ISO 27002 Del 2022 Conoce Los Cambios de La Nueva Norma

23/12/22, 18:12 ISO 27002 del 2022 Conoce los cambios de la Nueva Norma • Diplomados en Ciberseguridad
 
TABLA DE
CONTENIDO
1- ISO 27002 : 2021
NORMA ISO
2- ISO/IEC DIS 27002
Draft Internacional Standar
13 3- Relevancia de la norma
Jul
ISO 27002
4- Principales Cambios
5- Conclusiones y
Referencias
ISO 27002 del 2022 Conoce los Principales Cambios de la

Nueva Norma
Actualización a la norma ISO 27002
La presente información está pensada para facilitar el acceso en español de los nuevos
cambios de la norma ISO 27002 del 2022 , donde se evidencian las principales
modificaciones y contrastes con las anteriores versiones de la norma. Podrán encontrarse
en detalle y graficado, para un recorrido visual mucho más agradable, todo lo necesario
para comprender los importantes cambios producto del avance en prácticas y tecnologías
asociadas a la gestión de sistemas de calidad, práctica de negocios, entre otros.
1- ISO 27002 : 2021

El propósito de este artículo es mostrar las principales características de la nueva norma
ISO27.002, las que han sido analizadas desde el Draft International Standard (DIS)
publicado en noviembre 2020. El árticulo está estructurado pa simplificar la revisón del
https://diplomadociberseguridad.com/2022/07/13/iso-27002-del-2022-conoce-los-cambios-de-la-nueva-norma/ 1/16
lector de los pronciales cambios establecidos, considerando algunos elementos propios de

 contextos para facilitar su comprensión. 
ISO/IEC 27002
Identificador de TABLA
5.1 DE 5.2 5.3
control CONTENIDO
1- ISO 27002 : 2021 Information security
Policies for
Nombre de control roles and Segregation of duties
information security
2- ISO/IEC DIS 27002 responsabilities
Tipo de control #Preventivo #Preventivo #Preventivo
Propiedades de #Confidencialidad
3- Relevancia de la norma #Confidencialidad #Confidencialidad
seguridad de la ISO #Integridad
27002 #Integridad #Integridad
información #Disponibilidad #Disponibilidad #Disponibilidad
Conceptos de 4- Principales Cambios

#Identificar #Identificar #Identificar
ciberseguridad
5- Conclusiones y
Capacidades
Referencias
#Gobernanza #Gobernanza #Gobernanza
operacionales
#Gobernanza y #Gobernanza y #Gobernanza y

Dominios de seguridad ecosistema ecosistema ecosistema
#Resiliencia #Resiliencia #Resiliencia

2- ISO/IEC DIS 27002 Draft International Standar
El propósito de este artículo es mostrar las principales características de la nueva norma
ISO27.002, las que han sido analizadas desde el Draft International Standard (DIS)
publicado en noviembre 2020. El árticulo está estructurado pa simplificar la revisón del
lector de los pronciales cambios establecidos, considerando algunos elementos propios de
contextos para facilitar su comprensión.
CICLOS DE VIDA
Una norma se revisa cada cinco años
00 10 20 30 40 Consulta 50 60 90 95
Ocho Veinte
Semanas Semanas
40.00 DIS Registrado
40.20 DIS Votación: 12 semanas
40.60 Cierra la votación
40.00 es la etapa actual del estándar, tiene una duración de 12 semanas, su comienzo se
 encuentra establecido el 28 de enero de 2021 y su finalización presupuestada para el 22 
de abril 2021. Si el borrador es aprobado, este será el borrador final (FDIS) debiendo pasar
a la etapa de consulta (50), con duración de 8 semanas. Al aprobarse pasa a la etapa de
TABLA DE
revisión (60), la cualCONTENIDO
dura 20 semanas, siendo el estándar final.
1- ISO 27002 : 2021

