Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO/IEC 27001:2022
Anexo A - 4 Temas:
ISO/IEC 27001:2013/Cor 1:2014 Controles organizacionales
Controles de personas
Controles físicos
Controles tecnológicos
+
Atributos
ISO/IEC 27001:2013/Cor 2:2015
ISO 27001:2022 una norma armonizada
2013 2022
Estándar Estándar
Internacional Internacional
Estructura ISO/IEC 27001
Estructura
ISO/IEC 27001
de alto nivel :2013 armonizada :2022
(HLS) (HS)
ISO/IEC 27001:2022
Ciberseguridad Protección de
ISO la privacidad
27032:2012 ISO
ISO 27701:2019
27110:2021
6 Planificación
6.1 Acciones para abordar los riesgos y oportunidades
6.2 Objetivos de SI y planificación para lograrlos
6,3 Planificación de Cambios
7 Apoyo
7.1 Recursos
7.2 Competencias
7.3 Conocimiento
7.4 Comunicación
7.5 Información documentada
ISO/IEC ISO/IEC
27001:2013 27001:2022
Nombre
Tecnología de la información, Seguridad de la información,
técnicas de seguridad, ciberseguridad y protección
sistemas de gestión de la de la privacidad. Sistemas de
seguridad de la información gestión de la seguridad de la
información
Lo nuevo en ISO/IEC 27001:2022
La organización debe
La organización debe establecer, implementar,
establecer, implementar, mantener y mejorar
mantener y mejorar continuamente un SGSI de la
Requisito
continuamente un SGSI de información, incluyendo los
4.4
acuerdo con los requisitos de procesos necesarios y sus
esta norma. interacciones, de acuerdo
con los requisitos de esta
norma.
Lo nuevo en ISO/IEC 27001:2022 Requisitos:
Cumplimiento
normatividad en
protección datos
Cláusula Requisito
4 4.2 Cumplimiento
contratos con
empresa Z
Call Center W
Empresa Z Contrato
certificada en
(Responsable del comercial
ISO/IEC
tratamiento)
Requisitos: 27001:2013
Cumplimiento
normatividad en
protección datos Activo de información
Cumplimiento Contrato
contratos con Transmisión
empresa W Base de Base de
datos datos datos
clientes personales clientes
empresa Z empresa Z
Lo nuevo en ISO/IEC 27001:2022
Cláusula
5
ISO/IEC ISO/IEC
27001:2013 27001:2022
La alta dirección debe La alta dirección debe
asegurarse que se asignen, asegurar que las
Requisito comuniquen las responsabilidades y
5.3 responsabilidades y autoridades para los roles
autoridades relevantes para la seguridad
de la información sean
asignados y comunicados
dentro de la organización.
Lo nuevo en ISO/IEC 27001:2022
Cláusula
ISO/IEC ISO/IEC
6 27001:2013 27001:2022
La organización debe establecer
objetivos de seguridad de la
información en las funciones y
Requisito • Once literales (a – k) niveles pertinentes. Los objetivos de
6.2 seguridad de la información deben:
Se adiciona un literal más, para un
total de 12 (a – l)
d) Ser monitoreados
Requisito
6.3 Cuando la organización determina
la necesidad de cambios para el
SGSI, los cambios deben ser
realizados de forma planificada.
ASPECTOS
IMPORTANTES A
CONSIDERAR EN LA
GESTIÓN DE
RIESGOS EN SGSI
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
En caso de identificar
alguno, ¿el riesgo para
Quién es?
