Cambios normativos en ISO/IEC 27001:2022
Un cambio muy significativo añade el contexto de la organización en la cláusula 4.4 con el requisito de identificar los procesos necesarios y sus interacciones dentro del SGSI que se requieren para su implementación y mantenimiento. Este requisito explícito pone a la ISO/IEC 27001:2022 en línea con el enfoque de las mejores prácticas de otros sistemas de gestión de acuerdo con el HS (HLS). El sistema de gestión de la seguridad de la información debe basarse en procesos establecidos y trazables y en sus interacciones. Los controles de seguridad de la información del Anexo A se diseñan y adaptan en torno a estos procesos.
El siguiente cambio relevante en la cláusula 8.1 también hace hincapié en la importancia de la orientación a los procesos, que es común a todos los sistemas de gestión basados en la HS. Las organizaciones deben realizar procesos como parte de su planificación y control operativo para aplicar las medidas de gestión de los riesgos de seguridad de la información. La novedad es que ahora hay que definir los criterios de los procesos. El control de los procesos debe aplicarse de acuerdo con estos criterios.
Además, se han realizado aclaraciones y especificaciones de menor importancia en las siguientes cláusulas:
- La cláusula 5.3 se complementa con el requisito explícito de que las responsabilidades y autoridades de las funciones relacionadas con la seguridad de la información se den a conocer dentro de la organización.
- La cláusula 7.4 regula la necesidad de comunicación interna y externa en relación con el SGSI. Además de las disposiciones aún aplicables sobre el qué, el cuándo y el con quién, el cómo de la comunicación es una simplificación factible de los requisitos anteriores.
- La cláusula 9.2 Auditoría interna y 9.3 Revisión por la dirección se han adaptado a la estructura armonizada. La cláusula 9.2 se subdivide ahora en 9.2.1 y 9.2.2, la cláusula 9.3 se divide en tres subdivisiones 9.3.1, 9.3.2 y 9.3.3.
- El orden en que se estructuran las cláusulas 10.1 y 10.2 se ha adaptado a la estructura armonizada. El aspecto de la mejora continua prospectiva ahora precede al tratamiento retrospectivo de las no conformidades y las acciones correctivas de la cláusula 10.2 en la cláusula 10.1 sin más cambios en el contenido. Este ajuste subraya la importancia del proceso de mejora continua (CIP).
Los requisitos clave e inequívocos en ISO/IEC 27001 que hacen referencia al conjunto de controles en el Anexo A son, de acuerdo con la Cláusula 6.1.3 c), el proceso de comparación entre los controles de seguridad de la información específicos de la organización con los del Anexo A y, de acuerdo con Cláusula 6.1.3 d), la preparación de una Declaración de Aplicabilidad (SoA). ¡Estos requisitos básicos permanecen sin cambios!
Las explicaciones en las notas informativas (no normativas) de la Cláusula 6.1.3 c) con la referencia al Anexo A como una lista de posibles controles de seguridad de la información indican la posibilidad de seleccionar medidas adicionales de otras fuentes complementarias al Anexo A.
El nuevo Anexo A de ISO/IEC 27001:2022
La lista de posibles controles de seguridad de la información (IS) en el Anexo A normativo de la ISO/IEC 27001:2022 se deriva de forma idéntica a la ISO/IEC 27002:2022. El catálogo de controles generales de seguridad se publicó en febrero de 2022. Por lo tanto, los cambios en el Anexo A de la norma ISO/IEC 27001:2022 eran previsibles desde hace tiempo. Anteriormente, el Anexo A incluía un total de 114 controles que podían utilizarse para hacer frente a los riesgos de seguridad de la información bajo 35 objetivos de control organizados en 14 cláusulas.
Aparte de que la nueva ISO/IEC 27001:2022 elimina los objetivos de control, los controles de seguridad de la información del Anexo A han sido revisados, actualizados y complementados y reorganizados con algunos controles nuevos.
Las antiguas 14 cláusulas del Anexo A se centran ahora en los 4 temas siguientes:
A.5 Controles organizativos (con 37 controles).
A.6 Controles personales (con 8 controles)
A.7 Controles físicos (con 14 controles )
A.8 Controles técnicos (con 34 controles)
El Anexo A de la nueva versión ISO/IEC 27001:2022 incluye ahora un total de 93 controles, de los cuales los siguientes 11 son nuevos:
A.5.7 Inteligencia de amenazas
A.5.23 Seguridad de la información para el uso de servicios en la nube
A.5.30 Preparación de las TIC para la continuidad del negocio
A.7.4 Supervisión de la seguridad física
A.8.9 Gestión de la configuración
A.8.10 Borrado de información
A.8.11 Enmascaramiento de datos
A.8.12 Prevención de la fuga de datos
A.8.16 Monitorización de la actividad
A.8.23 Filtrado web
A.8.28 Codificación segura
Mientras que el anexo A de la norma ISO/IEC 27001:2022 se limita a nombrar los controles, la guía de implementación de la norma ISO/IEC 27002:2022 ofrece más opciones para clasificarlos. Allí, a cada control se le asignan cinco atributos que permiten diferentes puntos de vista y perspectivas sobre ellos. Los atributos o los valores de sus atributos pueden utilizarse para filtrar, ordenar o mostrar diferentes vistas de la organización.
Los cinco atributos son
Tipo de control es un atributo para la vista de los controles desde la perspectiva de cuándo y cómo una medida cambia el riesgo relacionado con la ocurrencia de un incidente de seguridad de la información.
Propiedades de la seguridad de la información es un atributo para ver los controles desde la perspectiva de qué objetivo de protección pretende apoyar la medida.
Los Conceptos de Ciberseguridad consideran los controles desde la perspectiva de cómo se relacionan con el marco de ciberseguridad descrito en ISO/IEC TS 27110.
Capacidad operativa considera los controles desde la perspectiva de sus capacidades operativas de seguridad de la información y apoya una visión práctica del usuario de las medidas.
Los dominios de seguridad son un atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información.