ISO 27002 está pasando por una revisión importante: lo que esto significa para las certificaciones ISO 27001 de las empresas
La Organización Internacional de Normalización (ISO) está cambiando la estructura del marco de control ISO 27001/27002 después de 20 años. El nombre de la norma ha cambiado varias veces: British Standard (BS) 7799 Partes 1 y 2 en los años 90, a ISO 17799 en 2000, seguido de ISO 27001/27002, pero la estructura de los controles ha permanecido en gran medida igual hasta ahora.
¿Cuál es la diferencia entre ISO 27001 e ISO 27002?
Puede obtener una certificación ISO 27001, pero no una certificación ISO 27002 porque no es una norma de gestión que proporcione una lista completa de requisitos de cumplimiento. ISO 27002 es una norma complementaria que ofrece consejos sobre cómo implementar controles de seguridad de la información y se enumeran en el Anexo A de ISO 27001.
ISO 27001 requiere que las empresas realicen una evaluación de riesgos para identificar los riesgos, qué controles se necesitan para mitigar el riesgo y cómo deben implementarse. ISO 27002, por otro lado, es simplemente información sobre un control, cómo funciona y cómo podría implementarse; no le dice si es aplicable a su empresa.
¿Cómo afectan las revisiones de ISO 27002 a su empresa?
Por lo general, ISO proporcionará un período de tiempo antes de que las empresas estén obligadas a adoptar la norma ISO 27001 actualizada, por lo que las empresas tienen tiempo para hacer cambios. Puede esperar que la nueva norma se publique dentro del próximo año.
ISO 27001 también puede requerir menos implementación de lo que recomienda ISO 27002, pero tendremos más claridad una vez que se publique la nueva norma ISO 27001. Habrá algunos cambios de configuración y proceso que serán menores, como suscribirse a fuentes de inteligencia de amenazas.
Navegar por estos cambios puede ser confuso, ¡pero Secureframe está aquí para ayudar! Cuando se publique la nueva norma ISO 27001, los clientes de Secureframe podrán hacer la transición fácilmente antes de su próxima auditoría.
¿Qué está cambiando en las normas ISO?
Muchos controles han sido eliminados y consolidados, mientras que se han agregado algunos nuevos. En lugar de tener 14 categorías con 114 controles, ahora hay 4 temas con 93 controles.
Se agregaron nuevos controles para cubrir lo siguiente:
- Inteligencia de amenazas
- Seguridad de la información para el uso de servicios en la nube
- Preparación de las tecnologías de la información y la comunicación (TIC) para la continuidad del negocio
- Monitoreo de la seguridad física
- Gestión de la configuración
- Eliminación de información
- Enmascaramiento de datos
- Prevención de fugas de datos
- Monitoreo de actividades
- Filtrado web
- Codificación segura
Ahora hay cinco atributos para cada control:
Las correspondencias y mapeos con ISO/IEC 27002:2013 están disponibles en el Anexo B en el borrador de ISO 27002.
Si está listo para cumplir con la norma ISO 27001 o renovar su certificación, pero no está seguro de cómo navegar por estos cambios, ¡Secureframe puede ayudar! Solicite una demostración o comuníquese con sales@secureframe.com y estaremos encantados de ayudarle a comenzar.