Transición de ISO 27001:2013 a 2022: cambios clave y plazos
La publicación de ISO 27001:2022 en octubre de 2022 marcó la primera actualización significativa del estándar en casi una década. Si tu organización estaba certificada bajo la versión 2013, la transición debió completarse antes de octubre de 2025. Si estás iniciando el proceso de certificación, debes hacerlo directamente contra la versión 2022. Esta guía detalla los cambios clave y cómo abordarlos.
Cambios en las cláusulas (cuerpo de la norma)
Los cambios en las cláusulas 4 a 10 son relativamente menores pero significativos:
| Cláusula | Cambio en 2022 |
|---|---|
| 4.2 | Nuevo requisito: analizar cuáles requisitos de partes interesadas se abordarán a través del SGSI |
| 4.4 | Nuevo: incluir los procesos necesarios y sus interacciones dentro del SGSI |
| 6.2 | Nuevo: los objetivos de seguridad deben ser monitoreados |
| 6.3 | Cláusula completamente nueva: planificación de cambios al SGSI |
| 8.1 | Nuevo: establecer criterios para los procesos e implementar control basado en dichos criterios |
| 9.3 | Nuevo input para la revisión por la dirección: cambios en las necesidades y expectativas de las partes interesadas |
| 10 | Reordenamiento: mejora continua (10.1) ahora va antes de no conformidad (10.2) |
Cambios en el Anexo A: la reestructuración mayor
El cambio más significativo está en el Anexo A. Los controles pasaron de 114 controles en 14 dominios a 93 controles en 4 temas:
| Tema | Cantidad | Identificador |
|---|---|---|
| Controles organizacionales | 37 | A.5.x |
| Controles de personas | 8 | A.6.x |
| Controles físicos | 14 | A.7.x |
| Controles tecnológicos | 34 | A.8.x |
Los 11 nuevos controles de ISO 27001:2022
Se agregaron 11 controles nuevos que reflejan las amenazas y tecnologías actuales:
| Control | Nombre | Relevancia |
|---|---|---|
| A.5.7 | Inteligencia de amenazas | Recopilar y analizar información sobre amenazas |
| A.5.23 | Seguridad de la información para uso de servicios en la nube | Controles específicos para cloud computing |
| A.5.30 | Preparación de TIC para la continuidad del negocio | Resiliencia tecnológica |
| A.7.4 | Supervisión de seguridad física | Monitoreo de instalaciones |
| A.8.9 | Gestión de la configuración | Control de configuraciones de hardware, software y redes |
| A.8.10 | Eliminación de información | Borrado seguro cuando ya no se necesita |
| A.8.11 | Enmascaramiento de datos | Protección de datos sensibles en ambientes de prueba |
| A.8.12 | Prevención de fuga de datos | DLP para proteger información sensible |
| A.8.16 | Actividades de monitoreo | Monitoreo de redes, sistemas y aplicaciones |
| A.8.23 | Filtrado web | Controlar acceso a sitios web externos |
| A.8.28 | Codificación segura | Principios de desarrollo seguro de software |
Nuevos atributos de controles
ISO 27002:2022 (y por extensión el Anexo A) introduce cinco atributos para cada control que facilitan su clasificación y búsqueda: tipo de control (preventivo, detectivo, correctivo), propiedad de seguridad de la información (confidencialidad, integridad, disponibilidad), concepto de ciberseguridad (identificar, proteger, detectar, responder, recuperar), capacidad operacional (gobernanza, gestión de activos, etc.), y dominio de seguridad (gobernanza y ecosistema, protección, defensa, resiliencia).
Pasos para la transición
Si ya tenías ISO 27001:2013, la transición requiere realizar un análisis de brechas contra la versión 2022, actualizar la Declaración de Aplicabilidad con los 93 controles, implementar los 11 nuevos controles aplicables, actualizar la documentación del SGSI, capacitar al equipo en los cambios, y realizar una auditoría interna contra la nueva versión.
Transiciona tu SGSI con GRC360
GRC360 ya está completamente alineado con ISO 27001:2022 y los 93 controles del nuevo Anexo A. Migra tu sistema de gestión de forma fluida.
Crear Cuenta GratisProfundiza con nuestras guías sobre los 11 nuevos controles, la Declaración de Aplicabilidad y los controles organizacionales.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis