ppt_Webinar_ISO_27001_2022_CIETSI.pdf

Mg. Javier Alfonso Seclén Arana
www.cietsiperu.com

Webinar:
“ACTUALIZACIÓN DE LAS
NORMAS ISO 27001:2022
y 27002:2022”
www.cietsiperu.com

Actualización de las normas
ISO/IEC 27001:2022 e ISO/IEC 27002:2022
www.cietsiperu.com
- INDICE -
1. Introducción (Esquema de Implementación)
2. Principales cambios ISO/IEC 27001:2022
3. Principales cambios ISO/IEC 27002:2022
4. Mapeo de controles de la v.2013 a la v.2022
5. Transición a la Certificación ISO/IEC 27001:2022
Preguntas / Consultas

ISO/IEC 27001:2022 e ISO/IEC 27002:2022
www.cietsiperu.com
1. Esquema de Implementación de un SGSI
- Metodología y Controles de Seguridad-

Actualización de las normas ISO/IEC 27001:2022 e ISO/IEC 27002:2022
www.cietsiperu.com
IMPLEMENTACIÓN DEL SGSI - ISO 27001
Expositor: Mg. Javier A. Seclén Arana

www.cietsiperu.com
❑ La norma ISO/IEC 27001, estándar de referencia a nivel mundial para la gestión de la seguridad de las organizaciones
de todo tipo, sin distinción por tamaño o sector, toma como referencia para su base de controles recomendados a la
ISO/IEC 27002, referenciando a estos controles en su Anexo A.
❑ La norma ISO/IEC 27002 es una base de referencia detallada a los efectos de implementar los controles de seguridad
de información, pero no una referencia de requisitos para la certificación del SGSI.
❑ Sin embargo, las normas ISO/IEC 27001 e ISO/IEC 27002 hace tiempo que se percibían estancadas y no se ajustaban
al nuevo escenario que enfrentan las organizaciones. Por lo que este 2022, ISO emitió una nueva versión de estas
normas.
ACTUALIZACIÓN DEL SGSI - ISO 27001

www.cietsiperu.com
ESTRUCTURA DE LA ISO 27001
Los cambios no se han realizado
básicamente por el aspecto
metodológico, sino que vienen
principalmente por los aspectos
de control -Anexo A- es decir
por la ISO 27002.

www.cietsiperu.com
Liderazgo
- Liderazgo y compromiso
- Política
- Roles y Responsabilidades
Contexto de la
Organización
- Comprender la organización y su contexto
- Necesidades y expectat. de las partes interesadas
- Determinar el Alcance del sistema de gestión
- Sistema de Gestión de Seguridad de Información
Planificación
- Acciones para tratar los riesgos
- Objetivos de seguridad de información
y planificación para conseguirlos
Soporte
- Recursos
- Competencia
- Concientización
- Comunicación
- Información documentada
Operación - Planificación y control operacional
- Evaluación de riesgos de seg.Info.
- Tratamiento de riesgos de seg.info.
Evaluación
del desempeño
- Monitoreo, medición y análisis
- Auditoría Interna
- Revisión por la gerencia
Mejora
- No conformidades y acción
correctiva
- Mejora continua
Gestión de Riesgos
HACER
VERIFICAR
ACTUAR
PLANEAR
ESTRUCTURA DE LA ISO 27001
- Ciclo de Mejora Continua -

ISO/IEC 27001:2022 e ISO/IEC 27002:2022
www.cietsiperu.com
II. Principales cambios en la actualización
de la norma ISO/IEC 27001:2022

www.cietsiperu.com
CAMBIOS EN LA NUEVA ISO/IEC 27001:2022
❑ El 25 de octubre de 2022 fue publicada por ISO (International Organization for
Standardization) la actualización de la ISO 27001:2022, norma diseñada para uso
por parte de las organizaciones, que contiene los requisitos necesarios para la
implementación de un Sistema de Gestión de Seguridad de la información.
❑ Esta publicación del 2022 es la tercera versión de la norma ISO 27001, que tuvo
su primera versión en 2005 y la segunda en 2013, con lo cual se establece un ciclo
de actualización de versiones cada 8/9 años.
❑ A fines de Dic. 2022, se aprobó la publicación de la NTP-ISO/IEC 27001:2022
Seguridad de la información, ciberseguridad y protección de la privacidad.
Sistemas de gestión de la seguridad de la información. Requisitos. 3ª Edición.
Reemplaza a la NTP-ISO/IEC 27001:2014.

