El 25 de octubre de 2022 la Organización Internacional de Normalización (ISO) publicó la tercera edición de la norma ISO/IEC 27001.
La Norma ISO/IEC 27001 Standard permite a los clientes gestionar todos los riesgos de Seguridad de la Información a través de un Sistema de Gestión susceptible de certificación, con el objetivo de salvaguardar la confidencialidad, integridad y disponibilidad de la información relacionada con el negocio, y mejorar los aspectos tecnológicos, operativos, procedimentales, humanos y del entorno.
El principal cambio se refiere a la lista y definición de controles aplicables que gestionan la seguridad de la información, contenida en el Anexo A: algunos controles se han actualizado de acuerdo con la evolución de la tecnología y los escenarios de riesgo y, en comparación con la versión 2013 de la norma, los controles ahora se reducen a 93 en 4 grupos. Se han revisado algunos controles, mientras que se han agregado nuevos controles y otros se han reagrupado.
Otro cambio es el título: ahora contiene los términos “ciberseguridad” y “protección de la privacidad”, ampliando así el alcance de la norma.
El Foro Internacional de Acreditación (IAF) ha establecido un tiempo de 3 años a partir de la fecha de publicación de la norma para completar la transición.
Fechas para recordar:
Al completar con éxito la auditoría de transición y después de la validación por parte de RINA, el certificado será reemitido de conformidad con la nueva versión de la norma, manteniendo el mismo número de identificación y no se cambiará el vencimiento del ciclo de certificación actual, a menos que la transición sea verificada en la auditoría de renovación.
Si la actividad de transición no se completa con éxito antes de esta fecha límite, el certificado caducará y no podrá ser reconocido. Por tanto, será necesario presentar una nueva solicitud siguiendo el procedimiento previsto para la certificación inicial.
