SEGURIDAD DE LA INFORMACIÓN: ISO 27001 HA SIDO ACTUALIZADA

¿ESTÁ
LISTO?
Su guía para una transición exitosa a ISO 27001:2022
Introducción
En febrero de 2022, se actualizó la norma ISO 27002:2022, el
estándar que proporciona los controles de mejores prácticas que
las organizaciones pueden implementar para mejorar la
seguridad. Como resultado, también se espera que se publique
una nueva versión de ISO 27001, el estándar internacional que
describe los requisitos de un sistema de gestión de seguridad de la
información (SGSI), en el último trimestre de 2022.

La nueva versión de la norma contará con los controles descritos

en ISO 27002:2022, y las organizaciones deberán revisar su
evaluación de riesgos para determinar si es necesario implementar
actualizaciones o nuevos tratamientos de riesgos.

Aquí, describimos diez pasos clave que una organización con

certificación ISO 27001 puede tomar para realizar una transición
exitosa al nuevo estándar.

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 2

Diez pasos para una transición exitosa a ISO 27001:2022

1 2 3 4 5
Comprenda los Evalúe sus Realice un Gap Analysis Vuelva a revisar Actualice su Plan de
cambios necesidades de en los controles su Evaluación Tratamiento de Riesgos
capacitación existentes de Riesgos (RTP)

6 7 8 9 10
Actualice su Declaración Reserve su auditoría de Complete su auditoría e Promocione su certificación Enfóquese en la
de Aplicabilidad (SOA) transición implemente cualquier ISO 27001:2022 mejora continua
cambio

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 3

Diez pasos para una transición exitosa a ISO 27001:2022

1. Comprenda los cambios 2. Evalúe sus necesidades de capacitación

Desarrolle una comprensión de ISO 27002: 2022 ya que los nuevos controles de Cree un programa de capacitación para que los miembros de su equipo desarrollen
seguridad se incluirán en el Anexo A de ISO 27001. Esta será la revisión más sus conocimientos sobre el estándar y se aseguren de que puedan implementar los
importante del nuevo estándar. cambios de manera efectiva.

ISO 27002:2022 se ha reestructurado, con 93 controles en lugar de 114, divididos en Tras la publicación de la norma revisada, estarán disponibles versiones actualizadas de
4 temas diferentes: los cursos de capacitación ISO 27001 de LRQA con opciones para todos los niveles de
• Organizacional experiencia, que incluyen:
• Personas
• Introducción a la Norma ISO 27001:2022
• Físicos
• Implementación de ISO 27001:2022
• Técnicos
• Auditor Interno de la Norma ISO 27001:2022
• ISO 27001:2022 Auditor Conversion
53 controles de la versión anterior se fusionaron en 24 en ISO 27002:2022, con 11
nuevos controles agregados. También se debe tener en cuenta que la mayoría de los • ISO 27001:2022 Lead Auditor Conversion
controles están sujetos a algún tipo de cambio de texto que podría afectar la forma en • ISO 27001:2022: Management Briefing
que se interpreta e implementa el estándar.
Podemos ofrecer nuestros cursos a través de múltiples estilos de aprendizaje en
línea, en persona o combinados, según lo que funcione mejor para usted y los
miembros de su equipo.

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 4

Diez pasos para una transición exitosa a ISO 27001:2022

3. Realice un Gap Analysis en los controles 4. Vuelva a revisar su Evaluación de

existentes
Un Gap Analysis que evalúe sus controles y tratamientos de riesgos existentes frente a los
incluidos en la norma ISO 27002:2022 lo ayudará a identificar áreas de enfoque que deben
abordarse antes de su transición a ISO 27001:2022.
El anexo B de la norma ISO 27002:2022 es un buen punto de partida, ya que incluye una
comparación útil de todos los controles disponibles y cómo se corresponden con los de la
versión anterior (ISO 27002:2013). El estándar actualizado divide los controles en cuatro temas
clave: organizacionales, de personas, físicos y técnicos, y recomendamos formar un equipo de
especialistas que pueda poseer y brindar información sobre estas áreas.
Riesgos
Es necesario verificar que su evaluación de riesgos, junto con sus objetivos y
contexto, permanezca bien alineado con su negocio y apetito por el riesgo; si
no es así, se deben realizar cambios. Es posible que desee consultar la norma
ISO 27005, la norma internacional que describe los procedimientos para
realizar una evaluación de riesgos de seguridad de la información.

