La publicación de la nueva versión de la norma ISO 27001 en octubre de 2022 marca un hito importante en el mundo de la seguridad de la información. Esta actualización refleja la evolución constante del panorama tecnológico y las amenazas a la seguridad, proporcionando a las organizaciones un marco más sólido y adaptable para proteger sus activos de información.
Principales novedades:
- Enfoque en el contexto y las partes interesadas: La norma exige a las organizaciones identificar y comprender las necesidades y expectativas de sus stakeholders, lo que permite una mejor gestión de los riesgos y la toma de decisiones.
- Mayor flexibilidad y adaptabilidad: La nueva estructura de la norma facilita la personalización del Sistema de Gestión de Seguridad de la Información (SGSI) a las necesidades específicas de cada organización.
- Énfasis en la mejora continua: Se introduce el concepto de “Ciclo de Deming” para promover la mejora continua del SGSI, con un enfoque en la medición, el análisis y la acción.
- Nuevos controles: Se han añadido 11 nuevos controles al Anexo A, incluyendo temas como la inteligencia de amenazas, la seguridad de la información en la nube y la gestión de la configuración.
Beneficios para las organizaciones:
- Mayor confianza y seguridad: La certificación ISO 27001:2022 demuestra el compromiso de la organización con la seguridad de la información, lo que genera confianza entre clientes, socios y otras partes interesadas.
- Mejora de la gestión de riesgos: El SGSI ayuda a identificar, evaluar y controlar los riesgos de seguridad de la información, reduciendo la probabilidad de incidentes y sus impactos negativos.
- Mayor eficiencia y productividad: La implementación de la norma puede mejorar la eficiencia de los procesos y aumentar la productividad al optimizar la gestión de la información.
- Cumplimiento normativo: La norma ISO 27001:2022 facilita el cumplimiento de otras normas y regulaciones relacionadas con la seguridad de la información.
Concepto de información documentada
La ISO 9000:2015 (fundamentos y vocabulario), define:
- Documento: Información y el medio en que está contenida.
- Registro: Documento que presenta resultados obtenidos o proporciona evidencia de actividades realizadas.
- Información documentada: información que una organización tiene que controlar y mantener, y el medio que la contiene.
- Nota 1: La información documentada puede estar en cualquier formato y medio, y puede provenir de cualquier fuente.
- Nota 2: La información documentada puede hacer referencia a: el sistema de gestión, incluidos los procesos; la información generada para que la organización opere (documentación); la evidencia de los resultados alcanzados (registros)
- Nota 3: Este término es uno de los términos comunes y definiciones esenciales para las normas de sistemas de gestión que se proporcional en el Anexo SL.
Lista de documentos obligatorios
Mantener Información documentada para la planificación (documentos) obligatoria:
- Alcance 4.3
- Política 5.2
- Declaración de aplicabilidad 6.1.3 d)
- Planificación y control operacional 8.1
- Programa de auditoría 9.2
Conservar Información documentada como evidencia (registros) obligatoria.
- Evidencia Valoración de riesgos de la seguridad de la información 6.1.2 (Planificación)
- Evidencia de Tratamiento de riesgos de la seguridad de la información 6.1.3 (Planificación)
- Evidencia de Objetivos de seguridad de la Información y planes para lograrlos 6.2
- Evidencias de competencia. 7.2
- Evidencias de Valoración de riesgos de la seguridad de la información 8.2 (Ejecución)
- Evidencias del Tratamiento de riesgos de la seguridad de la información 8.3 (Ejecución)
- Evidencias seguimiento, medición, análisis y evaluación. 9.1.1
- Evidencias de los resultandos de las auditorias. 9.2
- Evidencias de revisión por la dirección. 9.3
- Evidencias de acciones correctivas. 10.2
Información documentada Identificada en los Anexos:
- Inventario de activos 5.9
- Procedimientos Etiquetado de información 5.13
- Procedimientos de las relaciones con proveedores 5.19
- Procedimientos cadena de suministro 5.21
- Procedimiento de incidentes 5.26
- Requisitos legales, reglamentarios y contractuales 5.31
- Procedimientos Operativos de seguridad 5.37
- Acuerdos Contractuales 6.2
- Proceso disciplinario 6.4
- Acuerdos de confidencialidad 6.6
- Procedimientos de autenticación 8.5
- Gestión de la configuración 8.9
- Copias de seguridad de la información 8.13
- Registros de actividades, excepciones, falla y otros 8.14
- Procedimientos de instalación de software en sistemas operativos 8.19
- Principios de Ingeniería 8.27
- Procedimiento de gestión del cambio 8.32
Otros artículos relacionados con los documentos obligatorios
EN116-V1 Documentos obligatorios en ISO 20000-1:2018 Tecnologías de la información y la comunicación
EN141-V1 Documentos obligatorios en ISO 22301:2019 Continuidad del Negocio.
EN79-V2 Documentos obligatorios de ISO 9001:2015
EN83-V1 Documentos obligatorios en ISO 14001-2015
EN84-V1 Documentos Obligatorios en ISO 45001:2018