- Posted By: webadmin
El 03 de febrero del 2022, ISO ha puesto a consulta el borrador de "Amendment 1" de la ISO/IEC 27001:2013 por lo cual es importante entender que significa esto para las empresas que tienen un SGSI basado en ISO/IEC 27001:2013 o que están en proceso o planes de implementación de esta importante norma internacional.
Primero recordemos que desde su publicación en 2013, ISO/IEC 27001 ha tenido 2 corrigendas (en el 2014 y 2015), estas para clarificar algunos aspectos menores referidos a requisitos.
En segundo lugar, entender que es para ISO un "Amendment" y esto lo encontramos en las directivas de ISO donde señala :
"Una enmienda altera y/o agrega disposiciones técnicas previamente acordadas en una Norma Internacional existente. Una enmienda se considera una revisión parcial: el resto de la Norma Internacional no está abierto a comentarios."
Ademas de que este "Amendment" es publicado como un documento adicional y que debe ser leído junto con la norma de referencia (ISO/IEC 27001:2013).
Para el caso de este Amendment 1, ante la publicación de la nueva ISO/IEC 27002:2022 se necesita mantener la relación con ISO/IEC 27001:2013, por lo que se modifican las 2 notas del literal c) de la subclusula 6.1.3 clarificando que el anexo A es un "listado" de controles ( no son requisitos ) y también cambiando el texto para eliminar la referencia a objetivos de control (que en la nueva ISO/IEC 27002:2022 ya no existen) .
Ademas se reemplaza en Anexo A para que refleje la nueva estructura de controles establecido en ISO/IEC 27002:2022.
A la fecha de publicación de este artículo, este "Amendment" esta en fase de consulta publica por 12 semanas, pudiendo adquirirse comprándolo desde la web de ISO y enviando sus comentarios a través del órgano de normalización de cada país (en Perú por ejemplo es INACAL).
Cabe señalar que ninguno de los requisitos de ISO/IEC 27001:2013 es modificado, pero si el Anexo A, con lo cual se entiende que habría un cambio en la declaración de aplicabilidad, por lo que las empresas certificadas en ISO/IEC 27001:2013 necesitan evaluar este aspecto, toda vez que si los resultados de sus procesos de evaluación y tratamiento de riesgos generaban una declaración de aplicabilidad con menos o mas controles que los incluidos en el Anexo A, estos probablemente ahora si puedan ser mapeados a algún control del nuevo Anexo A, las organizaciones que utilizaban el Anexo A como referencia para sus controles, deberán revisar los cambios en los controles para verificar si aun siguen siendo útiles o necesitan cambios ante la nueva estructura de controles.
Invito a las personas interesadas en estos temas a seguirnos en nuestra página Seguridad de la información y ciberseguridad o en nuestro grupo IPSI - Iniciativa de Promoción en Seguridad de la Información.
Desde GTDI siempre comprometidos con la normalización nacional e internacional seguiremos haciendo el seguimiento e informando sobre estos temas.