3- Relevancia deDraft
la norma ISOStandar
Internacional 27002
En el contexto de los3-estándares y la
Relevancia de buenas
norma prácticas de seguridad de la información y
ciberseguridad, las normas establecidas en la serie ISO 27.000 son las de mayor
ISO 27002
importancia dentro de la materia. Su relevancia recae en que estas son extensibles a
diversos contextos dentro de la seguridad de la información, desde el modelo establecido
en ISO 27.001 a los controles establecidos
5- Conclusiones y en ISO 27.002.
Referencias
ISO 27.001 ISO 27.002
Define los requisitos del sistema de gestión de Establece los lineamientos de implementación de los
seguridad de la información controles de seguridad
Ejemplos más representativos
La norma ISO 27.017, se puede emplear en la aplicación de controles de seguridad para

servicios en la nube.
La norma ISO 27.032, se puede utilizar para controles específicos de ciberseguridad.
La norma ISO 27.035, se puede ocupar para la implementación del proceso de gestión de
incidentes.
La norma ISO 27.701, se puede usar e implementación de sistemas de gestión de
privacidad de información.
Prácticamente todo modelo o estándar de referencia posee, se basa y/o posee

alineamiento con los controles de ISO 27.002. Por ejemplo el Frameworkde
Ciberseguridad del NIST:
NIST
Framework de ciberseguridad
se basa principalmente
ISO 27.001 ISO 27.002 COBIT 2019 M. Controles CIS

 

TABLA DE
CONTENIDO
Cambios Incorporaciones
1- ISO 27002 : 2021
Nombre de la norma Nuevo términos y definiciones
Estructura de temas de seguidad
Draft la información
Internacional Standar
Estructura de atributos de los controles
3- Relevancia de la norma
Controles desde la versión ISO 27.002 : 2013
ISO 27002

4.1- Cambio de nombre
5- Conclusiones y
La primera gran novedad con la norma es que se encuentra establecida en un Comité
Referencias
específico para la materia, ISO/IEC JTC 1/SC 27 denominado “Seguridad de la Información,
Ciberseguridad y Protección de la Privacidad”, que estará en el prefijo en desmedro del
que actualmente posee, en el contexto de las Tecnologías de Información, específicamente
en técnicas de seguridad. Producto de lo anterior el prefijo establecido en la norma
cambiará. El nombre de la norma cambia, pasando de “Código de práctica para controles de
seguridad de la información” a “Controles de Seguridad de la Información”.
CISO/IEC 27002:2013
Information technology – Security techniques – Code of practice for information security Controls
ISO/IEC DIS 27002

Information security – cybersecurity and privacy protection – Information security controls
4.2- Incorporación de nuevos términos y definiciones
Al igual que otras normas ISO, en la sección número 3 se establecen los términos y
definiciones, los cuales como en toda serie de normas ISO de seguridad de la información,
ciberseguridad protección de la privacidad, se basan a la misma ISO 27.000 (visión de
conjunto y vocabulario), la cual establece el vocabulario para todas sus definiciones
complementando aquellas no especificadas en la norma. En total define 37 términos, entre
los cuales se incluyen algunos generales y ya definidos en ISO 27.000 tales como:
Sistema de Parte interesada Registro No repudio

información
 Procedimiento Fiabilidad Amenaza Vulnerabilidad 
Política TABLA DE
Proceso
CONTENIDO
ISO 31.000 1- ISO 27002 : 2021

Control de Ataque
Autenticación Control
acceso
ISO 27002
Autenticidad
ISO 27.035
5- Conclusiones y
Referencias
Instalación de procesamiento de Evento de seguridad de la información
información
Gestión de incidentes de seguridad de la Incidente de seguridad de la información

información
Entidad
Incorpora 16 términos, establece un alcance más amplio en ciberseguridad, gestión de

evidencia electrónica, gestión de PII y privacidad, gestión de incidentes y gestión de la
continuidad del negocio. Los nuevos términos:
Información Política Usuario Regla

sensitiva Específica
ISO 29.100
Brecha de seguridad de la información Información de identificación personal
Endpoint Personal Procesador de PII PII principal
ISO 27.031
 Punto objetivo de recuperación (RPO) Tiempo objetivo de recuperación 
ISO 22.301
TABLA DE
CONTENIDO
Información Disrupción
confidencial 1- ISO 27002 : 2021