www.cietsiperu.com
EVOLUCIÓN HISTÓRICA MUNDIAL DE LA NORMA ISO 27001
ISO 27002
2022
ISO 27001:
2022
ISO 27002

www.cietsiperu.com
Principales Cambios:
❑ 1. El cambio de nombre de la norma 27001
❑ 2. Actualizaciones en los requisitos de la norma 27001

www.cietsiperu.com
Cambio de Nombre
ISO/IEC 27001:2013
Information Technology - Security techniques -
Information security management systems -
Requirements
ISO/IEC 27001:2022
Information security, cybersecurity and privacy protection -
Information security management systems -
Requirements
1. Cambio en el nombre de la norma:

www.cietsiperu.com
ESTRUCTURA DE LA NORMA ISO 27001:2022
2. Actualización en los requisitos de la norma:
❑ Cláusula 4. CONTEXTO:
4.1. Comprender la Org. y su context. No se presentan mayores cambios
4.2. Partes Interesadas. Es preciso identificar los requisitos que abordará el SGSI (se agrega item c.)
4.3. Alcance del SGSI. No se presentan mayores cambios. Sólo se suprime la “y” (al final del texto Apart.4b)
4.4. Determinar el SGSI. Se cambia la palabra “estándar internacional” por “este documento”
❑ Cláusula 5. LIDERAZGO:
5.1. Liderazgo. No se presentan mayores cambios
5.2. Política. Obligatoriedad de redactar y comunicar una Política de SI continua igual
5.3. Se cambia la palabra “estándar internacional” por “este documento”

www.cietsiperu.com
2. Actualización en las cláusulas de los requisitos de la norma:
❑ Cláusula 6. PLANIFICACIÓN:
6.1. 6.1.1. Generalidades: No se presentan mayores cambios. Sólo se suprime la “y” (apart. b)
6.1.2. Evaluación de Riesgos: No se presentan mayores cambios
6.1.3. Tratamiento de Riesgos: - Se cambia la palabra “objetivos de control” por “controles”
- Se cambia la palabra “estándar internacional” por “este documento”
6.2. Los objetivos de seguridad deben ser monitoreados y documentados (se agregan ítem k. y l. no exist.)
6.3. Planificación de cambios. (Nuevo). Se establece necesidad de planificar los cambios en el SGSI en
cualquier punto y en cualquier momento
❑ Cláusula 7. SOPORTE:
7.1. Recursos. No se presentan mayores cambios.
7.2. Competencias. No se presentan mayores cambios.
7.3. Conocimiento. No se presentan mayores cambios.
7.4. Comunicación. Se cambia la palabra “Quién se comunicará” por “Cómo comunicar”.
7.5. Documentación. No se presentan mayores cambios. En 7.5.1., 7.5.2. y 7.5.3. Se cambia la palabra
“estándar internacional” por “este documento”

www.cietsiperu.com
2. Actualización en las cláusulas de los requisitos de la norma:
❑ Cláusula 8. OPERACIÓN:
8.1. - Se solicita “que la información documentada esté siempre disponible” (antes era mantenerla solamente)
- A la solicitud de “determinar y controlar procesos sub contratados”, se adiciona ahora que además que
estos procesos o servicios sean relevantes para la Gestión de la Seguridad de Información.
8.2. Evaluación de Riesgos. No se presentan cambios.
8.3. Tratamiento de Riesgos. No se presentan cambios.
❑ Cláusula 9. EVALUACIÓN DEL DESEMPEÑO:
9.1. Seguim, Medic, Anális y Evaluac. - Actualizac. sobre los métodos que se usarán para medir y evaluar el desemp.
- Se recalca importancia de conservar la documentación y su disponibilidad.
9.2. Auditoría Interna. Se divide ahora en 9.2.1 (Generalidades) y 9.2.2 (necesidad de crear el Programa de Audit.Int.)
9.3. Revisión de la Gestión. Se divide ahora en 9.3.1 (Generalidades), 9.3.2 (Revisión de la Alta Dir.) y 9.3.3. (Resultad
de la revisión de la Alta Dir.)
❑ Cláusula 10. MEJORA:
10.1. Mejora continua. No se presentan cambios. Sólo pasa del 2 al 1.
10.2. No Conform. y Acc.Correct. No se presentan cambios. Sólo pasa del 1 al 2.

