Solicitar presupuesto
Home Transiciones

Guía de transición ISO 27001:2022

La norma ISO 27001:2022 "Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información - Requisitos" se publicó en octubre de 2022 y sustituye a la norma ISO 27001:2013 mediante un periodo de transición de tres años. Todas las organizaciones que deseen mantener la certificación ISO 27001 deberán pasar a la revisión 2022 de la norma dentro del periodo de transición establecido, que finaliza en octubre de 2025.

El objetivo de NQA es mantener un enfoque de transición claro que sea fácil de comprender y aplicar para nuestros clientes. Nuestro objetivo es proporcionar a las organizaciones la orientación y las herramientas necesarias para que la transición de ISO 27001:2013 a ISO 27001:2022 sea lo más fluida posible.

Ambas versiones de la norma ISO 27001 siguen siendo válidas y las auditorías de cualquiera de las versiones de la norma pueden llevarse a cabo con sujeción a las reglas que se indican a continuación, pero deben hacerse planes para que la transición de una organización se produzca plenamente antes de que finalice el período de transición.

Período transitorio detallado

  • 25 de octubre de 2022 - ISO/IEC 27001:2022 3ª edición - Fecha de publicación
  • 31 de octubre de 2022 - Comienza el periodo transitorio

  • 1 de mayo de 2024 - Todas las certificaciones iniciales (nuevas) deben ser según la edición ISO 27001:2022 después de esta fecha y se recomienda que todas las auditorías de recertificación utilicen la edición ISO 27001:2022 después de esta fecha.
    NQA seguirá aceptando solicitudes de certificación y emitiendo nuevos certificados conforme a la norma ISO 27001:2013 hasta esa fecha.

  • 31 de julio de 2025 - Todas las auditorías de transición deben realizarse antes de esta fecha.

  • 31 de octubre de 2025 -  Fin del periodo transitorio Los certificados para ISO/IEC 27001:2013 dejarán de ser válidos después de esta fecha.

ISO 27001:2022 Análisis de cambios

Se han introducido cambios en el cuerpo de la norma ISO 27001 para ajustarla mejor a la estructura armonizada de las normas de sistemas de gestión (es decir, el anexo SL).

Cabe destacar los cambios introducidos en los siguientes requisitos:

  • 4.2 Comprender las necesidades y expectativas de las partes interesadas

  • 4.4 Sistema de gestión de la seguridad de la información

  • 6.2 Objetivos de seguridad de la información y planificación para alcanzarlos

  • 6.3 Planificación de los cambios

  • 8.1 Planificación y control operativos

  • 9.1 Seguimiento, medición, análisis y evaluación

  • 9.3.2 Aportaciones para la revisión de la gestión

  • 10 Mejora

  • Los controles del Anexo A se han reagrupado de 14 objetivos de control a 4 grandes temas que incluyen: Controles organizativos, de personas, físicos y tecnológicos.

  • El número total de controles del anexo A asciende a 93, frente a los 114 de la edición anterior.

  • Sin embargo, varios controles anteriores se han consolidado en nuevos controles más amplios; y se han añadido 11 nuevos controles, entre ellos:

    • Inteligencia sobre amenazas

    • Seguridad de la información para el uso de servicios en nube

    • Supervisión de la seguridad física

    • Gestión de la configuración

    • Supresión de información

    • Enmascaramiento de datos

    • Prevención de fugas de datos

    • Filtrado web

    • Codificación segura

  • Además, la norma ISO 27002:2022 identifica 5 atributos de control para clasificar los controles de distintas maneras; entre los atributos se incluyen:

    • Tipo de control

    • Propiedades de seguridad de la información

    • Conceptos de ciberseguridad

    • Capacidades operativas

    • Dominios de seguridad

  • La norma ISO 27002:2022 también define un propósito para cada control individual con el fin de explicar mejor la intención de cada control.

Para garantizar que los clientes tengan éxito con su transición, NQA aconseja los siguientes pasos:

Preparación para la transición a la norma ISO 27001

  • Las organizaciones deben realizar la transición de su sistema de gestión de acuerdo con los requisitos de la norma ISO 27001:2022 antes de que se lleve a cabo la auditoría de transición. Esto debe incluir cualquier cambio en la documentación, junto con pruebas de cualquier requisito de proceso nuevo o modificado.

