Hoy se ha publicado la actualización de la norma internacional ISO 27001 de seguridad de la información, que establece los requisitos para implementar y operar Sistemas de Gestión de Seguridad de la Información.
La nueva norma actualiza principalmente su Anexo A. haciendo referencia ahora al nuevo conjunto de controles de ISO/IEC 27002, que se publicó en 03.2022.
El primer cambio significativo es su nombre, el cual indica un alcance más amplio: "Seguridad de la información, ciberseguridad y protección de la privacidad". Es importante este cambio ya que cobija y fija una base para proteger los datos personales, alineándose con los requerimientos legales entorno a su protección.
Su estructura también ha cambiado para adpatarse al estándar ISO 27002:2022 y ahora cuenta con 93 controles agrupados en 4 dominios:
- Organizacional (37 controles)
- Personas (8 controles)
- Físico (14 controles)
- Tecnológico (34 controles)
Cada control del estándar tiene atributos que hace más sencilla su categorización, la identificación de su aplicabilidad y facilitan su integración con otros marcos de gestión de seguridad de la información. Los atributos son: Tipo de control, Propiedades de Seguridad de la Información, Conceptos de seguridad Cibernética, Capacidades Operativas y Dominios de seguridad.
Como es habitual, se abre ahora un periodo de transición de 3 años para adaptarse a esta nueva norma, hasta el 25/10/2025. No obstante todavía se admitirán auditorías contra la versión 2013 (versión UNE 2017 en España) durante 2023, y en pocos meses se podrán hacer ya auditorías de certificación contra esta nueva versión.
En breve publicaremos más novedades sobre esta nueva norma.
https://lnkd.in/dgsAnszt
#seguridaddelainformacion#iso27001#ENS#iso27002#SGSI