800 277 6242   Lun - Vie: 8:00 - 17:30   info@globalstd.com
800 277 6242   Lun - Vie: 8:00 - 17:30   English
logo global standards
blog global std
  23 febrero, 2023   |   Seguridad de la información  |  

ISO/IEC 27001:2022 – Cambios en el Anexo A

Junto con las actualizaciones y el cambio de nombre en el estándar ISO/IEC 27001 en su versión 2022 (Seguridad de la Información, Ciberseguridad y Protección de la privacidad – Sistema de Gestión de la Seguridad de la Información), el estándar fue objeto de actualizaciones y cambios para adecuar los controles de seguridad de la información a los temas de “Ciberseguridad” y “Protección de la privacidad”, sin dejar de lado el aumentar la seguridad de la información en los otros temas relevantes como son la empresa, el personal, los proveedores y lo referente a las áreas de TI y Sistemas de Información.


El estándar ISO/IEC 27001 2022 aplica para todo tipo de empresas y tamaño, sean públicas o privadas, siendo auditables y certificables los capítulos del 4 al 10. No se puede excluir capítulo alguno ni ninguno de sus temas o incisos, en cambio, para los controles de seguridad de información, listados en el “Anexo A”, las organizaciones deben indicar cuáles de los controles les aplican y cómo demuestran su cumplimiento, así como indicar cuáles de los controles no le aplica y dar la justificación para la “no aplicabilidad”. Lo anterior deberá ser expresado en el documento “Declaratoria de Aplicabilidad”.  


El ”Anexo A” es un reflejo del estándar ISO/IEC 27002 2022 y es donde se muestra los controles de seguridad de información.


Beneficios de implementar un Sistema de Gestión de Seguridad de la Información 


Cambios relevantes en el “Anexo A” – ISO/IEC 27002:2022Código de prácticas para los controles de seguridad de la información.


Cambia en su estructura

• Antigua estructura: Categoría de controles – Objetivo de Control – Controles
• Nueva estructura: Categoría – Controles.

La nueva versión agrupa en 4 las “categorías”, sustituyendo las anteriores 14 “categorías”.

Nuevas categorías:
• Controles organizacionales (37 controles)
• Controles orientados a las personas (8 controles)
• Controles físicos (14 controles)
• Controles tecnológicos (34 controles)

Resumen del comparativo:

Versión 2013 = 10 CAPÍTULOS; 14 CATEGORÍAS; 35 OBJETIVOS DE CONTROL y 114 CONTROLES.

Versión 2022 = 10 CAPÍTULOS; 4 CATEGORÍAS y 93 CONTROLES.

Controles suprimidos: 1 (eliminación de activos)

Controles nuevos: 11 Nuevos controles

  • Once (11) nuevos controles
    • Control organizacional 5.7 Inteligencia de amenazas
    • Control Organizacional 5.23 Seguridad de la información para uso de servicios en la nube
    • Control organizacional 5.30 Preparación de las TIC para la continuidad del negocio
    • Control Físico 7.4 Monitoreo de Seguridad Física
    • Control Tecnológico 8.9 Gestión de la configuración
    • Control Tecnológico 8.10 Eliminación de Información
    • Control Tecnológico 8.11 Enmascaramiento de datos
    • Control Tecnológico 8.12 Prevención de fuga de datos
    • Control Tecnológico 8.16 Actividades de seguimiento (redes, sistemas, aplicaciones)
    • Control Tecnológico 8.23 ​​Filtrado web
    • Control Tecnológico 8.28 Codificación segura

  • Control eliminado: Eliminación de activos (8.3.2)

ANEXO A – Controles organizacionales (principales cambios)

  • Roles y responsabilidades dentro de la seguridad de la información.
  • Separación de responsabilidades.
  • Preparación para la continuidad del negocio de las TICs.
  • Información sobre amenazas.
  • Seguridad de la información en la gestión de proyectos.
  • Clasificación, etiquetado y transferencia de la información.
  • Seguridad de la información en las relaciones con proveedores / cadena de suministro de TI & TICs / servicios en la nube.
  • Derechos de propiedad intelectual & Privacidad y protección de la información personal identificable (PII).

ANEXO A – Controles sobre las personas (principales cambios)

  • Proyección – Antecedentes de los candidatos.
  • Términos y condiciones de empleo.
  • Concientización, educación y formación en seguridad de la información.
  • Proceso disciplinario.

ANEXO A – Controles sobre los aspectos físicos (principales cambios)

  • Perímetros de seguridad física.
  • Vigilancia de la seguridad física.
  • Protección frente a amenazas físicas y medioambientales (continuidad del negocio, DRP).
  • Trabajar en zonas seguras.
  • Seguridad de los activos fuera de las instalaciones.

ANEXO A – Controles sobre los aspectos tecnológicos (principales cambios)

  • Dispositivos de punto final de usuario.
  • Gestión de la capacidad (disponibilidad o rendimiento de los sistemas: HW & SW).
  • Gestión de vulnerabilidades técnicas.
  • Redundancia de las instalaciones de procesamiento de información.
  • Gestión del cambio (infraestructura y tratamiento de la información).


Certifica a tu organización en ISO/IEC 27001

Buscar publicación


Categorías
• Agro
• Ambiental
• Antisoborno
• Automotriz
• Calidad
• Guía Técnica
• Inocuidad
• Noticias
• Responsabilidad Ética
• Responsabilidad Social
• Salud
• Seguridad de la información
• Seguridad ocupacional
• Sin categorizar