  • Cabe señalar que las organizaciones deben llevar a cabo una auditoría interna y una revisión por parte de la dirección de los requisitos nuevos o modificados antes de que se realice la auditoría de transición de NQA.

  • NQA puede realizar una evaluación de las deficiencias en la transición de las organizaciones antes de su auditoría oficial de transición. Esto podría llevarse a cabo en conjunción con una vigilancia ISO 27001:2013 anterior, o en cualquier otro momento independiente antes de su auditoría de transición.
Hemos elaborado una Guía de la Transición a ISO 27001:2022 y una Herramienta de Análisis de Deficiencias para ayudarle en su transición, así que descárguese estos documentos para obtener más información e iniciar su transición.

Su auditoría de transición a ISO 27001

  • Todas las organizaciones deben someterse a una auditoría de transición para confirmar la aplicación de la norma revisada. La auditoría de transición puede realizarse conjuntamente con una auditoría ya existente, o puede ser una auditoría independiente.

  • Si la auditoría de transición se realiza junto con una auditoría de vigilancia (es decir, vigilancia de transición) o de recertificación (es decir, reevaluación de transición) ya existente, se podrá añadir tiempo adicional a la duración de la auditoría para cubrir los nuevos requisitos/conceptos introducidos por la norma ISO 27001:2022.

  • Si se lleva a cabo una auditoría independiente para la auditoría de transición, la duración se calculará en función de cada organización.

Nota: La duración específica de la auditoría de transición dependerá de la situación real de la organización, incluyendo el tamaño de la organización y la complejidad del SGSI. Su representante de NQA Client le informará de la duración específica de su auditoría de transición.

Certificados revisados ISO 27001:2022

  • Como en cualquier auditoría, las no conformidades identificadas durante una auditoría de transición requerirán la presentación y aprobación de una acción correctiva. Se emitirá una certificación ISO 27001:2022 actualizada tras la aprobación de la acción correctiva.

  • La emisión y validez actualizadas del certificado ISO 27001:2022 serán las siguientes:

    • Transición en auditoría de mantenimiento- Se mantendrá la actual "Fecha de validez hasta" de la organización.

    • Transición en recertificación: se emitirá una nueva "Fecha de validez hasta" para el período renovado de 3 años.

    • Transición autónoma: se mantendrá la "Fecha de validez hasta" de la organización.

Lista de comprobación de la transición a NQA ISO 27001:2022

NQA está desarrollando una lista de comprobación para la transición a la norma ISO 27001:2022, que proporciona un marco sencillo para evaluar su sistema de gestión con respecto a los requisitos de la norma ISO 27001:2022. Una vez publicada, animamos a las organizaciones a utilizar esta lista de comprobación como herramienta para facilitar y registrar los cambios dentro de su sistema de gestión y a conservar este documento para revisarlo en su auditoría de transición.

Vuelva a consultarlo en las próximas semanas o suscríbase a nuestro boletín mensual, para que le avisemos de su publicación.

Apoyo adicional

El equipo de NQA está a su disposición para ayudarle durante todo el proceso de transición. Si tiene alguna pregunta o necesita ayuda, podemos ayudarle:

  • Análisis técnico y orientación. NQA ofrecerá diversos contenidos adicionales en los próximos meses; consulte el sitio web de NQA y suscríbase a nuestro boletín para mantenerse informado.

  • Pre-auditoría / Análisis de deficiencias. NQA puede proporcionar una Pre-evaluación o Análisis de Gaps de su SGSI revisado para determinar el nivel de cumplimiento de su SGSI con los requisitos de la norma ISO 27001:2022.
  • Webinarios y seminarios. NQA ofrecerá análisis interpretativos generales y orientaciones sobre la transición; consulte el sitio web de NQA y suscríbase a nuestro boletín para mantenerse informado.

  • Formación. NQA ofrece una serie de cursos de transición para garantizar que los asistentes tengan toda la información pertinente que necesitan para asegurar una transición sin problemas para su organización.

Si tiene alguna pregunta o necesita hablar con alguien sobre su transición, póngase en contacto con nosotros.