Principales cambios de la nueva versión de la ISO 27001
Antecedentes
La versión actualmente vigente de ISO 27001:2005 ha estado en revisión por parte del Subcomité 27 de la ISO, en la cual participan representantes de 49 países, entre ellos México. Actualmente se cuenta con el borrador final (Final Draft) de la nueva versión (2013) de dicho estándar esperando su liberación y publicación en la próxima reunión del citado Sub Comité la cual se llevará a cabo en Octubre. Es por ello que nos hemos permitido realizar un análisis de los principales cambios que tendrá la nueva versión 2013 con relación a la versión 2005, a efectos de que las empresas que ya se encuentran certificadas puedan identificar los cambios que deben realizar para permanecer en cumplimiento con la nueva versión, y aquellas empresas que estén en plena implementación o que sus planes futuros sean adoptar dicho estándar tengan conocimiento que los nuevos requerimientos que deben implementar.
Consideraciones para empresas certificadas
Cabe mencionar que este documento es un análisis en relación al borrador que existe actualmente, se emitirá un nuevo análisis con la versión final. En el caso de las empresas que se encuentran certificadas deberán comunicarse con su casa certificadora para obtener información del proceso de transición de su certificado a la nueva versión de ISO 27001.
Las empresas certificadas deben atender las reglas de transición de ISO 27001 emitidas por la acreditadora y la casa certificadora que les haya emitido su certificación.
La estructura de la nueva versión de ISO 27001
Primeramente la estructura del estándar internacional ISO 27001 cambio al pasar de 8 cláusulas a 10, esto derivado de su alineación al Anexo SL de las Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan‐Do‐Check‐Act), sino que ahora aplica la estructura de alto nivel, títulos de las sub‐cláusulas, texto idéntico, términos comunes y las principales definiciones definidas en el Anexo SL. Por lo tanto mantiene compatibilidad con otros estándares de sistemas de gestión que también han adoptado dicho Anexo (p.ej. ISO 22301 Business Continuity management systems — Requirements). Cabe destacar que la tendencia de los otros estándares de sistemas de gestión es adoptar este mismo Anexo en sus nuevas versiones para alinearse (p.ej. ISO 9001, ISO 20000, ISO 14000, etc.).
|
Cláusula ISO 27001:2013 |
Cláusula ISO 27001:2005 |
Observaciones |
|
0 Introducción |
0 Introducción 1.1 General 1.2 Enfoque de procesos 1.3 Compatibilidad con otros sistemas de gestión |
Las secciones del enfoque a procesos y la compatibilidad con otros estándares viene de la alineación al Anexo SL de las Directivas de ISO/ IEC Parte 1 y ya no al ciclo PDCA(Plan‐Do‐ Check‐Act) |
|
1 Alcance |
1 Alcance 1.1 General 1.2 Aplicación |
Ahora es obligatorio cumplir con las cláusulas 4 a la 10 para poderse certificar. |
|
2 Referencias Normativas |
2 Referencias normativas |
Ahora hace referencia a ISO 27000 |
|
3 Términos y definiciones |
3 Términos y definiciones |
Se han excluido todos los términos y definiciones, haciendo referencia a “ISO/IEC 27000 – Information technology – Security techniques – Information security management systems ‐‐ Overview and vocabulary” |
|
4 Contexto de la organización 4.1 Entendiendo la organización y su contexto 4.2 Entendiendo las necesidades y expectativas de las partes interesadas 4.3 Determinando el alcance del sistema de gestión de seguridad de la información 4.4 Sistema de gestión de seguridad de la información |
4 Sistema de gestión de seguridad de la información 4.1 Requerimientos generales 4.2 Establecimiento y gestión del SGSI 4.2.1 Establecer el SGSI 4.2.2 Implementar y operar el SGSI 4.2.3 Monitorear y revisar el SGSI 4.2.4 Mantener y mejorar el SGSI 4.3 Requerimientos documentales 4.3.1 General 4.3.2 Control de documentos 4.3.3 Control de registros |
Una vez que se entiende a la organización, su contexto y las necesidades de las partes interesadas se establecen el alcance del SGSI. |
|
5 Liderazgo 5.1 Liderazgo y compromiso 5.2 Política 5.3 Roles organizacionales, responsabilidades y autoridades |
5 Responsabilidades de la dirección 5.1 Compromiso de la dirección 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, concientización y competencia |
Se introduce el término “alta dirección” (top management) quien debe demostrar el liderazgo y compromiso para con el SGSI. Adicional a establecer la política ahora es un requisito obligatorio establecer objetivos de seguridad. |
Cambios de Controles de Seguridad de Información en el Anexo A
A nivel de controles (Anexo A) podemos comentar que aunque aumentaron el número de dominios de seguridad de 11 a 14, esto se debió fundamentalmente a una reestructura del estándar pues por ejemplo el dominio A.10 Administración de Comunicaciones y Operaciones de la versión 2005 ahora se separó en dos dominios, así como también se creó un dominio específico para Criptografía y otro para la Relación con proveedores, derivado de dicha reestructura el número de controles disminuyó pasando de 133 a 113, a continuación se muestra el listado comparativo de los nuevos dominios de seguridad de la información.
