Versión actual: NEN-EN-ISO / IEC 27002: 2017 nl (no difiere en contenido de la versión 2013).
Publicación prevista: 1er trimestre de 2022
Impacto: volver a comprobar las medidas de seguridad – ajustar la documentación – posiblemente introducir nuevas medidas
Implementación desde la publicación del cambio: Después del ajuste ISO 27001: nueva certificación – inmediatamente; certificación existente dentro de los 3 años
Recomendación: Después del ajuste de la norma ISO 27001: implementación durante la recertificación (para evitar tiempo de auditoría adicional durante la auditoría) – ya esté preparado internamente para este cambio
¿Qué cubre la norma ISO 27002?
Este estándar proporciona pautas para la implementación de medidas de seguridad de la información dentro de una organización. Las medidas se incluyen en ISO 27001 en el Anexo A. Cuando una empresa ha certificado su sistema de gestión de seguridad de la información de acuerdo con ISO 27001, la empresa debe verificar, sobre la base de un análisis de riesgo y la lista de medidas establecidas en el Anexo A de ISO 27001, cuyas medidas (114 en total) se aplican. Se espera que la empresa implemente medidas mínimas o equivalentes como se establece en este Anexo A. Esto se registra en un documento disponible públicamente (solicitable), la llamada “declaración de aplicabilidad” (ISO 27001 6.1.3 párrafo d).
Los cambios
A continuación se muestra una breve descripción general de los cambios.
Se ha modificado el diseño de las distintas medidas de seguridad, de modo que el documento se estructura de forma diferente. Las medidas ahora se dividen en 4 categorías (originalmente 14 categorías):
- Capítulo 5 Organización – 37 medidas
- Capítulo 6 Personas – 8 medidas
- Capítulo 7 Físico – 14 medidas
- Capítulo 8 Tecnológico (Técnico) – 34 medidas
La nueva clasificación conduce a una clasificación más eficiente de las medidas, por ejemplo porque las medidas que se mencionaron por primera vez en diferentes lugares pero que básicamente significan lo mismo ahora se agrupan en una categoría. De esta manera, se han fusionado las medidas del antiguo estándar o se han eliminado las medidas. Ahora hay 93 medidas en este nuevo estándar en lugar de 114. 11 nuevas medidas, 3 medidas existentes eliminadas y varias, como se indicó anteriormente, consolidadas en medidas existentes.
Las nuevas medidas de seguridad están más en línea con la transformación digital actual y el aumento de las ciberamenazas. Por tanto, las nuevas medidas se relacionan con el análisis de amenazas, la seguridad de la información de los servicios en la nube y la programación segura.
A cada medida se le ha dado ahora una etiqueta # en 5 áreas.
Donde corresponda
Se espera que ISO 27002 se publique en el primer trimestre de 2022. La certificación no es contra el estándar ISO 27002, sino contra el estándar ISO 27001. Es por eso que esta norma debe enmendarse primero antes de que la nueva ISO 27002 sea aplicable. El cambio más importante para ISO 27001 será entonces que el Anexo A se incluirá de acuerdo con la nueva clasificación de medidas. Aún no está claro cuándo se actualizará la norma ISO 27001 (probablemente 2022/2023).
Qué hacer
Nuestro consejo es comenzar con los cambios anunciados. Por ejemplo, incluir los cambios anunciados en la planificación, discutir el impacto en la organización y realizar auditorías internas con las nuevas medidas propuestas como tema. ¡Por supuesto, puede acercarse a WE-Management para que lo ayude con esto!
