Antecedentes
La versión actualmente vigente de ISO 27001:2005 ha estado en revisión por parte del Subcomité 27 de la ISO, en la cual participan representantes de 49 países, entre ellos México. Actualmente se cuenta con el borrador final (Final Draft) de la nueva versión (2013) de dicho estándar esperando su liberación y publicación en la próxima reunión del citado Sub Comité la cual se llevará a cabo en Octubre. Es por ello que nos hemos permitido realizar un análisis de los principales cambios que tendrá la nueva versión 2013 con relación a la versión 2005, a efectos de que las empresas que ya se encuentran certificadas puedan identificar los cambios que deben realizar para permanecer en cumplimiento con la nueva versión, y aquellas empresas que estén en plena implementación o que sus planes futuros sean adoptar dicho estándar tengan conocimiento que los nuevos requerimientos que deben implementar.
Consideraciones para empresas certificadas
Cabe mencionar que este documento es un análisis en relación al borrador que existe actualmente, se emitirá un nuevo análisis con la versión final. En el caso de las empresas que se encuentran certificadas deberán comunicarse con su casa certificadora para obtener información del proceso de transición de su certificado a la nueva versión de ISO 27001.
Las empresas certificadas deben atender las reglas de transición de ISO 27001 emitidas por la acreditadora y la casa certificadora que les haya emitido su certificación.
La estructura de la nueva versión de ISO 27001
Primeramente la estructura del estándar internacional ISO 27001 cambio al pasar de 8 cláusulas a 10, esto derivado de su alineación al Anexo SL de las Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan‐Do‐Check‐Act), sino que ahora aplica la estructura de alto nivel, títulos de las sub‐cláusulas, texto idéntico, términos comunes y las principales definiciones definidas en el Anexo SL. Por lo tanto mantiene compatibilidad con otros estándares de sistemas de gestión que también han adoptado dicho Anexo (p.ej. ISO 22301 Business Continuity management systems — Requirements). Cabe destacar que la tendencia de los otros estándares de sistemas de gestión es adoptar este mismo Anexo en sus nuevas versiones para alinearse (p.ej. ISO 9001, ISO 20000, ISO 14000, etc.).
Cambios de Controles de Seguridad de Información en el Anexo A
A nivel de controles (Anexo A) podemos comentar que aunque aumentaron el número de dominios de seguridad de 11 a 14, esto se debió fundamentalmente a una reestructura del estándar pues por ejemplo el dominio A.10 Administración de Comunicaciones y Operaciones de la versión 2005 ahora se separó en dos dominios, así como también se creó un dominio específico para Criptografía y otro para la Relación con proveedores, derivado de dicha reestructura el número de controles disminuyó pasando de 133 a 113, a continuación se muestra el listado comparativo de los nuevos dominios de seguridad de la información.
A nivel de controles (Anexo A) podemos comentar que a
unque aumentaron el número dedominios de seguridad
de 11 a 14, esto se debió fundamentalmente a una reest
ructura delestándar pues por ejemplo el dominio A.10 Ad
ministración de Comunicaciones y Operacionesde la
versión 2005 ahora se separó en dos dominios, así com
o también se creó un dominioespecífico para Criptografía
y otro para la Relación con
proveedores, derivado de dichareestructura el número d
e controles disminuyó pasando de 133 a 113, a continua
ción semuestra el listado
comparativo de los nuevos dominios de seguridad de la in
formación.
No hay comentarios:
Publicar un comentario