LRQA brinda servicios opcionales de evaluación previa que son realizados por auditores
expertos en forma de Gap Analysis o Auditoría Preliminar. Analizaremos sus controles
existentes y un SGSI más amplio para identificar cualquier área que necesite atención.

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 5

Diez pasos para una transición exitosa a ISO 27001:2022

5. Actualice su Plan de Tratamiento de 6. Actualice su Declaración de

Riesgos (RTP) Aplicabilidad (SOA)
Deberá actualizar el RTP para reflejar sus decisiones con respecto a la respuesta a
Es crucial actualizar su SOA para reflejar la evidencia y la justificación relacionada con
amenazas, seleccionando los controles apropiados de la versión actualizada de ISO
la inclusión y exclusión de cualquier control o política. También deberá resaltar si su
27002, que se incluirá en el Anexo A de ISO 27001:2022.
empresa ha implementado algún control en línea con el RTP. Si la respuesta es
afirmativa, se debe llevar a cabo un sólido programa de auditoría interna para poder
Es posible que desee contratar a LRQA para realizar un Gap Analysis adicional en este
evaluar la eficacia de sus actividades.
punto para garantizar que los controles seleccionados estén justificados y sean
efectivos. Nuestros conocimientos independientes le brindan confianza en la
preparación de su organización, y Nettitude, nuestros especialistas en seguridad
cibernética, pueden brindarle asesoramiento y orientación sobre los controles y
servicios técnicos.

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 6

Diez pasos para una transición exitosa a ISO 27001:2022

7. Reserve su auditoría de transición 8. Complete su auditoría e implemente

En este punto, los cambios que ha implementado habrán fortalecido su sistema de
cualquier cambio
gestión, la seguridad de la información y una resiliencia cibernética más amplia. Es hora
de ponerse en contacto con LRQA para analizar su auditoría de transición dedicada, que
Su auditor evaluará su SGSI y la documentación de respaldo para determinar si
puede llevarse a cabo como una actividad independiente o en línea con cualquier otra
cumple con los requisitos de ISO 27001:2022, con un enfoque especial en los
visita programada.
cambios a los controles en el Anexo A. Al finalizar, recibirá su Informe de
Auditoría, que presenta la retroalimentación de su auditor y cualquier hallazgo
Las organizaciones con la certificación ISO 27001:2013 existente tendrán tres años para
que deba abordarse antes de otorgar la certificación.
hacer la transición al nuevo estándar.

Contáctenos

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 7

Diez pasos para una transición exitosa a ISO 27001:2022

9. Promocione su certificación ISO 10. Enfóquese en la mejora continua

27001:2022
Después de la certificación, es importante mantener el impulso para garantizar
que su SGSI siga siendo eficaz y esté bien mantenido. Llevaremos a cabo
Su certificación demuestra un compromiso con las mejores prácticas reconocidas auditorías de seguimiento anualmente que se centrarán en el estado de su
internacionalmente y la mejora continua, ayudándole a ganar nuevos negocios y sistema; también buscaremos garantizar que se realicen mejoras continuas.
satisfacer las demandas de los clientes. Puede estar seguro de que su SGSI es sólido
y eficaz, ya que utiliza controles y tratamientos de riesgos que reflejan el cambiante
panorama de las amenazas.

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 8

Nuestros servicios de capacitación y auditoría
de ISO 27001:2022

Capacitación Gap analysis Auditoría de Transición Auditorías integradas

Aumente su conocimiento Un servicio opcional donde Evaluaremos su SGSI de acuerdo Si ha implementado múltiples
de ISO 27001:2022 con una uno de nuestros auditores con los requisitos de la norma ISO sistemas de gestión, podría
gama de cursos diseñados expertos lo ayudará a 27001:2022, con un enfoque beneficiarse de un programa
para diferentes niveles de identificar cualquier área particular en los controles del integrado de auditoría y
experiencia, impartidos a crítica, de alto riesgo o débil Anexo A y cómo impactan en su seguimiento que es más
través de múltiples estilos de su sistema antes de su sistema. eficiente y rentable.
de aprendizaje. auditoría de transición.