ISO 29.134
3- Relevancia
Evaluación del impacto de la norma
de la privacidad
ISO 27002
ISO 27.050 4- Principales Cambios
5- Conclusiones y
INC Cadena de custodia
Referencias
4.3- Nueva estructura de temas y controles
Un cambio radical con respecto a la versión anterior es la restructuración de los catorce
dominios de controles definidos en ISO 27.002:2013 en torno a 4 grandes temas:
Controles Organizacionales (37 controles)

Controles de Personas (8 controles)
Controles Físicos (14 controles)
Controles Tecnológicos (34 controles)
La clasificación de funciones es más simple que la provista en la versión 2013 de la norma,

la cual se encuentra mucho más orientada al contexto de aplicación del control
(organizacional, personas, físicos y tecnológicos). La versión 2013, en cada dominio
establecía una serie de objetivos de control (34) y controles de seguridad de la información
(114), en esta nueva versión, no existe la definición de objetivos de control, contando en
total la nueva norma con 93 controles. Sin embargo, incluye un atributo que permite la
clasificación especifica del control, en la cual será ubicado en una o más de las 15
categorías establecidas. (Apartado 3.4 del artículo)
Es un cambio positivo, ya que el establecimiento de controles de acuerdo a su contexto de

aplicación deja más en evidencia las responsabilidades del personal del negocio para la
gestión de la seguridad de la información, ciberseguridad y protección de la privacidad, las
que se establecen en torno a 37 controles organizativos, igual que la definición de
controles de carácter técnico relacionados a las tecnologías, establecidos en los 34
controles respectivos del tema. La eliminación de los objetivos de control también es un
aspecto positivo, ya que estos se encuentran intrínsecamente definidos en el control

 mismo, siendo escasamente utilizados en la versión 2013, aportando en la práctica muy 
poco valor.
TABLA DE
4.4- Nueva estructura de atributos de los controles
CONTENIDO
La norma proporciona para
1- ISO cada: 2021
27002 control cinco atributos, estos establecen
subclasificaciones que permiten caracterizar al control. Ejemplo: Primer control del tema
controles organizacionales.
3- Relevancia Propiedades de
de la norma
ISO/IEC Nombre de Tipo de Conceptos de Capacidades
seguridad de la Dominios de
Identfficador control control
ISO 27002 ciberseguridad operativas
información
Policies
4- for
Principales Cambios#Confidencialidad
5.1 information #Preventivo #Integridad #Identificar #Gobernanza #Gobernanz
security
5- Conclusiones y #Disponibilidad
Referencias
Tipo de control : Este atributo posibilita identificar cuando o como el control impacta en la
gestión de riesgos con respecto a la ocurrencia de un incidente de seguridad de la
información.Sus posibles valores son:
#Preventivo #Detectivo #Correctivo
El control actúa El control actúa El control actúa

antes de que la cuando la después que la
amenaza actué. amenaza ocurre. amenaza ocurre.
El tipo de control aportará mucho a fortalecer el control interno organizacional, por

ejemplo, para identificar controles de diversa naturaleza para la gestión de riesgos de alta
criticidad.
Propiedades de Seguridad de la Información: Este atributo proporciona información sobre cómo

el control contribuye en la preservación de la triada de la seguridad de la información. Sus posibles
valores son:
#Confidencialidad #Integridad #Disponibilidad
La comprensión de este ayudará a la gestión atributos de similares características, tener

una visión agregada del atributo posibilita una gestión más efectiva de los controles, así
como identificar las potenciales brechas.
Conceptos de Ciberseguridad : Puede ser empleado cuando la organización busca la

 implementación de un Sistema de Gestión de Seguridad de la Información o un Framework 
de Ciberseguridad como el del NIST, el cual se alinea con los cinco grandes dominios de
ciberseguridad establecidos en la ISO 27.101. Los posibles valores que toma el atributo
TABLA DE
son: CONTENIDO
1- ISO 27002 : 2021
#Identificar #Proteger
#Detectar #Responder
#Recuperar 3- Relevancia de la norma

ISO 27002
Los Conceptos de Ciberseguridad, son un importante aporte para la implementación de un
SGSI o NIST CSF, ya que permite facilitar su alineamiento en torno a las principales
funciones del modelo.
5- Conclusiones y
Referencias
Dominios de seguridad : Puede ser usado en caso que la organización quiera clasificar sus
controles desde una perspectiva del campo de aplicación de la seguridad de la información
y ciberseguridad,
#GobernanzaEcosistema #Protección #Defensa #Resiliencia
El atributo de Dominios de Seguridad, aporta una interesante perspectiva para definir

funciones específicas y de alto nivel en la gestión de la ciberseguridad, siendo en un
contexto de uso general quizás el que menos aporta, puesto que es aplicable
principalmente a grandes organizaciones, no obstante, para aquellas que tengan definidas
estas funciones el atributo aportará de una manera significativa en la clasificación.
(Incorporando controles preventivos, detectivos y correctivos).
Capacidades operacionales : Este atributo puede ser usado cuando la organización

requiere una clasificación de controles desde una perspectiva práctica, como por ejemplo,
cuando se requiere
#Gobernanza #Gestión de #Protección de la información

activos
#Seguridad en los recursos humanos #Seguridad #Continuidad

física
 #Seguridad en sistemas y redes #Seguridad en relaciones con proveedores 
TABLA
#Gestión de accesos DE
e identidades #Gestión de amenazas y vulnerabilidades
CONTENIDO
1- ISO 27002 : 2021
#Gestión de eventos de seguridad de la #Seguridad #Legal y
información
2- ISO/IEC DIS 27002 aplicaciones cumplimiento
#Aseguramiento de la seguridad #Seguridad en la configuración
ISO 27002
Las Capacidades Organizacionales, es una nueva forma de reordenar los controles de

manera muy similar a lo establecido en la ISO 27.002:2013, es una forma relevante de
5- Conclusiones y
clasificar los controles para
Referencias
Definición de atributos es un aporte en la nueva normativa, su contexto de uso es

basatante amplio, así posibilitando el desarrollo de diversos mecanismos de gestión de
controles que fortalecerán el control interno, plan de tratamiento riesgos, evaluación de
controles, asignación responsabilidades, la auditoría, entre otros. La definición de los
controles no sufre mayores cambios con respecto a la versión 2013 : Control, Propósito,
Directrices y Otra Información.
4.5- Cambios en controles desde la ISO 27002 : 2013
Más allá de los cambios de dominio o temas y la definición de los atributos para cada
control, el desarrollo de la nueva norma contempla la reducción de controles pasando de
los 114 preexistentes en la versión 2013 a 93 controles en la nueva versión. En total se
definen 11 nuevos controles:
Nuevos controles
5.7 Inteligencia de amenazas 8.11 Enmascaramiento de datos
5.23 Seguridad de información para uso de servicios en la 8.12 Prevención de la fuga de datos
nube
5.30 Preparación de las TIC para continuidad del negocio 8.16 Monitoreo de actividades
7.4 Monitoreo de la seguridad física 7.4 Monitoreo de la seguridad

física
8.9 Gestión de la configuración 8.22 Filtrado web
8.10 Eliminación de la información 8.28 Codificación segura

Controles que se fusionan con otros controles desde la ISO 27002 : 2013
 Diversos controles fueron reordenados y reorganizados en otros controles, generando así 
nuevos controles provenientes desde la ISO 27.002:2013.Cómo por ejemplo, los controles
TABLAenDE
5.1.1 y 5.1.2 que se fusionan el control 5.1 de políticas de seguridad de la información.
CONTENIDO
5.1.1 Políticas para la1-
seguridad
ISO 27002de: la
2021
información
5.1 Políticas para la seguridad de la información
5.1.2 Revisión de políticas para la seguridad de la
información
6.2.1 Política de dispositivos móviles
8.1 Dispositivos de punto final del usuario
11.2.8 Equipo de usuario desatendido
ISO 27002
8.1.1 Inventario de activos 5.9 Inventario de información y otros activos
8.1.2 Propiedad de activos asociados
8.1.3 Uso aceptable de los activos 5.10 Uso aceptable de la información y activos
8.2.3 Manipulado de la
5-información
Conclusiones y asociados
Referencias
8.3.1 Gestión de soportes extraíbles
8.3.2 Eliminación de soportes 7.10 Medios de almacenamiento
8.3.3 Soportes físicos en tránsito
9.1.1 Política de control de acceso

5.15 Control de accesos
9.1.2 Acceso a las redes y a los servicios de red
9.2.4 Gestión de la información secreta

autenticación de usuarios
9.3.1 Uso de la información secreta de 5.17 Autenticación de infromación
autenticación
9.4.3 Uso Restricción del acceso a la información
9.2.2 Provisión de acceso de usuario

9.2.5 Revisión de los derechos de acceso de
usuario 5.18 Derechos de acceso
8.2.6 Retirada o reasignación de los dechos de
acceso
10.1.1 Política de uso de los controles

criptográficos 8.24 Uso de criptografía
10.1.2 Uso Gestión de claves
11.1.2 Controles físicos de entrada

7.2 Controles de entrada física
11.1.6 Áreas de carga y descarga
12.1.4 Separación de los recursos de desarrollo,

8.31 Separación de ambientes de desarrollo,
prueba y operación
prueba y producción
14.2.6 Entorno de desarrollo seguro
12.4.1 Registro de eventos

12.4.2 Protección de la información del registro 8.15 Inicio de sesión
12.4.3 Registros de administración y operación
12.5.1 Instalación del software en explotación 8.19 Instalación de software en sistemas

14.6.2 Restricción en la instalación de software operativos
12.6.1 Gestión de las vulnerabilidades técnicas

8.8 Gestión de vulnerabilidades técnicas
18.2.3 Comprobación del cumplimiento técnico
12.1.2 Gestión de cambios

 12.2.2 Procedimiento de control de cambios en
sistemas

12.2.3 Revisión técnica de las aplicaciones tras 8.32 Gestión del cambio
efectuar cambios en el sistema
TABLA DE
14.2.4 Restricciones a cambios en paquetes de
software CONTENIDO
1- ISO 27002
13.2.1 Política y procedimiento : 2021
intercambio
información
2- ISO/IEC DIS 27002 8.26 Transferencia de información
13.2.2 Acuerdos de intercambio de información
13.2.3 Mensajería electrónica
14.1.2 Asegurar servicios de aplicaciones en red

pública 8.29 Pruebas de seguridad en desarrollo y
14.1.3 Protección de ISO 27002
las transacciones de aceptación
servicios de aplicaciones
15.2.1 Control y revisión de la provisión de
servicios del proveedor
5- Conclusiones y 5.22 Monitoreo, revisión y gestión del cambio
15.2.2 Gestión de cambios en la provisión del con proveedores de servicios.
Referencias
servicio del proveedor
16.2.1 Notificación eventos de seguridad de la

información 6.8 Reporte de eventos de seguridad de la
16.1.3 Notificación de puntos débiles de la información
seguridad
17.1.1 Planificación de la continuidad de la

seguridad de la información
17.1.2 Implementar la continuidad de la 5.29 Disrupción durante la seguridad de
seguridad de la información información
17.1.3 Verificación, revisión y evaluación de
continuidad de seguridad de la información
18.1.5 Regulación de los controles criptográficos

5.31 Identificación de requerimientos legales,
18.1.1 Identificación de la legislación aplicable y
estatutarios, regulatorios y contractuales.
de los requisitos contractuales
18.2.3 Comprobación del cumplimiento técnico