A continuación se muestra una descripción general de las nuevas medidas:
| ISO 27002: 2022 | Descripción |
| 5.7 | Inteligencia de amenazas (inteligencia de amenazas) |
| 5.23 | Seguridad de la información para el uso de servicios en la nube |
| 5.30 | Preparación de TI para la continuidad del negocio |
| 7.4 | Monitoreo de vigilancia física |
| 8.9 | Gestión de la configuración |
| 8.10 | Eliminación de información |
| 8.11 | Enmascaramiento de datos |
| 8.12 | Prevención de violación de datos |
| 8.16 | servicios de monitoreo |
| 8.22 | filtrado web |
| 8.28 | Cifrado seguro |
La siguiente tabla muestra las medidas que se han combinado del antiguo estándar en 1 medida:
| ISO 27002: 2022 | ISO 27002: 2017 |
| 5.1 Políticas de información |
5.1.1 Políticas de seguridad de la información |
| 5.9 Inventario de información y otros activos asociados |
8.1.1 Inventario de activos de la empresa |
| 5.14 Transferencia de información |
13.2.1 Políticas y procedimientos de transferencia de información |
| 5.15 Control de acceso |
9.1.1 Política de seguridad de acceso |
| 5.16 Gestión de identidad |
9.2.1 Registro y baja de usuarios |
| 5.17 Información de autenticación |
9.2.4 Gestión de la información secreta de autenticación de los usuarios |
| 5.18 Derechos de acceso |
9.2.2 Otorgar acceso a los usuarios |
| 5.22 Seguimiento, revisión y gestión de cambios de los servicios de los proveedores |
15.2.1 Seguimiento y evaluación de los servicios de los proveedores |
| 5.29 Seguridad de la información durante la interrupción |
17.1.1 Planificación de la continuidad de la seguridad de la información |
| 7.10 Medios de almacenamiento |
8.3.1 Gestión de medios extraíbles |
| 8.1 Dispositivos de punto final de usuario |
6.2.1 Política de dispositivos móviles |
| 8.8 Gestión de vulnerabilidades técnicas |
12.6.1 Gestión de vulnerabilidades técnicas |
| 8.15 Registro |
12.4.1 Registrar eventos |
| 8.24 Uso de criptografía |
10.1.1 Política sobre el uso de controles criptográficos |
| 8.25 Ciclo de vida de desarrollo seguro |
14.1.1 Análisis y especificación de los requisitos de seguridad de la información. |
| 8.26 Requisitos de seguridad de la aplicación |
14.1.2 Protección de los servicios de aplicaciones en redes públicas |
| 8.29 Pruebas de seguridad en desarrollo y aceptación |
14.2.8 Prueba de seguridad del sistema |
| 8.31 Separación de los entornos de desarrollo, prueba y producción |
12.1.4 Separación de los entornos de desarrollo, prueba y producción |
| 8.32 Gestión de cambios |
12.1.2 Gestión de cambios |
Se han eliminado las siguientes medidas de ISO 27002: 2017:
8.2.3 Manejo de los activos de la empresa
11.2.5 Enajenación de activos de la empresa
16.1.3 Notificación de vulnerabilidades de seguridad de la información
A cada medida del nuevo estándar se le ha asignado un #, dividido en 5 categorías:
| Cómo categorizar | #preventivo, #detective, #corrective |
| Propiedades de seguridad de la información | #confidencialidad, #integridad, #disponibilidad |
| Conceptos de seguridad cibernética | # identificar, # proteger, # detectar, # responder, # recuperar |
| Capacidades operativas | #Gobernanza, #Gestión_de_activos, #Protección_de_información, #Seguridad_de_rescursos_humanos, #Seguridad_física, #Seguridad_sistema_y_red, #Seguridad_de_aplicaciones, #Configuración_segura, #Identidad_y_acceso_gestión, # Gestión_de_ amenazas, seguridad_de_gestión |
| Dominios de seguridad | #gobernanza_y_ecosistema, # protección, # defensa, # resiliencia |
Índice nuevo estándar:
Prefacio
0 Introducción
1 Alcance
2 Referencia normativa
3 Términos, definiciones y términos abreviados
4 Estructura de este documento
4.1 Cláusulas
4.2 Temas y atributos
4.3 Diseño de control
5 Controles organizacionales
5.1 Políticas de seguridad de la información
5.2 Roles y responsabilidades de seguridad de la información
5.3 Segregación de funciones
5.4 Responsabilidades de gestión