ISO/IEC 27001:2022 e ISO/IEC 27002:2022
www.cietsiperu.com
II. Principales cambios en la actualización
de la norma ISO/IEC 27002:2022

www.cietsiperu.com
❑ El 16 de febrero de 2022 fue publicada por ISO (International Organization for
Standardization) la actualización de la ISO 27002:2022, norma diseñada para uso
por parte de las organizaciones, como referencia para la selección de controles
dentro del proceso de implementación de un Sistema de Gestión de Seguridad
de la información (SGSI) con base en la norma certificable ISO/IEC 27001.
❑ Esta publicación del 2022 es la tercera versión de la norma ISO 27002, que tuvo
su primera versión en 2005 y la segunda en 2013, con lo cual se establece un
ciclo de actualización de versiones cada 8/9 años.
❑ A fines de Dic 2022, se aprobó la publicación de la NTP-ISO/IEC 27002:2022
Seguridad de la información, ciberseguridad y protección de la privacidad.
Controles de seguridad de la información. 3ª Edición. Reemplaza a la NTP-
ISO/IEC 27002:2017.

www.cietsiperu.com
Principales Cambios:
❑ 1. El cambio de nombre de la norma
❑ 2. Nueva estructura de “secciones” de seguridad de información
❑ 3. Nueva estructura de “atributos” de los controles
❑ 4. Cambios en los controles de la ISO 27002:2013

www.cietsiperu.com
1. Cambio en el nombre de la norma:
ISO/IEC 27002:2022
Controles de Seguridad de Información

www.cietsiperu.com
2. Nueva estructura de SECCIONES de seguridad de información:

www.cietsiperu.com

www.cietsiperu.com
• Controles Organizativos: 37 controles
• Controles de Personas: 8 controles
• Controles Físicos: 14 controles
• Controles Tecnológicos: 34 controles
-----------------
Total: 93 controles
De los 93 controles actuales:
❑ 35 sin cambios
❑ 23 se han actualizado (renombrado)
❑ 11 son nuevos
❑ 58 se han reagrupado en 24

www.cietsiperu.com
Nuevos Controles (11)
❑ 5.7 Inteligencia de Amenazas
❑ 5.23 Seguridad de la información para el uso de servicios en la nube
❑ 5.30 Preparación de las TIC para la continuidad del negocio
❑ 7.4 Monitoreo de la seguridad física
❑ 8.9 Gestión de la configuración
❑ 8.10 Eliminación de la información
❑ 8.11 Enmascaramiento de datos
❑ 8.12 Prevención de la fuga de datos
❑ 8.16 Monitoreo de actividades
❑ 8.22 Filtrado Web
❑ 8.28 Codificación Segura

www.cietsiperu.com
Controles que se fusionan con otros controles desde la ISO 27002:2013
❑ 5.1.1 (Políticas para la seguridad de la información) y 5.1.2 (Revisión de las políticas para la seguridad de la
información) se fusionan en el control 5.1 políticas de seguridad de la información.
❑ 6.2.1 (Política de dispositivos móviles) y 11.2.8 (Equipo de usuario desatendido) se fusionan en el control 8.1
Dispositivos de punto final del usuario.
❑ 8.1.1 (Inventario de activos) y 8.1.2 (Propiedad de los activos) se fusionan en el control 5.9 Inventario de información
y otros activos asociados.
❑ 8.1.3 (Uso aceptable de los activos) y 8.2.3 (Manipulado de la información) se fusionan en el control 5.10 Uso
aceptable de la información y activos asociados.
❑ 8.3.1 (Gestión de soportes extraíbles), 8.3.2 (Eliminación de soportes) y 8.3.3 (Soportes físicos en tránsito) se
fusionan en el control 7.10 Medios de Almacenamiento.

www.cietsiperu.com
❑ 9.1.1 (Política de control de acceso) y 9.1.2 (Acceso a las redes y a los servicios de red) se fusionan en el control 5.15
Control de Accesos.
❑ 9.2.4 (Gestión de la información secreta de autenticación de los usuarios), 9.3.1 (Uso de la información secreta de
autenticación) y 9.4.3 (Restricción del acceso a la información) se fusionan en el control 5.17 Autenticación de
información.
❑ 9.2.2 (Provisión de acceso de usuario) y 9.2.5 (Revisión de los derechos de acceso de usuario), 9.2.6 (Retirada o
reasignación de los derechos de acceso) se fusionan en el control 5.18 Derechos de Acceso.
❑ 10.1.1 (Política de uso de los controles criptográficos) y 10.1.2 (Gestión de claves) se fusionan en el control 8.24 Uso
de Criptografía.
❑ 11.1.2 (Controles físicos de entrada) y 11.1.6 (Áreas de carga y descarga) se fusionan en el control 7.2 Controles de
entrada física.

www.cietsiperu.com
❑ 12.1.4 (Separación de los recursos de desarrollo, prueba y operación) y 14.2.6 (Entorno de desarrollo seguro) se
fusionan en el control 8.31 Separación de ambientes de desarrollo, prueba y producción.
❑ 12.4.1 (Registro de eventos), 12.4.2 (Protección de la información del registro) y 12.4.3 (Registros de administración
y operación) se fusionan en el control 8.15 Inicio de Sesión.
❑ 12.5.1 (Instalación del software en explotación) y 12.6.2 (Restricción en la instalación de software) se fusionan en el
control 8.19 Instalación de software en sistemas operativos.
❑ 12.6.1 (Gestión de las vulnerabilidades técnicas) y 18.2.3 (Comprobación del cumplimiento técnico) se fusionan en el
control 8.8 Gestión de vulnerabilidades técnicas.
❑ 12.1.2 (Gestión de cambios) , 14.2.2 (Procedimiento de control de cambios en sistemas), 14.2.3 (Revisión técnica de
las aplicaciones tras efectuar cambios en el sistema operativo) y 14.2.4 (Restricciones a los cambios en los paquetes
de software) se fusionan en el control 8.32 Gestión del Cambio.

www.cietsiperu.com
❑ 13.2.1 (Políticas y procedimientos de intercambio de información), 13.2.2 (Acuerdos de intercambio de información),
13.2.3 (Mensajería electrónica) se fusionan en el control 5.14 Transferencia de información.
❑ 14.1.2 (Asegurar los servicios de aplicaciones en redes públicas) y 14.1.3 (Protección de las transacciones de servicios
de aplicaciones) se fusionan en el control 8.26 Requerimientos de seguridad en aplicaciones.
❑ 14.2.8 (Pruebas funcionales de seguridad de sistemas) y 14.2.9 (Pruebas de aceptación de sistemas) se fusionan en
el control 8.29 Pruebas de seguridad en el desarrollo y aceptación.
❑ 15.2.1 (Control y revisión de la provisión de servicios del proveedor) y 15.2.2 (Gestión de cambios en la provisión del
servicio del proveedor) se fusionan en el control 5.22 Monitoreo, revisión y gestión del cambio con proveedores de
servicios.
❑ 16.1.2 (Notificación de los eventos de seguridad de la información) y 16.1.3 (Notificación de puntos débiles de la
seguridad) se fusionan en el control 6.8 Reporte de eventos de seguridad de la información.

www.cietsiperu.com
❑ 17.1.1 (Planificación de la continuidad de la seguridad de la información), 17.1.2 (Implementar la continuidad de la
seguridad de la información) y 17.1.3 (Verificación, revisión y evaluación de la continuidad de la seguridad de la
información) se fusionan en el control 5.29 Disrupción durante la seguridad de la información.
❑ 18.1.1 (Identificación de la legislación aplicable y de los requisitos contractuales) y 18.1.5 (Regulación de los
controles criptográficos) se fusionan en el control 5.31 Identificación de requerimientos legales, estatutarios,
regulatorios y contractuales.
❑ 18.2.2 (Cumplimiento de las políticas y normas de seguridad) y 18.2.3 (Comprobación del cumplimiento técnico) se
fusionan en el control 5.36 Cumplimiento con políticas y estándares para la seguridad de la información.