5.36 Cumplimiento con políticas y estándares
18.2.2 Cumplimiento de políticas y normas de
para la seguridad de la información
seguridad
Controles que se eliminan desde la ISO 27002 : 2013
11.2.5 Retirada de materiales propiedad de la empresa
5- Conclusiones y Referencias
Para todos quienes trabajan en el contexto de la seguridad de la información y
ciberseguridad el comprender las caracteristicas de la norma ISO 27.002 y su enfoque de
controles permitirá conocer directrices importantes sobre cómo implementar los
controles más relevantes en la materia, por tanto, comprender los cambios que se están
definiendo sin duda que debe ser considerada como un elemento de competencia para
 aquellos que aprecien su debida diligencia y cuidado profesional. 
Las nuevas estructuras de la norma son un importante paso para la simplificación y
facilidad de uso de esta, teniendo importantes cambios, no solo en lo estructural, sino que
TABLA DE
incluso a nivel de lenguaje acercándose a temas más atingentes a la ciberseguridad actual.
CONTENIDO
La fusión y definición de controles es uno de los aspectos más relevantes, la incorporación
1- ISO 27002 : 2021
de 11 nuevos controles y reordenamiento de más de 54 controles para definir 23 controles
nuevos nos permite 2- ISO/IEC
contar DIS
con 27002
una norma con definiciones más actualizadas, alineada al
contexto de la ciberseguridad, protección de la privacidad y gestión de incidencias, con
mayor simplicidad en controles de gestión de activos, control de acceso identidades,
seguridad física, seguridad en las operaciones y seguridad en el software, lo cual hace a la
ISO 27002
norma mucho más comprensible y aplicable.

5- Conclusiones y
Enlaces de referencia
Referencias
Etapas y recursos para el desarrollo de estándares ISO
https://www.iso.org/stages-and-resources-for-standards-development.html
Estado actual de la ISO 27.002

https://www.iso.org/standard/75652.html
¡OBTEN GRATIS LA DOCUMENTACIÓN DE ESTE ARTÍCULO!
Descarga el archivo PDF desde nuestra Biblioteca de Recursos, donde

encontrarás toda la documentación actualizada y mucho más contenido de
interés para ti
IR AL ARCHIVO
 
TABLA DE
CONTENIDO
1- ISO 27002 : 2021

ISO 27002
5- Conclusiones y
Referencias
¿TIENES INTERÉS EN APRENDER A IMPLEMENTAR ISO? REVISA NUESTROS

CURSOS, RESPALDADOS POR LA UNIVERSIDAD DE SANTIAGO DE CHILE.
Implementador ISO Implementador Líder ISO Implementador Líder ISO

27.002:2022 27.001 – Gestión de 27.035: Respuesta a
Seguridad de la Incidentes de Seguridad de
Información la Información
Implementador Líder ISO Implementador Líder ISO Implementador Líder ISO

29.100 – Framework de 27.701 – Sis. de Gestión de 37.301 – Sistema de Gestión
Privacidad Información de Privacidad de Compliance
Implementador Líder ISO

22.301
 
TABLA DE
CONTENIDO
1- ISO 27002 : 2021

ISO 27002
5- Conclusiones y
Referencias
Por Carlos Lobos de Medina

Ingeniero civil en informática y magister en Informática (C) de la
Universidad de Santiago de Chile, diplomado en auditoria de
sistemas. Postítulo en seguridad computacional Universidad de
Chile. Cuenta con certificaciones internacionales CISA, CISM,
COBIT, ITIL, NIST, como certificaciones en la implementación y
auditoría de las normas ISO 27001, ISO 27.017, ISO 27.701, ISO
22.301 e ISO 37007.
Director del programa de ciberseguridad de Capacitación

USACH. Director de los PFC de formación de competencia
CORFO y CEO & Co-Fonder de Alignment SpA.
VER PERFIL
 
TABLA DE
CONTENIDO
      
1- ISO 27002 : 2021

This entry
Draft was posted
Internacional in Norma ISO. Bookmark the permalink.
Standar
3- Relevancia de la norma Lo que deberías saber sobre la Nueva Ley 21459

Charla abierta: “Empleabilidad en la
ISO 27002
de Delitos Informáticos y cómo actualiza a Chile
Ciberseguridad” por Capacitación USACH
4- Principales Cambios en torno a la Ciberseguridad
5- Conclusiones y
Referencias
Agregar un comentario
Su dirección de correo no se hará público. Los campos requeridos están marcados *
Comentario *
Nombre *
Correo *
Sitio web
Guardar mi nombre, correo electrónico y sitio web en este navegador para la próxima vez que
comente.
PUBLICAR COMENTARIO
 
