La vida útil típica de una norma ISO es de cinco años. Después de este periodo, se decide si la norma puede seguir siendo válida, necesita una revisión o debe ser retirada. En 2018, se decidió que la norma ISO 27002:2013 debía ser revisada. El borrador está actualmente en revisión y se espera que se publique en febrero de 2022
La conocida norma de seguridad de la información ISO 27001 siempre va acompañada de su norma hermana ISO 27002. Mientras que la primera detalla cómo debe establecerse y mantenerse un SGSI (Sistema de Gestión de la Seguridad de la Información) que funcione correctamente, la segunda entra en detalle en los controles de seguridad de ejemplo del apéndice de la ISO 27001. La norma ISO 27002 está a punto de recibir una actualización ya que se percibía que no estaba adaptada las necesidades de ciberseguridad del mundo actual, y a continuación resumiremos los cambios importantes:
Se ha eliminado el término “Código de prácticas” del título de la norma ISO 27002 actualizada. Su título completo es ahora “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información”, que refleja un contexto más amplio y que ahora se considera la prevención, detección y respuesta a los ciberataques, además de la protección de los datos.
La norma ISO 27002:2013 contiene 114 controles, divididos en 14 capítulos. Esto va a ser reestructurado. La versión de 2022 contendrá 93 controles, divididos en 4 capítulos:
- Organizativo (37 controles)
- Personas (8 controles)
- Físico (14 controles)
- Tecnológico (34 controles)
Con los 93 controles:
- 58 se han actualizado
- 24 controles representan la fusión de controles anteriores
- Se han introducido 11 controles nuevos
La ISO 27002 incluirá nuevos controles relacionados con la inteligencia de amenazas, los servicios en la nube y el desarrollo seguro para reflejar la rápida evolución de la tecnología.
A un nivel más amplio, hay cambios en la normativa relativa a la protección de los datos, especialmente la información de identificación personal en el ámbito internacional.
¿Cuándo se publicará la norma ISO 27002:2022?
La nueva edición de la norma ISO 27002 está prevista para febrero de 2022.
¿Qué pasa con la norma ISO 27001?
Aunque las principales cláusulas del sistema de gestión de la norma ISO 27001 seguirán siendo las mismas, el anexo A de la norma se modificará para incluir el nuevo conjunto de controles de la norma ISO 27002:2022 y se espera que la versión actualizada se publique hacia finales del segundo trimestre de 2022.
Es importante tener en cuenta que hasta que la nueva versión de la norma ISO 27001 se ponga en marcha, su Declaración de Aplicabilidad (SoA) debe seguir refiriéndose al Anexo A de la norma ISO 27001:2013, aunque sería una buena práctica considerar el conjunto de controles más reciente y actualizado.
¿Cómo afecta a las organizaciones que ya tienen la certificación ISO?
Actualmente no hay impacto en las organizaciones que ya mantienen un SGSI certificado hasta que la nueva ISO/IEC 27002 haya sido aprobada y el Anexo A haya sido actualizado, en una nueva versión de la ISO/IEC 27001. En general, las organizaciones tendrán un período de gracia antes de que se les exija adoptar la norma ISO 27001 revisada y es probable que las organizaciones aborden los cambios junto con el próximo ciclo de auditoría de recertificación, una vez que se publique la norma revisada.
Para más información puede consultar las siguientes fuentes asociadas a la noticia:
