Miércoles, 18 Septiembre 2013 04:00

PRINCIPALES CAMBIOS DE LA NUEVA VERSIÓN DE LA ISO 27001

Escrito por 
Valorar este artículo
(1 Votar)
PRINCIPALES CAMBIOS DE LA NUEVA VERSIÓN DE LA ISO 27001 - 1.0 out of 5 based on 1 vote
PRINCIPALES CAMBIOS DE LA NUEVA VERSIÓN DE LA ISO 27001 Imagen cortesía de nokhoog_buchachon / FreeDigitalPhotos.net

Antecedentes
La versión actualmente vigente de ISO 27001:2005 ha estado en revisión por parte del Subcomité 27 de la ISO, en la cual participan representantes de 49 países, entre ellos México. Actualmente se cuenta con el borrador final (Final Draft) de la nueva versión (2013) de dicho estándar esperando su liberación y publicación en la próxima reunión del citado Sub Comité la cual se llevará a cabo en Octubre. Es por ello que nos hemos permitido realizar un análisis de los principales cambios que tendrá la nueva versión 2013 con relación a la versión 2005, a efectos de que las empresas que ya se encuentran certificadas puedan identificar los cambios que deben realizar para permanecer en cumplimiento con la nueva versión, y aquellas empresas que estén en plena implementación o que sus planes futuros sean adoptar dicho estándar tengan conocimiento que los nuevos requerimientos que deben implementar.

Consideraciones para empresas certificadas
Cabe mencionar que este documento es un análisis en relación al borrador que existe actualmente, se emitirá un nuevo análisis con la versión final. En el caso de las empresas que se encuentran certificadas deberán comunicarse con su casa certificadora para obtener información del proceso de transición de su certificado a la nueva versión de ISO 27001.

 Las empresas certificadas deben atender las reglas de transición de ISO 27001 emitidas por la acreditadora y la casa certificadora que les haya emitido su certificación.

La estructura de la nueva versión de ISO 27001
Primeramente la estructura del estándar internacional ISO 27001 cambio al pasar de 8 cláusulas a 10, esto derivado de su alineación al Anexo SL de las Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan‐Do‐Check‐Act), sino que ahora aplica la estructura de alto nivel, títulos de las sub‐cláusulas, texto idéntico, términos comunes y las principales definiciones definidas en el Anexo SL. Por lo tanto mantiene compatibilidad con otros estándares de sistemas de gestión que también han adoptado dicho Anexo (p.ej. ISO 22301 Business Continuity management systems — Requirements). Cabe destacar que la tendencia de los otros estándares de sistemas de gestión es adoptar este mismo Anexo en sus nuevas versiones para alinearse (p.ej. ISO 9001, ISO 20000, ISO 14000, etc.).

Cláusula ISO 27001:2013

Cláusula ISO 27001:2005

Observaciones

0 Introducción

0 Introducción

1.1   General

1.2   Enfoque de procesos

1.3   Compatibilidad con otros sistemas de gestión

Las secciones del enfoque a procesos y la compatibilidad con otros estándares viene de la alineación al Anexo SL de las Directivas de ISO/ IEC Parte 1 y ya no al ciclo PDCA(PlanDo‐ CheckAct)

1 Alcance

Alcance

1.1   General

1.2   Aplicación

Ahora es obligatorio cumplir con las cláusulas 4 a la 10 parpoderse certificar.

2 Referencias Normativas

2 Referencias normativas

Ahora hace referencia a ISO 27000

3 Términos y definiciones

3 Términos y definiciones

Se han excluido todos los rminos y definiciones, haciendo referencia a “ISO/IEC 27000 Information technology – Security techniques – Information security management systems‐ Overview and vocabulary

4 Contexto de la organización

4.1 Entendiendo la organización y su contexto

4.2 Entendiendo las necesidades expectativas de las partes interesadas

4.3 Determinando el alcance del sistema de gestión de seguridad de la información

4.4 Sistema de gestión de seguridad de la información

Sistema de gestión de seguridad de la información

4.1 Requerimientos generales

4.2 Establecimiento y gestión del SGSI

4.2.1 Establecer el SGSI

4.2.2 Implementar y operar el SGSI

4.2.3 Monitorear y revisar el SGSI

4.2.4 Mantener y mejorar el SGSI

4.3 Requerimientos documentales

4.3.1 General

4.3.2 Control de documentos

4.3.3 Control de registros

Una vez que se entiende a la organización, su contexto y las necesidades de las partes interesadas se establecen el alcance del SGSI.

Liderazgo

5.1 Liderazgo y compromiso

5.2 Política

5.3 Roles organizacionales, responsabilidades y autoridades

Responsabilidades de la dirección

5.1 Compromiso de la dirección

5.2 Gestión de recursos

5.2.1 Provisión de recursos

5.2.2 Capacitación, concientización y competencia

Se introduce el término “alta dirección” (top management) quien debe demostrar el liderazgo y compromiso para con el SGSI. Adicional a establecer la política ahora es un requisito obligatorio establecer objetivos de seguridad.

 Cambios de Controles de Seguridad de Información en el Anexo A

A nivel de controles (Anexo A) podemos comentar que aunque aumentaron el número de dominios de seguridad de 11 a 14, esto se debió fundamentalmente a una reestructura del estándar pues por ejemplo el dominio A.10 Administración de Comunicaciones y Operaciones de la versión 2005 ahora se separó en dos dominios, así como también se creó un dominio específico para Criptografía y otro para la Relación con proveedores, derivado de dicha reestructura el número de controles disminuyó pasando de 133 a 113, a continuación se muestra el listado comparativo de los nuevos dominios de seguridad de la información.

Anexo A ISO 27001:2005

Anexo A ISO 27001:2013

A.5 Política de Seguridad

A.5 Políticas de Seguridad

A.6 Organización de seguridad de la información

A.6 Organización de la seguridad de la información

A.8 Seguridad en recursos humanos

A.7 Seguridad en recursos humanos

A.7 Administración de activos

A.8 Administración de activos

A.11 Control de acceso

A.9 Control de acceso

 

A.10 Criptografía

A.9 Seguridad física y ambiental

A.11 Seguridad física y ambiental

A.10 Administración de comunicaciones y operaciones

A.12 Seguridad en operaciones

 

A.13 Seguridad en comunicaciones

A.12 Adquisición, desarrollo y mantenimiento de sistemas

A.14 Adquisición, desarrollo y mantenimiento de sistemas

 

A.15 Relación con proveedores

A.13 Administración de incidentes de seguridad de la información

A.16 Administración de incidentes de seguridad de linformación

A.14 Administración de continuidad del negocio

A.17 Aspectos de seguridad de la información en la administración de continuidad del negocio

A.15 Cumplimiento

A.18 Cumplimiento

 

 

Cambios de Controles de Seguridad de Información en el Anexo A

A nivel de controles (Anexo A) podemos comentar que aunque aumentaron el número de dominios de seguridad de 11 a 14, esto se debió fundamentalmente a una reestructura del estándar pues por ejemplo el dominio A.10 Administración de Comunicaciones y Operaciones de la versión 2005 ahora se separó en dos dominios, así como también se creó un dominio específico para Criptografía y otro para la Relación con proveedores, derivado de dicha reestructura el número de controles disminuyó pasando de 133 a 113, a continuación se muestra el listado comparativo de los nuevos dominios de seguridad de la información.

Leído 4258 veces Modificado por última vez el Domingo, 06 Julio 2014 00:31
Leonardo García

Ingeniero en Comunicación y Electrónica. Es certificado en CISSP (Certified Information Systems Security Professional) otorgado por ISC2 (International Systems Security Professional). Auditor Líder Certificado ISO 9001:2000 por IRCA. Auditor Líder Certificado en BS7799. Certificación CISA (Certified Information Systems Auditor) de ISACA. Certificación PMP (Project Manager Professional) por Project Management Institute. Auditor Líder y certificado ISMS ( Information Security Management System Lead Auditor) por IRCA. Certificación NSA (National Security Agency de los Estados Unidos de América) para Evaluación de Seguridad en la Información. Certificación ITIL Versión 3. Certificación ISO/IEC Consultants del ITSMF (IT Service Management Forum). IRCA IT Service Management Systems for ISO 20000-1. Certified in the Governance of Enterprise, CGEIT, de ISACA.

Web: www.intelematica.com.mx/