FISO27001_T003 Estructura de la Norma ISO/IEC 27001:2022

Plataformas de Aprendizaje Autodirigido

La nueva estructura refleja la estructura de otras normas nuevas de gestión, tales como ISO 9000, ISO 20000 e ISO 22301, que ayudan a las organizaciones a cumplir con varias normas.

Los cambios que se presentaron en la industria con la aparición del Marco de Ciberseguridad del NIST (CSF) cuyo enfoque era proteger la infraestructura crítica que soporta los servicios esenciales de los Estados Unidos, las propuestas de Ciberseguridad de la Unión Europea reflejados en diversos documentos de la ENISA y las actualizaciones que ocurrieron en otras mejores prácticas como ITIL y COBIT -durante 2019- y PCI, durante este año también han influido en la necesidad de refrescar el contenido de esta norma.

La norma se compone de 10 clausulas homogéneas a las últimas normas publicadas por la ISO, las 10 cláusulas son:

0. Introducción

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Contexto de la organización

5. Liderazgo

6. Planificación.

7. Soporte

8. Operación

9. Evaluación del desempeño

10. Mejora

Hay 93 controles en 4 dominios en comparación con los 114 controles en 14 cláusulas en la versión de 2013.

Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos

Se agregaron 11 nuevos controles (Inteligencia de amenazas, Seguridad de la información en la nube, continuidad del negocio, seguridad física y su supervisión, configuración, eliminación de la información, encriptación de datos, seguimiento y monitoreo, filtrado web, codificación segura).

  • 1 control se eliminó (eliminación de activos)
  • 58 controles se actualizaron
  • 24 controles fusionados
  • 4 dominios: organizacional (37 controles), personas (8 controles), físico (14 controles), tecnológico (34 controles)