2013 tendrá nueva norma ISO/IEC 27001

Recientemente se ha publicado el draft de lo que será previsiblemente a finales de año (2013) la nueva norma ISO/IEC 27001.

Aunque no se prevén grandes cambios para este sistema de gestión, si hay algunos matices que pasamos a comentar:

Alineación con el estándar Anexo SL (anterior ISO Guía 83), lo que permitirá que todos los sistemas de gestión tengan la misma estructura, y evitará los problemas de integración existentes en la actualidad. La nueva estructura será la siguiente:

En el apartado sobre la obtención del conocimiento del contexto de la organización se hace referencia al estándar ISO 31000, lo que confirma que dicha norma será referente también en el ámbito de la seguridad de la información
Se incorpora mayor importancia al concepto de partes interesadas, existiendo la obligación de identificar a todas las partes relevantes, y los requisitos respecto a la seguridad de la información.
El proceso de evaluación de riesgos se ha modificado ligeramente, eliminado la restricción de emplear métodos basados en amenazas, vulnerabilidades, probabilidades e impactos, y centrándose más en el objetivos de identificar riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información. Asimismo, se incorpora el concepto de propietario del riesgo (versus propietario del activo), quien deberá aprobar tanto el plan de tratamiento de riesgos como el riesgo residual obtenido.
Aclaración de cómo se deben establecer los objetivos de seguridad y cómo alcanzarlos.
Los conceptos documentación y registros se han simplificado en el concepto “Información documentada”.
Respecto a los controles del Anexo A. existen a priori múltiples cambios y se ha realizado una re-organización completa. La información completa del Anexo A. se puede comprobar en: http://drafts.bsigroup.com/Home/Section/3007206

Áudea Seguridad de la Información

Departamento de Compliance