En este artículo os mostramos las principales diferencias entre las normas ISO 27001 de 2013 y 2022.

1. Contexto de la Organización y Partes Interesadas

  • 2013: Se introduce la necesidad de entender el contexto de la organización y las expectativas de las partes interesadas.
  • 2022: Se profundiza en este entendimiento, exigiendo un análisis más exhaustivo del entorno externo e interno de la organización, incluyendo la cadena de suministro y las partes interesadas relevantes.

2. Liderazgo y Compromiso

  • 2013: Se enfatiza la importancia del liderazgo y el compromiso con el SGSI.
  • 2022: Se refuerza este enfoque, promoviendo un mayor compromiso de la alta dirección en la integración de los requisitos de seguridad de la información en los procesos empresariales generales.

3. Enfoque Basado en Riesgos

  • 2013: Se introduce un enfoque sistemático para gestionar riesgos de seguridad de la información.
  • 2022: Se presenta una metodología más detallada para la evaluación de riesgos y la gestión de riesgos, alineándola más estrechamente con otras normas de sistemas de gestión.

4. Controles de Seguridad de la Información

  • 2013: Se proporciona un conjunto de 114 controles en el Anexo A, agrupados en 14 dominios.
  • 2022: Se reorganizan los controles (ahora son 93, reagrupados en 4 temas en lugar de 14 dominios) y se actualizan para reflejar las amenazas emergentes, las tecnologías en evolución y las nuevas prácticas empresariales.

5. Operación del SGSI

  • 2013: Se enfoca en la necesidad de implementar y operar el SGSI de manera coherente y predecible.
  • 2022: Se introduce una mayor flexibilidad en la operación del SGSI, permitiendo a las organizaciones una adaptación más ágil a los cambios en el contexto de seguridad de la información.

6. Evaluación del Desempeño

  • 2013: Se establecen requisitos para la monitorización, medición, análisis y evaluación del SGSI.
  • 2022: Se refuerzan estos requisitos, alentando una evaluación más profunda del desempeño y la efectividad del SGSI y promoviendo una mejora continua más dinámica y adaptativa.

7. Gestión del Cambio

  • 2013: Se define, pero no se profundiza en la gestión del cambio.
  • 2022: Se pone un mayor énfasis en la gestión del cambio, reconociendo la necesidad de adaptar y modificar el SGSI de manera proactiva ante cambios internos y externos.

Conclusión

El paso de la ISO 27001:2013 a la ISO 27001:2022 refleja un compromiso con la mejora continua y la adaptación a un mundo digital en constante cambio. Las organizaciones que adoptan la nueva versión no solo demuestran su compromiso con la seguridad de la información, sino que también aseguran una mayor alineación con las necesidades y expectativas actuales de clientes, reguladores y otras partes interesadas. Al integrar estos cambios, las organizaciones pueden fortalecer su resiliencia y mantener una postura de seguridad robusta y proactiva.

¿QUIERES CONSEGUIR UN CERTIFICADO ISO PARA TU EMPRESA?

Contáctanos
Solicitar presupuesto