TABLA DE
CONTENIDO
HOME DIPLOMADOS CURSOS INSCRIPCION RECURSOS REGLAMENTO
1- ISO 27002 : 2021
Copyright 2022 © DIPLOMADO CIBERSEGURIDAD
ISO 27002
5- Conclusiones y
Referencias

ISO 27002 Del 2022 Conoce Los Cambios de La Nueva Norma

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO 27002 Del 2022 Conoce Los Cambios de La Nueva Norma

Cargado por

Copyright:

Formatos disponibles

23/12/22, 18:12 ISO 27002 del 2022 Conoce los cambios de la Nueva Norma • Diplomados en Ciberseguridad

ISO 27002 del 2022 Conoce los Principales Cambios de la

1- ISO 27002 : 2021

lector de los pronciales cambios establecidos, considerando algunos elementos propios de

Conceptos de 4- Principales Cambios

#Gobernanza y #Gobernanza y #Gobernanza y

Una norma se revisa cada cinco años

40.00 DIS Registrado

40.20 DIS Votación: 12 semanas

40.60 Cierra la votación

1- ISO 27002 : 2021

ISO 27.001 ISO 27.002

Ejemplos más representativos

La norma ISO 27.017, se puede emplear en la aplicación de controles de seguridad para

Prácticamente todo modelo o estándar de referencia posee, se basa y/o posee

ISO 27.001 ISO 27.002 COBIT 2019 M. Controles CIS

ISO/IEC DIS 27002

4.2- Incorporación de nuevos términos y definiciones

Sistema de Parte interesada Registro No repudio

 Procedimiento Fiabilidad Amenaza Vulnerabilidad 

2- ISO/IEC DIS 27002

Gestión de incidentes de seguridad de la Incidente de seguridad de la información

Incorpora 16 términos, establece un alcance más amplio en ciberseguridad, gestión de

Información Política Usuario Regla

Brecha de seguridad de la información Información de identificación personal

Endpoint Personal Procesador de PII PII principal

 Punto objetivo de recuperación (RPO) Tiempo objetivo de recuperación 

2- ISO/IEC DIS 27002

ISO 27.050 4- Principales Cambios

4.3- Nueva estructura de temas y controles

Controles Organizacionales (37 controles)

La clasificación de funciones es más simple que la provista en la versión 2013 de la norma,

Es un cambio positivo, ya que el establecimiento de controles de acuerdo a su contexto de

aspecto positivo, ya que estos se encuentran intrínsecamente definidos en el control

#Preventivo #Detectivo #Correctivo

El control actúa El control actúa El control actúa

El tipo de control aportará mucho a fortalecer el control interno organizacional, por

Propiedades de Seguridad de la Información: Este atributo proporciona información sobre cómo

#Confidencialidad #Integridad #Disponibilidad

La comprensión de este ayudará a la gestión atributos de similares características, tener

Conceptos de Ciberseguridad : Puede ser empleado cuando la organización busca la

Draft Internacional Standar

#Recuperar 3- Relevancia de la norma

#GobernanzaEcosistema #Protección #Defensa #Resiliencia

El atributo de Dominios de Seguridad, aporta una interesante perspectiva para definir

Capacidades operacionales : Este atributo puede ser usado cuando la organización

#Gobernanza #Gestión de #Protección de la información

#Seguridad en los recursos humanos #Seguridad #Continuidad

 #Seguridad en sistemas y redes #Seguridad en relaciones con proveedores 

Las Capacidades Organizacionales, es una nueva forma de reordenar los controles de

Definición de atributos es un aporte en la nueva normativa, su contexto de uso es

4.5- Cambios en controles desde la ISO 27002 : 2013

5.7 Inteligencia de amenazas 8.11 Enmascaramiento de datos

7.4 Monitoreo de la seguridad física 7.4 Monitoreo de la seguridad

8.9 Gestión de la configuración 8.22 Filtrado web

8.10 Eliminación de la información 8.28 Codificación segura

9.1.1 Política de control de acceso

9.2.4 Gestión de la información secreta

9.2.2 Provisión de acceso de usuario

10.1.1 Política de uso de los controles

11.1.2 Controles físicos de entrada

12.1.4 Separación de los recursos de desarrollo,

12.4.1 Registro de eventos