ISO 27002:2022 Cambios, actualizaciones y comparación

ISO / IEC 27002 ha sido revisado para actualizar los controles de seguridad de la información para reflejar los desarrollos y las prácticas actuales de seguridad de la información en diversos sectores de empresas y gobiernos.

En este post, explicaremos los principales cambios al estándar y cómo abordarlos con éxito.

Existe una gran cantidad de estándares y otros marcos de seguridad similares relacionados o basados ​​en la norma ISO 27002:2013. El cambio de esta norma a una nueva versión les impactará.

Alcance original ISO 27002 2013

El objetivo principal de ISO 27002:2013 era proporcionar un programa integral de gestión de activos y seguridad de la información para cualquier organización que necesitara un nuevo programa de gestión de seguridad de la información o quisiera mejorar sus políticas y prácticas de seguridad de la información existentes. El código de práctica daba recomendaciones para gestión de la seguridad de la información a los responsables de iniciar, implementar y mantener la seguridad de la información en una organización.

¿Qué ha cambiado en la ISO 27002 2022?

En ISO 27002:2022, se cambió el nombre de la norma. En lugar de "Tecnologías de la información – Técnicas de seguridad – Código de prácticas para controles de seguridad de la información”, el nombre ahora es “Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información” en la revisión de 2022.

Cambios en el panorama de cumplimiento, por ejemplo, regulaciones como GDPR (Reglamento general de protección de datos), POPIA (Ley de Protección de Información Personal), APP (Principios de Privacidad de Australia), la evolución de la continuidad del negocio, los riesgos cibernéticos y los desafíos de cumplimiento que enfrentan las organizaciones de todo el mundo y la introducción de ISO 27701 dieron como resultado la necesidad de que ISO 27002 ampliara el alcance. de sus controles desde su enfoque original de seguridad de la información, para dar cuenta de la seguridad cibernética y la privacidad de la información y la gestión de vulnerabilidades.

La organización ISO espera mejorar la intención proporcionando un conjunto de referencia para seguridad de la información objetivos de control para su uso en la gestión de riesgos de seguridad de la información, privacidad y ciberseguridad específicos de un contexto.

¿Cuándo se puso en marcha?

La nueva revisión ISO 27002 2022 se publicó el 15 de febrero de 2022.

Interpretando los cambios

Nuestra primera impresión del estándar revisado es que proporciona una estructura más sencilla que se puede aplicar en toda una organización y ahora también se puede utilizar para gestionar un perfil de riesgo más amplio. Esto puede incluir información Seguridad y los aspectos más técnicos de la seguridad física., gestión de activos, seguridad cibernética y elementos de seguridad de recursos humanos que vienen con la protección de la privacidad.

El primer cambio significativo al estándar es alejarse de un “Código de prácticas” y posicionarlo como un conjunto de controles que pueden independiente o existir como parte de un sistema de gestión de seguridad de la información ISO 27001.

¿Que ha cambiado?

El número de controles en la nueva versión ISO 27002 2022 ha disminuido de 114 controles en 14 cláusulas en la edición de 2013 a 93 controles en la edición de 2022. Estos controles ahora se clasifican en cuatro “temas” de control, que son “controles organizacionales”, “controles de personas”, “controles físicos” y “controles tecnológicos”.

¿Qué es un control?

Un “control” se define como una medida que modifica o mantiene el riesgo. Un política de seguridad de la información, por ejemplo, sólo puede mantener el riesgo, mientras que el cumplimiento de la política de seguridad de la información puede modificar el riesgo. Además, algunos controles describen la misma medida genérica en diferentes contextos de riesgo.

Guía de control

La sección de Orientación para cada control ha sido revisada y actualizada (cuando sea necesario) para reflejar los desarrollos y prácticas actuales. Además, cada control ahora está equipado con una declaración de "Propósito" y un conjunto de "Atributos" para relacionarse también con conceptos de ciberseguridad y otras mejores prácticas de seguridad.

¿Qué controles han cambiado?

Dentro de los 93 controles (y en comparación con la edición de 2013), 11 controles son nuevos, 24 están fusionados y 58 están actualizados (principalmente para la sección de Orientación).

Los conjuntos de control ahora están organizados en cuatro (4) categorías o temas en lugar de catorce (14) dominios de control. Las cuatro categorías incluyen:

• Organizacionales:
• Personas
• Físico
• Tecnológico

El recuento total de controles se ha reducido: hay 21 controles menos en la nueva versión de ISO 27002:2022.

Se hizo un esfuerzo concertado para evitar la redundancia de controles. La versión 2022 incluye 24 controles que se fusionaron de la versión 2013.

La norma cuenta ahora con 11 nuevas controles para reflejar la seguridad de la información actual, seguridad física y panorama de ciberseguridad.

El objetivo de control para un grupo de controles ha sido reemplazado por un elemento de “propósito” en la versión 2022.

Para mejorar el proceso de mitigación, evaluación y tratamiento de riesgos, se ha introducido el concepto de “atributos de los controles”. Además, podrá crear diferentes vistas de controles, es decir, categorizaciones de controles desde una perspectiva diferente a la de los temas de control.

Nuevos controles

El alcance de ISO/IEC 27002:2022 ahora enumera 11 nuevos controles. Estos son:

1. Inteligencia de amenazas – comprender a los atacantes y sus métodos en el contexto de su panorama de TI.
2. Seguridad de la información para el uso de servicios en la nube – Ahora es necesario considerar de manera integral la estrategia de introducción a través de la operación para salir de las iniciativas en la nube.
3. Preparación de las TIC para la continuidad del negocio – los requisitos para el panorama de TI deben derivarse de los procesos comerciales generales y de la capacidad de recuperar capacidades operativas.
4. Monitoreo de la seguridad física: ha ganado más énfasis el uso de sistemas de alarma y monitoreo para evitar el acceso físico no autorizado.
5. Configuración Gestión: refuerzo y configuración segura de los sistemas de TI..
6. Eliminación de información: es necesario implementar el cumplimiento de requisitos externos, como los conceptos de eliminación de protección de datos.
7. Enmascaramiento de datos: utilizar técnicas que enmascaren datos, como la anonimización y la seudonimización, para reforzar la protección de sus datos.
8. Prevención de fuga de datos: tomar medidas para ayudar a evitar que se filtren datos confidenciales.
9. Monitoreo de actividades: su organización debe monitorear la seguridad de la red y comportamiento de la aplicación para detectar cualquier anomalía en la red.
10. Filtrado Web – ayuda a evitar que los usuarios vean URL específicas que contienen código malicioso.
11. Codificación segura – usar herramientas, comentar, rastrear cambios y evitar métodos de programación inseguros son formas de garantizar una codificación segura.

Eso nos da:

• 93 controles en la nueva versión de 27002.
• 11 controles son nuevos.
• Se fusionaron un total de 24 controles de dos, tres o más controles de la versión 2013; y
• Se revisaron y revisaron 58 controles de la versión 2013 para alinearlos con el entorno actual de información. seguridad y ciberseguridad.
• Anexo A, que incluye orientación para la aplicación de atributos, y
• Anexo B, que corresponde con ISO/IEC 27001 2013. Básicamente son dos tablas que hacen referencias cruzadas a números/identificadores de control para facilitar la referencia y detallan qué es nuevo y qué se ha fusionado.

¿Cuáles SON atributos?

La nueva versión de la norma ISO 27002 introduce una sección de atributos para cada control. Los atributos son un medio para categorizar los controles. Estos le permiten alinear rápidamente su selección de controles con el lenguaje y los estándares comunes de la industria. Estos atributos identifican puntos clave:

• Tipo de control
• Propiedades de seguridad de la información
• La seguridad cibernética conceptos
• Capacidades operativas
• Dominios de seguridad

El uso de atributos respalda el trabajo que muchas empresas ya realizan dentro de su evaluación de riesgos y declaración de aplicabilidad (SOA).

Por ejemplo, la directriz Conceptos de ciberseguridad del NIST y CIS Controls se pueden distinguir claramente y se pueden reconocer las capacidades operativas relacionadas con otros estándares.

Cómo te afecta esto?

La revisión de ISO 27002 2022 afectará a una organización de la siguiente manera:

• Si ya tienes la certificación ISO 27001 2013
• ¿Estás a mitad de certificación?
• Si está a punto de recertificarse

La certificación ISO 27001 tiene una duración de tres años. Si su organización ya está certificada, no necesita hacer nada ahora; la norma ISO 27002 2022 revisada será aplicable tras la renovación/recertificación. Por lo tanto, es lógico que todas las organizaciones certificadas tengan que prepararse para la norma revisada en algún momento.