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
Reglamento
General
de Protección
de
Datos (RGPD)
Considerando 75
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
ISO/IEC
27005:2022
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
Reglamento
General
De Protección de
Datos (RGPD)
Artículo 24
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos Legalidad en materia de tratamiento de datos
Finalidad
Libertad
Seguridad
Confidencialidad
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
Reglamento
General
de Protección
de
Datos (RGPD)
Artículo 32
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
NTC ISO/IEC
27701:2020
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
Lo nuevo en ISO/IEC 27001:2022
Cláusula
7 ISO/IEC 27001:2013 ISO/IEC 27001:2022
Eliminado
Lo nuevo en ISO/IEC 27001:2022
Cláusula
7 Sobre qué Cuándo A quién Cómo comunicar
comunicar comunicar comunicar
Política de Una vez se Partes interesadas Sitio web
seguridad de la encuentre internas y externa Intranet
Requisito información aprobada por la Correo electrónico
7.4 alta dirección y/o la Carteleras
junta directiva Otros
Incidente de Durante los Superintendencia A través de la
seguridad de la siguientes 15 días de Industria y plataforma del
información que hábiles posterior al Comercio RNBD
involucre datos conocimiento del
personales incidente
Lo nuevo en ISO/IEC 27001:2022
ISO/IEC 27001:2013 ISO/IEC 27001:2022
Cláusula
8 Se debe implementar planes para La organización debe planificar,
lograr los objetivos del SGSI, implementar y controlar los
definidos en 6.2 procesos necesarios para cumplir
los requisitos e implementar las
8.1 acciones determinadas en la
cláusula 6, para:
• Establecer criterios para los
procesos;
• Implementar controles a los
procesos de acuerdo con los
criterios.
La organización debe asegurar que
los procesos contratados
externamente, así como los
productos o servicios que son
relevantes para el SGSI de la
información estén controlados.
Eliminado
Lo nuevo en ISO/IEC 27001:2022
Cláusula
9
ISO/IEC 27001:2013 ISO/IEC 27001:2022
Cláusula
10
14 Dominios 4 Temas
58 Controles actualizados
23 Controles unión-fusión
11 Controles nuevos
1 Control eliminado
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)
No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
NUEVO 27002:2022
Lo nuevo en ISO/IEC 27002:2022
En lugar de las 14 secciones de la versión anterior, ISO 27002:2022 ahora tiene sólo cuatro secciones y dos anexos:
a) Controles organizacionales (cláusula 5): Esta sección contiene todos los controles relacionados con varios
temas organizacionales, comprendiendo 37 controles.
b) Controles de personas (cláusula 6): Esta sección se centra en los controles relacionados con la seguridad de
los recursos humanos, que comprende 8 controles (si se refiere a personas individuales).
c) Controles físicos (cláusula 7): Esta sección se centra en los controles relacionados con el entorno físico, que
comprende 14 controles (si se trata de objetos físicos).
d) Controles tecnológicos (cláusula 8): Esta sección se centra en los controles relacionados con las soluciones
tecnológicas, que comprende 34 controles (si se trata de tecnología).
➢Anexo A: uso de atributos: este anexo informativo proporciona una matriz de todos los controles nuevos,
compara sus atributos y brinda sugerencias sobre cómo se pueden usar los controles, de acuerdo con sus
atributos.
➢Anexo B – Correspondencia con ISO/IEC 27002:2013: Este anexo informativo proporciona un mapeo entre los
controles de esta versión y los controles de la edición anterior de 2013.
El número reducido de secciones y la adición de un anexo con orientación sobre cómo usar los controles, facilita la
comprensión de la aplicabilidad de los controles y la designación de responsabilidades.
4.2 Temas y atributos
#Confidencialidad #Integridad
#Disponibilidad
#Gobernanza_y_Ecosistema
#Protección #Defensa #Resiliencia
4.2 Temas y atributos
La organización puede usar atributos
para crear diferentes vistas que son Preventivo: el control que tiene como
diferentes categorizaciones de controles, Objetivo prevenir la ocurrencia de un
vistos desde una perspectiva diferente a Incidente de “SI”.
los temas.
a) Tipo de control
Atributo para ver los controles
Los atributos se pueden usar para filtrar, desde la perspectiva de
ordenar o presentar controles en cuándo y cómo el control Detectivo: el control actúa cuando
diferentes vistas para diferentes modifica el riesgo, con ocurre un Incidente de “SI”.
audiencias. respecto a la ocurrencia de un
incidente de seguridad de la
información “SI”.
Cada control en el documento se ha
asociado con cinco atributos con los
valores de atributos correspondientes, Correctivo: el control actúa después
precedido por “#” para que se puedan de que ocurre un Incidente de “SI”.
buscar.