|
Anexo A ISO 27001:2005 |
Anexo A ISO 27001:2013 |
|
A.5 Política de Seguridad |
A.5 Políticas de Seguridad |
|
A.6 Organización de seguridad de la información |
A.6 Organización de la seguridad de la información |
|
A.8 Seguridad en recursos humanos |
A.7 Seguridad en recursos humanos |
|
A.7 Administración de activos |
A.8 Administración de activos |
|
A.11 Control de acceso |
A.9 Control de acceso |
|
A.10 Criptografía |
|
|
A.9 Seguridad física y ambiental |
A.11 Seguridad física y ambiental |
|
A.10 Administración de comunicaciones y operaciones |
A.12 Seguridad en operaciones |
|
A.13 Seguridad en comunicaciones |
|
|
A.12 Adquisición, desarrollo y mantenimiento de sistemas |
A.14 Adquisición, desarrollo y mantenimiento de sistemas |
|
|
A.15 Relación con proveedores |
|
A.13 Administración de incidentes de seguridad de la información |
A.16 Administración de incidentes de seguridad de la información |
|
A.14 Administración de continuidad del negocio |
A.17 Aspectos de seguridad de la información en la administración de continuidad del negocio |
|
A.15 Cumplimiento |
A.18 Cumplimiento |
Cambios de Controles de Seguridad de Información en el Anexo A
A nivel de controles (Anexo A) podemos comentar que aunque aumentaron el número de dominios de seguridad de 11 a 14, esto se debió fundamentalmente a una reestructura del estándar pues por ejemplo el dominio A.10 Administración de Comunicaciones y Operaciones de la versión 2005 ahora se separó en dos dominios, así como también se creó un dominio específico para Criptografía y otro para la Relación con proveedores, derivado de dicha reestructura el número de controles disminuyó pasando de 133 a 113, a continuación se muestra el listado comparativo de los nuevos dominios de seguridad de la información.
Sobre el autor
Leonardo García
Ingeniero en Comunicaciones y Electrónica. Leonardo García Rojas, es Auditor de casas certificadoras como LRQA, experto en Seguridad de la Información y Cibernética. Durante su carrera ha participado en la implementación de sistemas de calidad, sistemas de misión crítica y de seguridad de información para diferentes industrias. En el desarrollo de normas ha participado en la actualización de normas a nivel internacional en los foros organizados por la ISO en Italia, Francia, Corea, Hong Kong, y México a fin de instrumentar lo cambios propuestos por la Estructura de Alto Nivel descrita en el Anexo SL de las directivas de la ISO y que es fundamento de las nuevas versiones de las normas ISO 9001:2015, ISO 27001:2013, ISO 22301:2012. En la actualidad forma parte del equipo técnico del comité JTC 1 SC 27, quienes trabajaron en los cambios de la versión ISO 27001 que será publicada a finales del 2022.