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 9

Trabajando con usted para abordar todos
los aspectos de la ciberseguridad
Nuestra amplia experiencia en aseguramiento, combinada
con servicios de seguridad cibernética galardonados e
inteligencia basada en amenazas, nos permite brindar
información personalizada sobre las amenazas únicas que
enfrenta su negocio y protección contra ellas. Lo
mantenemos un paso por delante del riesgo cibernético,

Seguridad de la Resilencia Protección

hoy, mañana y más allá.

Brindamos servicios de auditoría, capacitación y

certificación según los estándares y esquemas
Información Operativa Cibernética
internacionales líderes en el mundo, complementados con
Nuestros servicios de Esté preparado para prevenir, Manténgase un paso por
una amplia gama de servicios avanzados de ciberseguridad
cumplimiento y certificación lo responder y recuperarse de la delante de las ciberamenazas,
brindados por nuestros especialistas, Nettitude.
ayudan a proteger la información interrupción con nuestros con soluciones personalizadas
Trabajamos en colaboración con su negocio, ayudándole a comercial crítica y demostrar las servicios de certificación, que brindan una primera línea
identificar las amenazas específicas que enfrenta y a mejores prácticas reconocidas capacitación y gobierno, riesgo de defensa y respuesta a todo
desarrollar estrategias para mitigarlas. Trabajaremos con internacionalmente. y cumplimiento. tipo de ciberataques.
usted para certificar sus sistemas, identificar
vulnerabilidades y ayudar a prevenir ataques e incidentes
que podrían afectar la integridad de su marca, las finanzas
y las operaciones.
Descubra más Descubra más Descubra más

LRQA | 10 pasos para una transición exitosa a ISO 27001:2022 | Página 10

 YOUR FUTURE. OUR FOCUS.

Acerca de LRQA:
Al reunir una experiencia inigualable en certificación, garantía de marca y capacitación, LRQA es uno de los principales proveedores mundiales de
soluciones de garantía y seguridad alimentaria. Trabajando junto con granjas, pesquerías, fabricantes de alimentos, restaurantes, hoteles y
minoristas globales, ayudamos a gestionar los riesgos de sostenibilidad y seguridad alimentaria a lo largo de las cadenas de suministro y nos hemos
convertido en un proveedor líder de garantías a nivel mundial.

Estamos orgullosos de nuestra herencia, pero lo que realmente importa es quiénes somos hoy, porque eso es lo que da forma a la forma en que nos
asociaremos con nuestros clientes en el futuro. Al combinar valores sólidos, décadas de experiencia en gestión y mitigación de riesgos y un gran
enfoque en el futuro, estamos aquí para ayudar a nuestros clientes a construir negocios más seguros, más seguros y más sostenibles.

De auditoría independiente, certificación y capacitación; a los servicios de asesoramiento técnico; a la tecnología de aseguramiento en tiempo real;
Hasta la transformación de la cadena de suministro basada en datos, nuestras innovadoras soluciones de extremo a extremo ayudan a nuestros
clientes a negociar un panorama de riesgos que cambia rápidamente, asegurándose de que están dando forma a su propio futuro, en lugar de dejar
que él les dé forma a ellos.

Contáctenos

LRQA México
Av. David Alfaro Siqueiros 106, Piso 17 Suite 1703,
Col. Valle Oriente, San Pedro Garza García,
Nuevo León, México. CP66269
T +52 81 8152 1000
E sales-mexico@lrqa.com

Se tiene cuidado para garantizar que toda la información proporcionada sea precisa y esté actualizada; sin embargo, LRQA no acepta ninguna responsabilidad por inexactitudes o cambios en la información. Para obtener más información sobre LRQA, haga
clic aquí. © LRQA Group Limited 2022