Principales cambios ISO/IEC 27002:2022

Principales cambios ISO/IEC 27002:2022 “Seguridad de la información, ciberseguridad y protección de la privacidad” – Controles de seguridad de la información.

El pasado 15 de febrero se publicó la nueva ISO/IEC 27002 en su versión 2022, una de las principales preocupaciones de la empresas certificadas, es cómo abordar los cambios en su Sistema de Gestión cuando se publican nuevas versiones, por ello en este artículo te brindamos las actualizaciones más relevantes de la norma:

  • Cambios en el Título 

Versión 2013: “Tecnología de la información, Técnicas de seguridad – Código de prácticas para controles de seguridad de la información”.

Versión 2022: “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad – Controles de Seguridad de la Información”.

  • Nueva Estructura

Un cambio importante con respecto a la versión anterior es la restructuración de los 14 dominios de controles definidos en ISO 27002:2013 en torno a 4 grandes temas en la nueva versión:

 

 

 

 

 

 

 

 

 

En la versión anterior, en cada dominio se establecía una seria de objetivos de control, y luego los controles de seguridad de la información, en esta nueva versión no existe la definición de estos objetivos, definiendo directamente un total de 93 controles.

Se agregan 2 Anexos:

Anexo A: Matriz con los 93 controles y sus atributos.

Anexo B: Correspondencia entre los controles de la versión anterior y la nueva.

  • Nueva estructura de de los controles

Para cada control, se debe definir 6 componentes:

1.Título del control: nombre corto del control.

2.Tabla de Atributos: valores de cada uno de los atributos para el control.

3.Control: descripción del control.

4.Propósito: explicación a detalle del propósito del control.

5.Orientación: guía para la implementación del control.

6.Otra información: referencias a otros documentos que guarden relación con el control.

  • Estructura de Atributos de los controles

La norma proporciona 5 atributos para cada control:

1.Tipo de control: podría ser detectivo, preventivo, correctivo.

2.Propiedades de Seguridad de la Información: integridad, disponibilidad, confidencialidad.

3.Conceptos de Ciberseguridad: proteger, detectar, responder.

4.Capacidades Operacionales: gobernanza, gestión de activos.

5.Dominios de Seguridad: defensa, recuperación.

  • Controles nuevos 

La nueva norma contempla la reducción de controles, para ello se definen 11 nuevos:

 

 

 

 

 

 

 

Finalmente, la norma busca agilizar el Sistema de Gestión de Seguridad de la información, a través de la reducción de controles y refuerza aquellos asociados a la continuidad de negocio, así como a los servicios en la nube.

Contáctanos para brindarte soporte en tu proyecto!

Si te encuentras interesado en iniciar o actualizar tu Sistema de Gestión de Seguridad de la Información ISO 27001 / ISO 27002, comunícate con nosotros a info@ics-peru.com o escríbenos a nuestro WhatsApp +51 966672034