Transición de ISO 27001:2013 a 2022: qué cambió y cómo migrar
Qué cambió
El cambio principal está en el Anexo A, alineado ahora con ISO/IEC 27002:2022: los controles pasaron de 114 (en 14 dominios) a 93 (en 4 temas). No es que "sobren" controles: muchos se fusionaron, se renombraron y se reorganizaron, y se añadieron 11 nuevos que reflejan riesgos actuales (nube, monitoreo, fuga de datos, código seguro). El cuerpo de la norma (cláusulas 4 a 10) tuvo ajustes de redacción menores.
Los 11 controles nuevos
- A.5.7 Inteligencia de amenazas (threat intelligence).
- A.5.23 Seguridad de la información para el uso de servicios en la nube.
- A.5.30 Preparación de las TIC para la continuidad del negocio.
- A.7.4 Monitoreo de la seguridad física.
- A.8.9 Gestión de la configuración.
- A.8.10 Eliminación de información.
- A.8.11 Enmascaramiento de datos.
- A.8.12 Prevención de fuga de datos (DLP).
- A.8.16 Actividades de monitoreo.
- A.8.23 Filtrado web.
- A.8.28 Codificación segura.
Plazo de transición
El IAF (International Accreditation Forum) fijó un período de transición para migrar de la versión 2013 a la 2022 desde la publicación de esta última. Las organizaciones certificadas debían transicionar dentro de ese plazo, normalmente en una auditoría de seguimiento o recertificación; pasado el plazo, los certificados 2013 dejan de ser válidos.
Cómo migrar
- Análisis de brechas entre tu SGSI actual y los cambios de 2022.
- Actualiza la Declaración de Aplicabilidad (SoA) al nuevo conjunto de 93 controles.
- Implementa y evidencia los 11 controles nuevos que apliquen.
- Actualiza documentación, riesgos y registros; capacita al equipo.
- Coordina la auditoría de transición con tu organismo certificador.
Preguntas frecuentes
- ¿Cuántos controles tiene ISO 27001:2022?
- 93 controles organizados en 4 temas (organizacional, personas, físico y tecnológico), frente a los 114 en 14 dominios de la versión 2013.
- ¿Cuántos controles nuevos hay?
- 11 controles nuevos, más varios fusionados y renombrados.
- ¿Qué pasa si no transiciono a tiempo?
- Pasado el plazo de transición del IAF, el certificado bajo la versión 2013 deja de ser válido.
- ¿Cómo empiezo la migración?
- Con un análisis de brechas y la actualización de la Declaración de Aplicabilidad. Ver la guía de certificación ISO 27001.