1. Inicio
  2. Noticias
  3. Nova ISO 27001 versió 2022

Nova ISO 27001 versió 2022

3 de noviembre de 2022 Noticias

A començaments d'aquest any es va publicar la nova versió de la ISO27002 Directrius de Seguretat de la Informació, que suposa l'avantsala de la ISO27001 de Sistema de Gestió de Seguretat de la Informació (SGSI). Aquest mes d'octubre per fi ha arribat la seva versió final, presenta diverses novetats respecte a la seva antecessora.

Han passat 9 anys des de la versió 2013, la segona que ja incorporava l'estructura d'alt nivell que s'ha fet comú a les ISO de sistemes de gestió. Aquests anys els canvis no han estat pocs, des de tecnològics fins als darrers derivats d'escenaris de crisi mundials.

Com sempre donar resposta a les necessitats de regulació mai no és fàcil, ja que la transformació de la societat i els seus hàbits, de la mateixa manera que els escenaris i amenaces, canvien de manera més ràpida que els controls que puguem establir.

Les novetats principals es basen en: Adaptar-se als canvis en les formes de treballar i viure, la indústria de la ciberseguretat ha madurat, flexibilitzar l'alineació amb els conceptes de seguretat, millorar l'harmonització amb els altres estàndards ISO, simplificar la norma i assegurar que el sistema està basat en processos clars.

Nova estructura de clàusules

Derivat de l'actualització de la ISO27002 els controls queden de la manera següent.


Annex A
Clàusula 5- Controls de l'organització: 37 controls, 34 antics i 3 de nous
Clàusula 6- Controls de persones: 8 controls tots ja existents
Clàusula 7- Controls de seguretat física: 14 controls, 13 antics i 1 nou
Clàusula 8- Controls tecnològics: 34 controls, 27 antics i 7 nous

Com podem veure, s'ha passat de 114 controls en 14 grups a 93 controls en 4 grups, s'han revisat 58 controls antics i n'hi ha 24 que sorgeixen de la fusió de controls anteriors.

Nous controls

La nova estructura comporta 11 controls nous, la majoria vinculats a l'entorn tecnològic, ja que òbviament la tecnologia és el que més ha canviat aquests anys. La llista de controls és:

A 5.7 Amenaces d'intel·ligència
A 5.23 Seguretat de la informació per ús de serveis al núvol
A 5.30 Tecnologies de la informació i comunicacions per a la continuïtat del negoci
A 7.4 Monitorització de la seguretat física
A 8.9 Gestió de la configuració
A 8.10 Esborrament d'informació
A 8.11 Emmascarat de dades
A 8.12 Prevenció de fugida de dades
A 8.18 Monitorització d'activitats
A 8.23 Filtre de la web
A 8.28 Codificació segura

Canvis vinculats a punts de norma

A banda d'aquesta reordenació de controls, també trobem una sèrie de canvis menors als punts de la norma. Els principals són:

4.4. Hi ha un requisit explícit per definir els processos i les seves interaccions.
5.3. S'explicita la necessitat de comunicar els rols rellevants en seguretat de la informació a tota l'organització.
6.2. Fa referència explícita a la monitorització dels objectius de seguretat de la informació.
6.3. Punt nou que s´alinea amb la resta d´ISO. Ens indica la necessitat de planificar els canvis del sistema de gestió i que aquests es facin de manera controlada.
8.1. Especifica establir criteris per als processos i aplicar-ne el control.
9.3 En la revisió per la direcció s'han de tenir en compte els canvis en les necessitats i les expectatives de les parts interessades que són rellevants per al SGSI.

 Calendari d'implantació de la versió 2022

I ara què? El primer que hem de tenir present són els terminis establerts per a la gestió del canvi:

Primeres avaluacions a partir de novembre de 2022
Primeres certificacions (pendent de cada certificadora) entre febrer i abril de 2023
Termini per certificar-se amb la versió 2013-abril de 2024
Final de vigència dels certificats de la versió 2013-octubre de 2025

Actuacions

Per a l’èxit d’un procés de canvi de versió, cal contemplar diversos elements. Tenint en compte el calendari anterior, la primera cosa és veure com ens encaixa en el nostre procés d'auditoria amb la nostra entitat de certificació. Sempre és recomanable fer coincidir els canvis de versió amb processos de recertificació.

Després ens podem trobar a dos escenaris oposats: aquells que considerin que ser dels primers a canviar de versió suposa un avantatge competitiu i un cas d'exemplaritat, i els que prefereixen esperar l'últim sospir.

Per als primers, és aconsellable deixar passar un termini d'uns 6 mesos perquè les entitats de certificació hagin tingut temps de formar bé el personal i s'hagin pogut corregir interpretacions inicials que puguin suposar càrregues de feina innecessàries.

Per als segons, cal tenir en compte els possibles colls d'ampolla que puguin succeir durant el 2025. Ja que la quantitat d'auditors acreditats a ISO27001 és molt més limitat que en altres estàndards, en els quals ja observem aquesta problemàtica el 2018 amb les normes ISO9001 i ISO14001.

Sigui quin sigui el cas, la lectura de la norma i/o la formació prèvia són factors clau per al procés d'actualització de l'SGSI.

Finalment, només volem recordar al lector que tot procés de canvi requereix una anàlisi de capacitat per part de l'organització, i com sempre TOTALRISK és aquí per ajudar-los en aquest procés.

Juanjo Alemany
Consultor, formador i auditor de seguretat i gestió
TOTALRISK

Leer artículo en castellano


© 2017 30Virtual. TODOS LOS DERECHOS RESERVADOS. Aviso legal.