Nueva-ISO-27001-2022

Nueva ISO/IEC 27001:2022

En octubre de 2022, se publicó una nueva versión del estándar de facto para la seguridad de la información: ISO/IEC 27001:2022, que formula los requisitos para un sistema de gestión de seguridad de la información (SGSI). La versión 2022 reemplaza así a la versión 2017 (ISO/IEC 27001:2013 incluyendo las dos actualizaciones).

¿Qué hay de nuevo? ¿Y qué pueden esperar ahora los clientes con certificación ISO/IEC 27001? Puedes encontrar información al respecto en este post.

Las innovaciones

Primero, una descripción general de los cambios: Los capítulos 4 a 10 de ISO/IEC 27001:2022 describen los requisitos para un sistema de gestión para la seguridad de la información. Pero qué ha cambiado y qué tiene efectos reales tiene en un SGSI: Los controles en el apéndice ahora se refieren a la nueva ISO/IEC 27002:2022. Esto significa que los cambios a la nueva ISO/IEC 27002:2022 ahora también son vinculantes para un SGSI de acuerdo con la ISO/IEC 27001.

Cambios

Ahora a los principales cambios en el marco de gestión de los Capítulos 4-10 de ISO/IEC 27001:2022:

  • En la Sección 4.4, la obligación de la gerencia de establecer, implementar, mantener y mejorar continuamente un SGSI se amplía para incluir la obligación de que esto también incluya los procesos e interacciones requeridos, algo que debe convertirse en rutinario.
  • En el párrafo 5.3 que: La alta dirección debe asegurarse de que todas las responsabilidades y competencias sean comunicadas – esto es nuevo – dentro de la organización.
  • Uno de los cambios más importantes se puede encontrar en el párrafo 6.1.3 d) sobre la Declaración de Aplicabilidad (SOA): nada ha cambiado en términos de texto, se mantiene la referencia al Anexo A. Sin embargo, dado que el Anexo A es completamente nuevo, el el contenido cambiará aquí cambiará mucho.
  • Las metas (objetivos) del párrafo 6.2 también deben incluirse en el seguimiento en el futuro y estar disponibles como información documentada.
  • El párrafo 6.3 sobre la planificación de cambios en el SGSI es completamente nuevo.
  • Las especificaciones de comunicación del párrafo 7.4 se reducen de «quién» más proceso a «cómo». Por lo cual: En términos de contenido, no cambiará mucho aquí.
  • El párrafo 8.1 implementa principalmente las medidas del análisis de riesgos del párrafo 6. Lo nuevo es que también se deben establecer criterios para este proceso. El párrafo 8.1 también especifica especificaciones para la documentación, pero esto parece ser más de naturaleza textual. Más relevante aún, los «procesos subcontratados» anteriormente para ser identificados y controlados ahora incluyen cualquier proceso, producto o servicio proporcionado externamente.
  • El párrafo 9 está un poco más estructurado, ahora hay subtítulos.
  • Los KPI en la Sección 9.1 ahora también deberían conducir a resultados comparables y reproducibles.
  • Para la evaluación de la gestión en la Sección 9.3, también se deben considerar los cambios futuros en las expectativas de las partes interesadas que son relevantes para el SGSI.
  • Hubo un cambio importante en el párrafo 10: Mejora continua – anterior párrafo 10.2 – y el tratamiento de las no conformidades y mejoras – anterior párrafo 10.1 – cambian su orden en la norma.
  • Los cambios en el Anexo A son fundamentales, aquí se hace referencia completamente a la nueva ISO/IEC 27002:2022.

¿Y ahora qué?

¿Qué significan los cambios para un SGSI certificado según la norma ISO/IEC 27001:2017?

Los requisitos de transición «Transition Requirements for ISO/IEC 27001:2022, Issue 1 (IAF MD 26:2022)» anunciados por el IAF (Foro Internacional de Acreditación) el 09.08.2022 se aplican aquí. Los pilares esenciales de la transición son:

  • El periodo de transición se define como 3 años (36 meses).
  • Se establecen plazos para los organismos de acreditación (en todo el mundo): según esto, las acreditaciones deben comenzar 6 meses después de la publicación de la norma ISO/IEC 27001:2022, en este caso en abril de 2023, y deben completarse al cabo de 12 meses (es decir, en octubre de 2023).
  • Los organismos de certificación (también de todo el mundo) deben iniciar la transición de la acreditación en un plazo de 12 meses (es decir, antes de octubre de 2023).
  • La transición de los clientes ya certificados deberá completarse 36 meses después de la publicación de la norma ISO/IEC 27001:2022, es decir, en octubre de 2025 a más tardar.
  • Se pide a todos los organismos -es decir, los de acreditación y certificación- que inicien ya la fase de transición para analizar los cambios y sus repercusiones, adaptar sus procesos, formar a los empleados e informar a sus respectivos clientes.

Para la transición de un SGSI a la nueva norma ISO/IEC 27001:2022, está prevista una auditoría de transición, que puede llevarse a cabo de forma razonable junto con una auditoría periódica. El documento IAF también proporciona directrices para el periodo de auditoría suplementario.

Muy importante es la fecha límite de octubre de 2025, cuando deben retirarse todos los antiguos certificados ISO/IEC 27001:2017.

Por supuesto, Alisios Consultores abordará la transición ahora y continuará informándole – también sobre los efectos en un SGSI.

Si tiene alguna pregunta, no dude en ponerse en contacto con nosotros.

Fecha

Se publica la nueva versión del estándar de facto para la Sistema de Seguridad de la Información ISO/IEC 27001:2022

SOLICITE INFORMACIÓN

NOS PONDREMOS EN CONTACTO EN MENOS DE 24H.

Más
artículos

Alisios Consultores

Somos líderes en certificación, auditoría y evaluaciones en las áreas de calidad, medioambiente, seguridad alimentaria y salud en el trabajo.

Certificación de Sistemas

Cambio Climático - ODS

Seguridad Alimentaria

Oficinas en:

Santa Cruz de Tenerife – Las Palmas de G.C. – Lanzarote – Madrid – Barcelona – Murcia – Zaragoza – País Vasco – Sevilla – Málaga – Valencia –  Mallorca – Salamanca

©2004-2025 – ALISIOS CONSULTORES®

Protección de Datos | ISO 9001 | ISO 14001 | ISO 27001| ISO 45001 | ISO 22000 | Huella de Carbono | ENS | CompliancePlanes de Igualdad

error: Contenido protegido!!