ISO 27001:2013 e ISO 27001:2017 ¿cuál es la diferencia?
Tabla de contenido:
La diferencia en las versiones ISO 27001
IEn términos prácticos, muy poco ha cambiado entre 2013 y 2017. ISO 27001 estándares excepto por algunos puntos cosméticos menores y un pequeño cambio de nombre.
La última versión publicada del estándar ISMS es: BS EN ISO/IEC 27001: 2017.
La ISO La versión de la norma (2013) no se vio afectada por la publicación de 2017 y los cambios. no es necesario introducir nuevos requisitos.
Para aquellos que buscan un UKAS acreditado Certificación ISO 27001, UKAS acredita según la norma ISO, por lo que no hay modificaciones que afecten su estado de certificación y, por lo tanto, esta revisión no introduce actividades de transición adicionales.
El cambio de 2017 se introdujo para indicar la aprobación por parte de CEN/CENELEC para la designación EN (“Norma europea”).
El actualizado BS Sin embargo, incorpora dos Corrigenda/Enmiendas emitidas previamente a la Norma ISO 27001:2013, específicamente en la Cláusula 6.1.3 y la cláusula 8.1 del Anexo A.
Echemos un vistazo a lo que cubrieron esos Corrigenda:
Corrección 1: ISO/IEC 27001:2013/Cor.1:2014(es) – publicado en 2014
A.8.1.1 (Inventario de Activos), reemplaza el texto objetivo del control por:
"Se identificarán los activos asociados con la información y las instalaciones de procesamiento de información y se elaborará y mantendrá un inventario de estos activos".
para:
“La información, otros activos asociados con la información y las instalaciones de procesamiento de información se identificarán y se elaborará y mantendrá un inventario de estos bienes.”
El cambio hizo explícito que información El mismo también debe ser considerado como un activo y ser incluido en el inventario.
Para aquellos que usan SGSI.online, las notas orientativas proporcionadas en Subcláusula A.8.1.1, junto con nuestra Entrenador virtual ISO 27001, tenga esto en cuenta plenamente.
A diferencia de algunas de las herramientas más antiguas del mercado, SGSI.online usa un enfoque basado en activos de información para la gestión de riesgos así que pueden estar seguros de que se ha abordado esta importante enmienda.
Lea más sobre Cómo desarrollar un inventario de activos.
Haga clic para ver una imagen más grande de cómo utilizamos la plataforma ISMS.online para ISO 27001
Corrección 2: ISO/IEC 27001:2013/Cor.2:2015(es) – publicado el 1/12/2015
Esto implicó cambios a la Subcláusula. 6.1.3 (Tratamiento de Riesgos de Seguridad de la Información), y específicamente al inciso d), sobre la Declaración de Aplicabilidad (SoA). Fue solo un ajuste cosmético, separando el contenido requerido para un SoA del párrafo principal en viñetas separadas, dejando más claro que un SoA debe contener al menos cuatro elementos:
-
Los controles necesarios para implementar la tratamiento de riesgos de seguridad de la información, considerando no solo los del Anexo A sino también los controles diseñados por la organización según sea necesario, así como otros identificados de cualquier fuente (por ejemplo, controles de la serie de documentos NIST SP 800)
-
Justificación de la inclusión de estos controles
-
El estado de los controles (por ejemplo, implementados o no)
-
La justificación para excluir cualquiera de los Controles del anexo A
La Declaración de aplicabilidad de la norma ISO 27001 a menudo se considera una de las tareas más onerosas de la norma, tanto para crearla como para mantenerla actualizada. Puedes leer nuestro artículo, Declaración de aplicabilidad simplificada para obtener más información.
Haga clic para ver una imagen más grande de cómo mantenemos nuestra Declaración de aplicabilidad en la plataforma ISMS.online
Cómo afrontar los cambios
/características-del-software/Con SGSI.online, se han incorporado los elementos del corrigendum, tanto en términos de orientación como de herramientas que utilizará para acelerar su implementación de ISO 27001. y Reduzca el tiempo de gestión continua de su SGSI.