¿Cómo afecta su (re)certificación?

Supongamos que una organización se encuentra actualmente en el proceso de certificación o recertificación ISO 27001 2013. En ese caso, se espera que revisen su Evaluación de Riesgos e identifiquen los nuevos controles según corresponda y revisen sus Declaración de aplicabilidad' comparando los controles revisados ​​del Anexo A. Dado que hay algunos controles nuevos y orientación modificada o adicional a otros controles, las organizaciones deben revisar la norma ISO 27002 revisada para detectar cualquier cambio en la implementación.

Aunque la revisión 27001 de ISO 2022 aún no se ha publicado, el Anexo B de ISO 27002 asigna controles entre las versiones 2013 y 2022 de la norma.

Su declaración de aplicabilidad (SOA) aún debe hacer referencia al Anexo A de ISO 27001, mientras que los controles deben hacer referencia a la norma revisada ISO 27002:2022, que será un conjunto de controles alternativo.

¿Necesitas modificar tu documentación?

El cumplimiento de estos cambios debe incluir:

• Una actualización de tu proceso de tratamiento de riesgos con controles actualizados
• Una actualización de su Declaración de Aplicabilidad
• Actualice sus políticas y procedimientos actuales con orientación para cada control cuando sea necesario.

¿Cómo afecta a la ISO 27001 2013?

Hasta que se publique una nueva norma ISO 27001 2022, los esquemas de certificación ISO actuales continuarán, aunque se requerirá la correspondencia con los nuevos controles ISO 27002 2022 a través de los Anexos B y B1.2.

Próximos cambios a la ISO 27001

La mayoría de las personas que siguen la seguridad de la información esperan que los cambios de ISO 27001 sean cambios textuales menores con una actualización menor del Anexo A para alinearse con la revisión de ISO 27002 2022.

¿Cuándo se actualizará la ISO 27001?

Se espera ampliamente la ISO 27001 este año (octubre de 2022). Esta fecha es especulativa y necesita ser confirmada.

¿Se ven afectados otros estándares 27000?

Los estándares y marcos de sistemas de gestión relacionados y/o basados ​​en la versión ISO/IEC 27002:2013 sentirán el cambio. Estándares y marcos de uso común, como ISO 27701 (privacidad), se espera que sigan las normas ISO 27017 (servicios en la nube) e ISO 27018 (privacidad en la nube), y se puede esperar un mayor impacto para los estándares y marcos locales.

¿Estás listo para los cambios?

Puedes empezar a preparar el negocio de tu organización. sistema de gestión contra la versión DIS 27001 (DIS significa Borrador de Norma Internacional) o esperar hasta que la norma revisada sea definitiva.

Algunos pasos que su organización puede tomar para prepararse para el estándar revisado son:

• Complete un análisis de brechas de sus controles actuales frente a los nuevos controles.
• Realizar un análisis de riesgos acorde con los controles actualizados 27002 2022.
• Mapa de controles vía Anexo B entre ISO 27002:2013 e ISO 27002:2022.
• Comprenda qué controles son aplicables y actualice su seguridad de la información sistema de gestión en consecuencia.
• Realice actualizaciones de su Declaración de Aplicabilidad.
• Someterse a una revisión y actualización de su auditoría interna programa para identificar los controles actualizados requeridos.
• Asegure su Las métricas de seguridad se actualizan según su nueva evaluación de riesgos. y controles.
• Actualice y revise estándares, procedimientos y políticas según los cambios en su entorno.
• Tome medidas para actualizar la información de su organización. Evaluación de Riesgos, ya que actualizará sus controles existentes.
• Evalúe las herramientas de terceros que esté utilizando para demostrar el cumplimiento actual y asegurarse de que puedan admitir las nuevas revisiones.

Esto le ayudará a adelantarse en el juego para la recertificación o la adopción de Familia ISO 27000 estándares/marcos, por ejemplo, ISO 27018, 27017, 27032, que se espera que se actualicen poco después de la revisión de ISO 27001 2022.

¿ISMS.online puede ayudarle con la transición a la nueva revisión ISO 27002:2022?

Si podemos. Si ya es cliente, en breve nos comunicaremos con usted con un conjunto de opciones de migración. Si no eres cliente, tenemos una gama de opciones para ayudarte migre su sistema de gestión de seguridad de la información al SGSI en línea.