La nueva versión de la norma ISO/IEC 27001:2022, que reemplaza a la versión anterior de 2013, introduce varios cambios importantes. Esta norma es fundamental para la gestión de la seguridad de la información en las organizaciones.
A continuación, un resumen de los cambios claves y las actualizaciones realizadas:
- Estructura de alto nivel (HLS): La norma ISO/IEC 27001:2022 adopta la estructura de alto nivel (HLS) que es común a todas las normas de sistemas de gestión de ISO. Esto facilita la integración con otras normas como ISO 9001 (calidad) e ISO 14001 (medio ambiente) entre otras.
- Actualización de los controles en el anexo A: Los controles se han simplificado y reestructurado para hacerlos más comprensibles y fáciles de implementar.
- Nuevos controles: Se han añadido nuevos controles para abordar temas actuales como la seguridad en la nube, la inteligencia artificial y las amenazas cibernéticas.
- Eliminación y fusión de controles: Algunos controles obsoletos se han eliminado o fusionado para reducir redundancias y mejorar la claridad.
- Mayor enfoque en el contexto de la organización: La nueva versión enfatiza la necesidad de comprender el contexto específico de la organización y las necesidades de las partes interesadas en relación con la seguridad de la información.
- Riesgos y oportunidades: La norma refuerza el enfoque basado en riesgos, instando a las organizaciones a identificar tanto riesgos como oportunidades para mejorar continuamente su sistema de gestión de seguridad de la Información (SGSI).
- Liderazgo y compromiso: Se pone un mayor énfasis en el papel del liderazgo y su compromiso con el SGSI. Esto incluye la responsabilidad de establecer políticas claras y garantizar que se asignen los recursos necesarios.
- Medición y evaluación: La norma actualizada destaca la importancia de medir y evaluar el desempeño del SGSI para asegurar que los objetivos de seguridad de la información se están cumpliendo.
Cumplir con la versión 2022 de la ISO 27001 demuestra a los clientes y socios comerciales el compromiso de la organización con la seguridad de la información, fortaleciendo la confianza y mejorando la reputación.