5.5 Contacto con autoridades
5.6 Contacto con grupos de intereses especiales
5.7 Inteligencia de amenazas
5.8 Seguridad de la información en la gestión de proyectos
5.9 Inventario de información y otros activos asociados
5.10 Uso aceptable de información y otros activos asociados
5.11 Devolución de activos
5.12 Clasificación de la información
5.13 Etiquetado de información
5.14 Transferencia de información
5.15 Control de acceso
5.16 Gestión de identidad
5.17 Información de autenticación
5.18 Derechos de acceso
5.19 Seguridad de la información en las relaciones con los proveedores
5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores
5.21 Gestión de la seguridad de la información en la cadena de suministro de TI
5.22 Seguimiento, revisión y gestión de cambios de los servicios de los proveedores
5.23 Seguridad de la información para el uso de servicios en la nube
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información
5.25 Evaluación y decisión sobre eventos de seguridad de la información
5.26 Respuesta a incidentes de seguridad de la información
5.27 Aprendiendo de los incidentes de seguridad de la información
5.28 Recopilación de pruebas
5.29 Información sobre seguridad durante la interrupción
5.30 Preparación de las TIC para la continuidad del negocio
5.31 Identificación de requisitos legales, estatutarios, reglamentarios y contractuales
5.32 Derechos de propiedad intelectual
5.33 Protección de registros
5.34 Privacidad y protección de PII
5.35 Revisión independiente de la seguridad de la información
5.36 Cumplimiento de políticas y estándares de seguridad de la información
5.37 Procedimientos operativos documentados
Controles para 6 personas
6.1 Cribado
6.2 Términos y condiciones de empleo
6.3 Sensibilización, educación y formación en seguridad de la información
6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo
6.6 Acuerdos de confidencialidad o no divulgación
6.7 Trabajo remoto
6.8 Notificación de eventos de seguridad de la información
7 Controles físicos
7.1 Perímetro de seguridad física
7.2 Controles de entrada física
7.3 Asegurar oficinas, salas e instalaciones
7.4 Supervisión de la seguridad física
7.5 Protección contra amenazas físicas y ambientales
7.6 Trabajar en áreas seguras
7.7 Escritorio despejado y pantalla despejada
7.8 Equipo sentado y protección
7.9 Seguridad de los activos fuera de las instalaciones
7.10 Medios de almacenamiento
7.11 Utilidades de apoyo
7.12 Seguridad del cableado
7.13 Mantenimiento de equipos
7.14 Eliminación o reutilización segura de equipos
8 Controles tecnológicos
8.1 Dispositivos de punto final de usuario
8.2 Derechos de acceso privilegiado
8.3 Restricción de acceso a la información
8.4 Acceso al código fuente
8.5 Autenticación segura
8.6 Gestión de capacidad
8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de la configuración
8.10 Eliminación de información
8.11 Enmascaramiento de datos
8.12 Prevención de fuga de datos
8.13 Copia de seguridad de la información
8.14 Redundancia de instalaciones de procesamiento de información
8.15 Registro
8.16 Actividades de seguimiento
8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados
8.19 Instalación de software en sistemas operativos
8.20 Controles de red
8.21 Seguridad o servicios de red
8.22 filtrado web
8.23 Segregación en redes
8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación
8.27 Principios de ingeniería y arquitectura de sistemas seguros
8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación
8.30 Desarrollo subcontratado
8.31 Separación de los entornos de desarrollo, prueba y producción
8.32 Gestión de cambios
8.33 Información de prueba
8.34 Protección de los sistemas de información durante la auditoría y las pruebas.
Anexo A Uso de atributos
A.1 Introducción
A.2 Vistas organizativas
Anexo B Correspondencia con ISO / IEC 27002: 2013
¡Contáctenos!
 |
Terneuzen, Zelanda, NL |
 |
+31(0)681924245 |
 |
tpm.wollrabe@we-management.com |
