ISO/IEC 27001 Nueva edición de la Norma: cambios y plazo
15 may. 2023
Las empresas deben prepararse para la transición a ISO/IEC 27001:2022
El 25 de octubre de 2022 la Organización Internacional de Normalización (ISO) publicó la tercera edición de la norma ISO/IEC 27001.
La Norma ISO/IEC 27001 Standard permite a los clientes gestionar todos los riesgos de Seguridad de la Información a través de un Sistema de Gestión susceptible de certificación, con el objetivo de salvaguardar la confidencialidad, integridad y disponibilidad de la información relacionada con el negocio, y mejorar los aspectos tecnológicos, operativos, procedimentales, humanos y del entorno.
¿Cuales son los cambios?
El principal cambio se refiere a la lista y definición de controles aplicables que gestionan la seguridad de la información, contenida en el Anexo A: algunos controles se han actualizado de acuerdo con la evolución de la tecnología y los escenarios de riesgo y, en comparación con la versión 2013 de la norma, los controles ahora se reducen a 93 en 4 grupos. Se han revisado algunos controles, mientras que se han agregado nuevos controles y otros se han reagrupado.
Otro cambio es el título: ahora contiene los términos “ciberseguridad” y “protección de la privacidad”, ampliando así el alcance de la norma.
Cronología y plazos
El Foro Internacional de Acreditación (IAF) ha establecido un tiempo de 3 años a partir de la fecha de publicación de la norma para completar la transición.
Fechas para recordar:
- A partir del 30 de abril de 2024 todas las nuevas certificaciones y renovaciones deberán ser emitidas exclusivamente de conformidad con la norma ISO/IEC 27001:2022
- El último día de vigencia de los certificados emitidos conforme a la norma ISO/IEC 27001:2013 será el 31 de octubre de 2025
Al completar con éxito la auditoría de transición y después de la validación por parte de RINA, el certificado será reemitido de conformidad con la nueva versión de la norma, manteniendo el mismo número de identificación y no se cambiará el vencimiento del ciclo de certificación actual, a menos que la transición sea verificada en la auditoría de renovación.
Si la actividad de transición no se completa con éxito antes de esta fecha límite, el certificado caducará y no podrá ser reconocido. Por tanto, será necesario presentar una nueva solicitud siguiendo el procedimiento previsto para la certificación inicial.
