INFOSEC

Cambios clave en ISO/IEC 27002:2022

READ MORE

Qué es ISO/IEC 27002?

ISO/IEC 27002 es un documento de orientación para seleccionar controles mientras se implementa un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO/IEC 27001. También puede ser una guía para las organizaciones que implementan controles de seguridad de la información comúnmente aceptados.

ISO/IEC 27002:2013 ha estado bajo revisión desde 2018 por ISO/IEC JTC 1/SC 27 y una nueva edición se publicó oficialmente el 15 de febrero de 2022.

Si bien parte de los controles permanece sin cambios, hay cambios significativos en el diseño del control y otros controles. Dado que el Anexo A de ISO/IEC 27001:2013 está diseñado para alinearse con ISO/IEC 27002, ISO/IEC 27001 se está revisando y se estima que la versión de enmienda se publicará en el segundo trimestre de 2022.

Este breve artículo destaca los cambios clave en la edición de 2022; sin embargo, a continuación se muestra nuestro enlace de white paper más detallado.

Cambios clave

Número de controles: 93

Hay 93 controles en la edición de 2022 frente a 114 en la edición de 2013.

Categorías de control – 4

Los controles se reagrupan en 4 categorías, en lugar de 14 temas y 35 categorías en la edición de 2013.

Son los siguientes:

  • Controles organizativos
  • Controles de personas
  • Controles físicos
  • Controles tecnológicos

 

El diseño de cuatro categorías enfatiza que la protección de la información y los datos es más que simplemente a través de medios tecnológicos. Para lograr resultados de seguridad de la información, los controles tecnológicos son solo los remedios para prevenir o mitigar los riesgos de seguridad de la información.

Más importante aún, la alta gerencia de las organizaciones debe establecer el marco y la dirección de la gestión de la seguridad de la información, así como identificar y comunicar la importancia y los impactos de la información diferente para el negocio y la organización. Este nuevo diseño de control también puede facilitar la administración para asignar responsabilidades dentro de la organización para la mejora de la seguridad de la información.

Nuevos controles – 11

Se introducen once nuevos controles para abordar la evolución de las tecnologías y las prácticas industriales.

  1. Inteligencia de amenazas
  2. Seguridad de la información para el uso de servicios en la nube
  3. Preparación de las TIC para la continuidad de las actividades
  4. Supervisión de la seguridad física
  5. Gestión de la configuración
  6. Eliminación de información
  7. Enmascaramiento de datos
  8. Prevención de fugas de datos
  9. Actividades de seguimiento
  10. Filtrado web
  11. Codificación segura

 

Controles combinados: 24

Veinticuatro controles en la edición 2022 son el resultado de la fusión de algunos de la versión 2013. Esto da como resultado menos controles y, por lo tanto, crea un estándar más ágil.

La lista completa de controles combinados se encuentra en el Anexo B de la norma ISO/IEC 27002:2022.

Atributos

Además de los nuevos controles, la edición 2022 introduce “atributos” para cada control. Cada control está asociado a cinco atributos con los valores correspondientes.

ISO/IEC 27002:2022 El Anexo A demuestra el uso de los atributos como una forma de crear diferentes vistas de los controles.

Sin embargo, el uso de los atributos no es obligatorio. Las organizaciones pueden optar por ignorar uno o más de ellos, o seleccionar otros atributos, por ejemplo, el modelo de madurez.

De “objetivo” a “propósito”

Como se mencionó, hay 14 temas y 35 categorías en la edición de 2013. En esta edición, se define un objetivo de control en cada categoría de seguridad para indicar lo que se debe lograr. Uno o más controles están contenidos y se pueden aplicar para lograr el objetivo de control previsto.

En la edición de 2022, “objetivo” se sustituye por “propósito”. Además, cada control tiene un propósito definido para ilustrar por qué se debe implementar el control.

Otros cambios

El título

El título de la edición 2022 ha sido modificado a Seguridad de la Información, Ciberseguridad y Protección de la Privacidad – Controles de Seguridad de la Información. El término Código de Prácticas se ha eliminado para reflejar que el documento es una referencia a los controles genéricos de seguridad de la información.

Términos y definiciones

ISO/IEC 27000 ya no es la referencia normativa en la edición de 2022. En su lugar, se aplican los términos y definiciones definidos en la cláusula 3 de la norma ISO/IEC 27002:2022. Se recomienda a los usuarios de la edición 2022 que consulten los términos y definiciones para comprender adecuadamente los controles y la orientación del documento.

Suma

Si bien la explicación y justificación de los cambios no se publican fuera de la JTC 1/SC 27, es evidente que deben reflejar los avances tecnológicos y la evolución de las prácticas industriales.

Como se mencionó, la versión de enmienda ISO / IEC 27001: 2013 está en camino. El anexo A será sustituido por los controles de la norma ISO/IEC 27002:2022.

Cómo podemos ayudar

Nos mantendremos al tanto de los cambios y mantendremos a los clientes y a la comunidad de certificación al tanto del plan de transición a la nueva edición tan pronto como salgan.

Apreciamos que esto es mucho para asimilar. ¿Por qué no leer nuestro nuevo informe técnico sobre el tema a tu aire?

PARA OBTENER MÁS INFORMACIÓN, PÓNGASE EN CONTACTO CON NOSOTROS.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up