El 25 de octubre de 2022 se ha publicado la revisión de la norma ISO 27001 de Seguridad de la Información.

Las empresas que se certificaron en la versión de 2013 deben comenzar un proceso de transición hacia ISO/IEC 27001:2022, actualizar su Sistema de Gestión de Seguridad de la Información y superar la auditoría de certificación bajo el nuevo estándar.

El camino hacia la transición a la nueva norma ISO/IEC 27001:2022 comienza, y las empresas tienen por delante un camino de tres años para adecuarse a los nuevos requisitos de la norma.

Plazos

A partir del 25 de octubre de 2025 solo se podrán emitir certificados bajo el estándar ISO/IEC 27001:2022. Después del plazo fijado de tres años, todos los certificados en la versión 2013 perderán su validez.

Aunque todavía estamos a tiempo, conocer los pasos clave para realizar la transición facilita la elaboración de una hoja de ruta que nos permita lograr nuestros objetivos.

Pasos clave a seguir en el camino hacia la nueva ISO 27001

  1. Conocer y formarse en el nuevo estándar.

Para que podamos saber qué implicaciones tendrá la nueva ISO 27001:2022 en nuestra organización, lo primero será conocer de primera mano los requisitos y formarnos en la norma.

A fecha de publicación de este post, Aenor aún no ha traducido la norma al español, pero sí podemos encontrarla en la Web de ISO en su versión en inglés.

  1. Análisis GAP de requisitos.

El segundo paso implica identificar cómo de lejos o cerca nos encontramos en el cumplimiento del nuevo estándar, fundamentalmente en los requisitos de ISO 27001:2022 donde se ha pasado de 114 a 93 controles. Hay un total de 11 nuevos controles, 24 se han fusionado y un total de 58 han sido revisados. No es necesario cambiar lo que ha funcionado bien hasta ahora.

  1. Actualizar el Sistema de Gestión de Seguridad de la Información.

Con los resultados del análisis GAP, pasaremos a identificar qué prácticas deben ser modificadas o implementadas, de manera que el SGSI se adapte a la nueva norma ISO 27001:2022.

En este proceso será fundamental la actualización de la Declaración de Aplicabilidad (SOA) y el análisis de riesgos de la organización.

Nueva ISO 27001
  1. Actualizar la documentación del SGSI

Con la transición, la organización debe aprovechar para poner al día la documentación del SGSI, actualizando las políticas de seguridad a los nuevos requisitos de los controles y del cuerpo normativo.

  1. Verificar el cumplimiento del SGSI

Será necesario realizar una auditoría interna para comprobar el cumplimiento de todos los requisitos de ISO/IEC 27001:2022 y el buen funcionamiento del Sistema de Gestión de Seguridad de la Información.

  1. Auditoría externa de transición

Una vez que las entidades de certificación estén acreditadas bajo el nuevo estándar (a partir del primer trimestre de 2023, aproximadamente) podremos solicitar o bien una auditoría extraordinaria para la transición, o bien que en una de las auditorías de seguimiento o renovación del certificado de nuestra organización nos adecuemos a la versión de 2022.

Conoce más de la nueva norma

¿Cómo podemos ayudarte desde Ingertec en este proceso?

Si tu organización está interesada en comenzar a enfocar este proceso, no dudes en contactar con Grupo Ingertec. Con más de 30 profesionales en el ámbito de la consultoría y cientos de empresas asesoradas en ISO 27001 te guiaremos en el proceso de adecuación o en la certificación inicial bajo ISO 27001.