www.cietsiperu.com
Controles que se eliminan desde la ISO 27002:2013
Solo un control fue eliminado desde la versión 2013, el cual corresponde al:
❑ 11.2.5 Retirada de materiales de propiedad de la empresa.

www.cietsiperu.com
3. Nueva estructura de ATRIBUTOS de los Controles:

www.cietsiperu.com
Ejemplo de asignación de
atributos de los Controles:
Control
El acceso a sitios web externos debe ser gestionado para reducir la exposición a contenidos maliciosos.
Propósito
Proteger los sistemas de ser comprometidos por malware y evitar el acceso a recursos web no autorizados.
Guía
La organización debería reducir los riesgos de que su personal acceda a sitios web que contengan información ilegal o que se sabe
que contienen virus o material de phishing. Una técnica para lograr esto funciona bloqueando la dirección IP o el dominio del sitio
web en cuestión. Algunos navegadores y tecnologías antimalware lo hacen automáticamente o pueden configurarse para que lo
hagan…

ISO/IEC 27001:2022 e ISO/IEC 27002:2022
www.cietsiperu.com
IV. Mapeo de controles de la v.2013 a la v.2022

www.cietsiperu.com
MAPEO DE CONTROLES
v.2013 a v.2022

www.cietsiperu.com
MAPEO DE CONTROLES
ISO/IEC 27002:2022

ISO/IEC 27001:2022 e ISO/IEC 27002:2022
www.cietsiperu.com
V. Transición a la certificación
lSO/IEC 27001:2022

www.cietsiperu.com
Cómo afecta a las organizaciones que ya tienen certificación ISO/IEC 27001:2013?
❑ La norma ISO 27001:2022 "Seguridad de la información, ciberseguridad y protección de la privacidad -
Sistemas de gestión de la seguridad de la información - Requisitos" se publicó en octubre de 2022 y está
previsto que sustituya a la norma ISO 27001:2013 mediante un periodo de transición de tres años.
❑ Todas las organizaciones que deseen seguir certificadas según la norma ISO 27001 tendrán que realizar la
transición a la revisión de 2022 de la norma dentro del periodo de transición establecido, que finaliza en
octubre de 2025.
❑ Durante ese período, ambas versiones de la norma ISO 27001 siguen siendo válidas y las auditorías para
cualquiera de las dos versiones de la norma pueden llevarse a cabo sujeto a las reglas que se indican a
continuación:
GUÍA DE TRANSICIÓN A LA ISO/IEC 27001:2022

www.cietsiperu.com
Cómo afecta a las organizaciones que ya tienen certificación ISO/IEC 27001:2013?
Periodo de transición
❑ 25 de octubre de 2022: Fecha de publicación de la ISO/IEC 27001:2022 3ª edición
❑ 31 de octubre de 2022: Comienzo del periodo de transición
❑ 01 de mayo de 2024: A partir de esta fecha, todas las certificaciones iniciales deberán realizarse acorde
a la ISO 27001:2022. También se recomienda que todas las auditorías de recertificación -a partir de esta
fecha- se realicen acorde a la ISO 27001:2022.
❑ 31 de julio de 2025: Todas las auditorías de transición deben realizarse antes de esta fecha.
❑ 31 de octubre de 2025: Finaliza el periodo de transición. Los certificados para la norma ISO/IEC
27001:2013 dejarán de ser válidos.
GUÍA DE TRANSICIÓN A LA ISO/IEC 27001:2022

www.cietsiperu.com

ppt_Webinar_ISO_27001_2022_CIETSI.pdf

Recomendados

Recomendados

Más contenido relacionado

Similar a ppt_Webinar_ISO_27001_2022_CIETSI.pdf

Similar a ppt_Webinar_ISO_27001_2022_CIETSI.pdf (20)

Último

Último (10)

ppt_Webinar_ISO_27001_2022_CIETSI.pdf