4.2 Temas y atributos (continuación)
✓ Gobernanza
✓ Gestión de activos
✓ Protección de la información
d) Capacidades operativas
✓ Seguridad de recursos humanos
Son un atributo para ver los
✓ Seguridad física
controles desde la perspectiva
✓ Seguridad de sistemas y redes
del profesional de las
✓ Seguridad de aplicaciones
capacidades de “SI”.
✓ Configuración segura
✓ Gestión de Identidad y accesos
Los valores de los atributos
✓ Gestión de amenazas y vulnerabilidad
consisten en:
✓ Continuidad
✓ Relaciones con proveedores y seguridad
✓ Seguridad de las relaciones de la información
4.2 Temas y atributos (continuación)
▪ “Continuidad de operaciones” y
“Resiliencia”
▪ “Gestión de crisis”
Resumen: atributos de los controles
Propiedades de Conceptos de Capacidades Dominios de
Tipo de control seguridad de la ciberseguridad operativas seguridad
información
Gobernanza
Gestión de activos
Identificar
Protección de información
Seguridad de sistemas y
redes Protección
Detectivo Integridad Detectar
Seguridad de aplicaciones
Configuración segura
Seguridad de relaciones
de la información
4.3 Diseño de controles
No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.1 5.1.1 Fusionado Políticas para la seguridad de la información La política de seguridad de la información y las políticas de temas específicos
5.1.2 deben ser definidas, aprobadas por la dirección, publicadas, comunicadas a y
conocidas por el personal relevante y las partes interesadas pertinentes, y
revisadas a intervalos planificados y si se producen cambios significativo.
5.2 6.1.1 Igual Funciones y responsabilidades en materia de Las funciones y responsabilidades de seguridad de la información se deben
seguridad de la información definir y asignar de acuerdo con las necesidades de la organización.
5.3 6.1.2 Igual Segregación de funciones Las funciones y las áreas de responsabilidad conflictivas deben estar
separadas.
5.4 7.2.1 Igual Responsabilidades de la dirección La administración debe exigirle a todo el personal que aplique la seguridad
de la información de acuerdo con la política de seguridad de la información
establecida, las políticas y los procedimientos específicos de cada tema.
5.5 6.1.3 Igual Contacto con autoridades La organización debe establecer y mantener contacto con las autoridades
pertinentes.
5.6 6.1.4 Igual Contacto con grupos de interés especial La organización debe establecer y mantener contacto con grupos de interés
especial u otros foros de seguridad especializados y asociaciones
profesionales.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.7 N/A NUEVO Inteligencia sobre amenazas La información relativa a las amenazas a la seguridad de la información se
debe recopilar y analizar para producir inteligencia sobre amenazas
5.8 6.1.5 Fusionado Seguridad de la información en la gestión de La seguridad de la información se debe integrar en la gestión de proyectos.
14.1.1 proyectos
5.9 8.1.1 Fusionado Inventario de activos de información y otros Se debe elaborar y mantener un inventario de información y otros activos
8.1.2 activos asociados asociados, incluidos los propietarios.
5.10 8.1.3 Fusionado Uso aceptable de la información y los activos Se deben identificar, documentar y aplicar normas para el uso aceptable y
8.2.3 asociados procedimientos para el manejo de la información y otros activos asociados.
5.11 8.1.4 Igual Devolución de activos El personal y otras partes interesadas, según corresponda, deben devolver
todos los activos de la organización que estén en su poder al cambiar o
terminar su empleo, contrato o acuerdo.
5.12 8.2.1 Igual Clasificación de la información La información se debe clasificar según las necesidades de seguridad de la
información de la organización en función de la confidencialidad, la
integridad, la disponibilidad y los requisitos pertinentes de las partes
interesadas.
5.13 8.2.2 Igual Etiquetado de la información Debe elaborarse y aplicarse un conjunto adecuado de procedimientos para
el etiquetado de la información de conformidad con el plan de clasificación
de la información adoptado por la organización.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.14 13.2.1 Fusionado Transferencia de información Se deben establecer normas, procedimientos o acuerdos de transferencia de
13.2.2 información para todos los tipos de facilidades de transferencia dentro de la
13.2.3 organización y entre la organización y otras partes.
