ISO 27001:2022

Transición a ISO 27001:2022

El día 25 de octubre de 2022 se publica la norma ISO 27001:2022.

Aquellas organizaciones certificadas en ISO 27001:2013:

Dispondrán de 36 meses (fecha límite 25/10/25) para actualizar su sistema de gestión de seguridad de la información (SGSI) y realizar la transición de su certificación a partir de la publicación de la norma ISO 27001:2022. Después de 36 meses todos los certificados ISO 27001:2013 caducarán y dejarán de ser válidos (fecha límite 25/10/25).
Las entidades de certificación tendrán que llevar a cabo una auditoría de transición dentro de este periodo de tiempo y emitir un certificado actualizado.
La evaluación de transición determinará si ha actualizado su SGSI a los nuevos requisitos de la norma ISO 27001:2022, incluyendo los cambios significativos en los controles del Anexo A (ver ISO 27001:2022).
Se podrá realizar la transición en una auditoría de mantenimiento, recertificación o una evaluación independiente, pero requerirá de un tiempo de auditoría adicional.
No se podrán emitir nuevos certificados para la ISO 27001:2013 después de 12 meses (fecha límite 25/10/23) desde la publicación de la ISO 27001:2022.

Los principales cambios de la ISO 27001:2022 son:

Se revisa y reorganizando la cláusula 6.1.3 c, incluyendo la eliminación de los objetivos de control y reemplazando “control” por «control de seguridad de la información».
En comparación con la ISO 27002:2022 el anexo A:

- El número de controles disminuye de 114 controles en 14 cláusulas a 93 controles en 4 cláusulas.
- 11 controles son nuevos, 24 controles se fusionan a partir de los controles existentes y 58 controles se actualizan.
- Además, se revisa la estructura de los controles, que introduce el «atributo» y el «objetivo» para cada control y deja de utilizar el «objetivo» para un grupo de controles.