Cambios normativos en ISO/IEC 27001:2022
Un cambio muy significativo añade el contexto de la organización en la cláusula 4.4 con el requisito de identificar los procesos necesarios y sus interacciones dentro del SGSI que se requieren para su implementación y mantenimiento. Este requisito explícito pone a la ISO/IEC 27001:2022 en línea con el enfoque de las mejores prácticas de otros sistemas de gestión de acuerdo con el HS (HLS). El sistema de gestión de la seguridad de la información debe basarse en procesos establecidos y trazables y en sus interacciones. Los controles de seguridad de la información del Anexo A se diseñan y adaptan en torno a estos procesos.
El siguiente cambio relevante en la cláusula 8.1 también hace hincapié en la importancia de la orientación a los procesos, que es común a todos los sistemas de gestión basados en la HS. Las organizaciones deben realizar procesos como parte de su planificación y control operativo para aplicar las medidas de gestión de los riesgos de seguridad de la información. La novedad es que ahora hay que definir los criterios de los procesos. El control de los procesos debe aplicarse de acuerdo con estos criterios.
Además, se han realizado aclaraciones y especificaciones de menor importancia en las siguientes cláusulas:
- La cláusula5.3 se complementa con el requisito explícito de que las responsabilidades y autoridades de las funciones relacionadas con la seguridad de la información se den a conocer dentro de la organización.
- La cláusula7.4 regula la necesidad de comunicación interna y externa en relación con el SGSI. Además de las disposiciones aún aplicables sobre el qué, el cuándo y el con quién, el cómo de la comunicación es una simplificación factible de los requisitos anteriores.
- La cláusula9.2 Auditoría interna y 9.3 Revisión por la dirección se han adaptado a la estructura armonizada. La cláusula 9.2 se subdivide ahora en 9.2.1 y 9.2.2, la cláusula 9.3 se divide en tres subdivisiones 9.3.1, 9.3.2 y 9.3.3.
- El orden en que se estructuran las cláusulas 10.1 y 10.2 se ha adaptado a la estructura armonizada. El aspecto de la mejora continua prospectiva ahora precede al tratamiento retrospectivo de las no conformidades y las acciones correctivas de la cláusula10.2 en la cláusula 10.1 sin más cambios en el contenido. Este ajuste subraya la importancia del proceso de mejora continua (CIP).
Otra aclaración se refiere a la selección de las medidas de gestión de los riesgos para la seguridad de la información , cláusula 6.1.3 c). Éstas deben definirse teniendo en cuenta los resultados de la evaluación de riesgos y compararse con los controles del Apéndice A. El enfoque se mantiene sin cambios. Sin embargo, la nota explicativa de la anterior ISO 27001 se refería al Anexo A con el requisito bastante obsesivo de que contenga una lista exhaustiva de objetivos de control y controles.
En la nueva ISO/IEC 27001:2022, esta referencia al Anexo A puede entenderse como una lista de posibles controles de seguridad de la información más abierta y, por tanto, de aplicación más flexible.
En pocas palabras, el Anexo A de la norma ISO/IEC 27001:2022 debe seguir considerándose como un todo, como parte del requisito obligatorio de la cláusula 6.1.3 c), pero el conjunto de medidas individuales de seguridad de la información que contiene puede ser seleccionado, diseñado y ampliado de forma más flexible por el usuario. La nueva versión de la norma ISO/IEC 27001 hace hincapié aquí en la apertura del marco del sistema de gestión para los conjuntos de controles específicos de la organización.
El nuevo Anexo A de ISO/IEC 27001:2022
La lista de posibles controles de seguridad de la información (IS) en el Anexo A normativo de la ISO/IEC 27001:2022 se deriva de forma idéntica a la ISO/IEC 27002:2022. El catálogo de controles generales de seguridad se publicó en febrero de 2022. Por lo tanto, los cambios en el Anexo A de la norma ISO/IEC 27001:2022 eran previsibles desde hace tiempo. Anteriormente, el Anexo A incluía un total de 114 controles que podían utilizarse para hacer frente a los riesgos de seguridad de la información bajo 35 objetivos de control organizados en 14 cláusulas.
Aparte de que la nueva ISO/IEC 27001:2022 elimina los objetivos de control, los controles de seguridad de la información del Anexo A han sido revisados, actualizados y complementados y reorganizados con algunos controles nuevos.
Las antiguas 14 cláusulas del Anexo A se centran ahora en los 4 temas siguientes:
A.5 Controles organizativos (con 37 controles).
A.6 Controles personales (con 8 controles)
A.7 Controles físicos (con 14 controles )
A.8 Controles técnicos (con 34 controles)
El Anexo A de la nueva versión ISO/IEC 27001:2022 incluye ahora un total de 93 controles, de los cuales los siguientes 11 son nuevos:
A.5.7 Inteligencia de amenazas
A.5.23 Seguridad de la información para el uso de servicios en la nube
A.5.30 Preparación de las TIC para la continuidad del negocio
A.7.4 Supervisión de la seguridad física
A.8.9 Gestión de la configuración
A.8.10 Borrado de información
A.8.11 Enmascaramiento de datos
A.8.12 Prevención de la fuga de datos
A.8.16 Monitorización de la actividad
A.8.23 Filtrado web
A.8.28 Codificación segura
Mientras que el anexo A de la norma ISO/IEC 27001:2022 se limita a nombrar los controles, la guía de implementación de la norma ISO/IEC 27002:2022 ofrece más opciones para clasificarlos. Allí, a cada control se le asignan cinco atributos que permiten diferentes puntos de vista y perspectivas sobre ellos. Los atributos o los valores de sus atributos pueden utilizarse para filtrar, ordenar o mostrar diferentes vistas de la organización.
Los cinco atributos son
Tipo de control es un atributo para la vista de los controles desde la perspectiva de cuándo y cómo una medida cambia el riesgo relacionado con la ocurrencia de un incidente de seguridad de la información.
Propiedadesde la seguridad de la información es un atributo para ver los controles desde la perspectiva de qué objetivo de protección pretende apoyar la medida.
LosConceptos de C iberseguridad consideran los controles desde la perspectiva de cómo se relacionan con el marco de ciberseguridad descrito en ISO/IEC TS 27110.
Capacidad operativa considera los controles desde la perspectiva de sus capacidades operativas de seguridad de la información y apoya una visión práctica del usuario de las medidas.
Los dominios de seguridad son un atributo que permite ver los controles desde la perspectiva de cuatro dominios de seguridad de la información.