ISO 27001:2022

Transición a ISO 27001:2022

El día 25 de octubre de 2022 se publica la norma ISO 27001:2022.

El Foro Internacional de Acreditación (IAF), estableció el pasado 9 de agosto los requisitos obligatorios para la transición a la nueva norma ISO 27001:2022.

Aquellas organizaciones certificadas en ISO 27001:2013:

  • Dispondrán de 36 meses (fecha límite 25/10/25) para actualizar su sistema de gestión de seguridad de la información (SGSI) y realizar la transición de su certificación a partir de la publicación de la norma ISO 27001:2022. Después de 36 meses todos los certificados ISO 27001:2013 caducarán y dejarán de ser válidos (fecha límite 25/10/25).
  • Las entidades de certificación tendrán que llevar a cabo una auditoría de transición dentro de este periodo de tiempo y emitir un certificado actualizado.
  • La evaluación de transición determinará si ha actualizado su SGSI a los nuevos requisitos de la norma ISO 27001:2022, incluyendo los cambios significativos en los controles del Anexo A (ver ISO 27001:2022).
  • Se podrá realizar la transición en una auditoría de mantenimiento, recertificación o una evaluación independiente, pero requerirá de un tiempo de auditoría adicional.
  • No se podrán emitir nuevos certificados para la ISO 27001:2013 después de 12 meses (fecha límite 25/10/23) desde la publicación de la ISO 27001:2022.

Cambios de ISO 27001:2022

Los principales cambios de la ISO 27001:2022 son:

  • Se revisa y reorganizando la cláusula 6.1.3 c, incluyendo la eliminación de los objetivos de control y reemplazando “control” por «control de seguridad de la información».
  • En comparación con la ISO 27002:2022 el anexo A:
    • El número de controles disminuye de 114 controles en 14 cláusulas a 93 controles en 4 cláusulas.
    • 11 controles son nuevos, 24 controles se fusionan a partir de los controles existentes y 58 controles se actualizan.
    • Además, se revisa la estructura de los controles, que introduce el «atributo» y el «objetivo» para cada control y deja de utilizar el «objetivo» para un grupo de controles.

Haga click, si desea información de sistema de gestión de la ciberseguridad-seguridad de la información ISO 27001.