fresca y confiable.

Software Seguridad de la Información ISOTools

Para una gestión eficaz de la Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022 y afectarán a la modificación de la ISO 27001 prevista para el último trimestre de 2022.

Todos estos controles de Seguridad de la Información , así como las mejores prácticas para su gestión automatizada se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Con la actualización prevista de la norma, ya disponemos del Software de Gestión ISO 27001:2022. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.