En octubre de 2022 fue publicó la actualización de la norma ISO 27001, correspondiente a la certificación de los Sistemas de Gestión de Seguridad de la Información, por tal motivo fue publicado el 15 de febrero de 2023 el documento mandatorio IAF MD26, emitido por el Foro Internacional de Acreditación (IAF), en el cual se describen los plazos obligatorios para el cumplimiento del proceso de actualización.

Como puntos clave del documento, se tiene lo siguiente:

• Las certificaciones iniciales y recertificaciones de conformidad con la norma ISO/IEC 27001:2022, deberán iniciar antes del 30 de abril de 2024.
• Las transiciones/actualizaciones de los clientes certificados por OSG, deberán completarse antes del 31 de octubre de 2025.
• La auditoría de transición no se basará únicamente en la revisión de documentos, especialmente para la revisión de los controles de seguridad de la información tecnológica.
• La auditoría de transición y el informe correspondiente incluirá lo siguiente
  • La actualización de la declaración de aplicabilidad (SoA).
  • Actualización del plan de tratamiento de riesgos.
  • Implementación y efectividad de los controles de seguridad de acuerdo a la norma ISO 27002 versión 2022.

Cabe recordar que dentro de los principales cambios se encuentra una modificación total al Anexo A de la norma ISO 27001, el cual contiene los controles de seguridad de la información aplicable al sistema y a la declaratoria de aplicabilidad.

De lo anterior se realizó una reducción de los 114 controles a un total de 93, los cuales han sido clasificados en las siguientes categorías: Organizacionales, de Personas, Físicos y Tecnológicos; además de la asignación de atributos definida por una identificación en el tipo de control, propiedades aplicables a la seguridad de la información, concepto de ciberseguridad, capacidades operativas y dominios de seguridad.

Como podemos observar, existen cambios significativos, sin embargo este proceso implica un compromiso profundo de las organizaciones en materia de proteger la confidencialidad, disponibilidad e integridad de la información que es manejada por las organizaciones.

En OSG contamos con los servicios de certificación inicial y actualización de la norma ISO/IEC 27001: 2022, para atender las necesidades de tu organización, acércate con nosotros para mayor información.