5.15 9.1.1 Fusionado Control de acceso Las reglas para controlar el acceso físico y lógico a la información y otros
9.1.2 activos asociados deben establecerse e implementarse en función de los
requisitos de seguridad de la información y del negocio.
5.16 9.2.1 Cambio Gestión de identidades Se debe gestionar todo el ciclo de vida de las identidades.
nombre
5.17 9.2.4 Fusionado Información de autenticación La asignación y gestión de la información de autenticación debe controlarse
9.4.3 mediante un proceso de gestión, que incluya el asesoramiento del personal
9.3.1 sobre el tratamiento adecuado de la información de autenticación.
5.18 9.2.2 Fusionado Derechos de acceso Los derechos de acceso a la información y a otros activos asociados se deben
9.2.5 proveer, revisar, modificar y eliminar de acuerdo con la política y las reglas
9.2.6 de control de acceso específicas del tema de la organización.
5.19 15.1.1 Cambio Seguridad de la información en las Deben definirse e implementarse procesos y procedimientos para gestionar
nombre relaciones con los proveedores los riesgos de seguridad de la información asociados con el uso de los
productos o servicios del proveedor.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.20 15.1.2 Cambio Abordar la seguridad de la información en Los requisitos de seguridad de la información pertinentes debieran
nombre los acuerdos con los proveedores establecerse y acordarse con cada proveedor en función del tipo de
relación con el proveedor.
5.21 15.1.3 Cambio Gestión de la seguridad de la información Deben definirse y aplicarse procesos y procedimientos para gestionar los
nombre en la cadena de suministro TIC riesgos de seguridad de la información asociados a la cadena de
suministro de productos y servicios de TIC.
5.22 15.2.1 Fusionado Seguimiento, revisión y gestión de cambios La organización debe supervisar, revisar, evaluar y gestionar
5.2.2 de los servicios de los proveedores regularmente los cambios en las prácticas de seguridad de la información
del proveedor y en la prestación de servicios.
5.23 N/A NUEVO Seguridad de la información para el uso de Los procesos de adquisición, uso, gestión y salida de los servicios en la
servicios en la nube nube deben establecerse de acuerdo con los requisitos de seguridad de
la información de la organización.
5.24 16.1.1 Cambio Planificación y preparación de la gestión La organización debe planificar y prepararse para gestionar los incidentes
nombre de incidentes de la seguridad de la de seguridad de la información definiendo, estableciendo y comunicando
información los procesos, funciones y responsabilidades de gestión de incidentes de
seguridad de la información.
5.25 16.1.4 Cambio Evaluación y decisión sobre eventos de La organización debe evaluar los eventos de seguridad de la información
nombre seguridad de la información y decidir si se deben clasificar como incidentes de seguridad de la
información.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.26 14.1.2 Fusionado Respuesta a incidentes de seguridad de la Los incidentes de seguridad de la información deben responderse en
14.1.3 información conformidad con los procedimientos documentados.
16.1.5
5.27 16.1.6 Igual Aprendizaje de los incidentes de seguridad Los conocimientos obtenidos de los incidentes de seguridad de la
de la información información deben utilizarse para reforzar y mejorar los controles de
seguridad de la información.
5.28 16.1.7 Igual Recopilación de pruebas La organización debe establecer e implementar procedimientos para la
identificación, recolección, adquisición y preservación de pruebas
relacionadas con eventos de seguridad de la información.
5.29 17.1.1 Fusionado seguridad de la información durante una La organización debe planificar cómo mantener la seguridad de la
17.1.2 interrupción información en un nivel adecuado durante la interrupción.
17.1.3
5.30 N/A NUEVO Preparación de las TIC para la continuidad La preparación para las TIC debe planificarse, implementarse, mantenerse
de la actividad y probarse sobre la base de los objetivos de continuidad empresarial y los
requisitos de continuidad de las TIC.
5.31 18.1.1 Fusionado Requisitos legales, reglamentarios y Los requisitos legales, estatutarios, reglamentarios y contractuales
18.1.5 contractuales relevantes para la seguridad de la información y el enfoque de la
organización para cumplir con estos requisitos deben ser identificados,
documentados y actualizados.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.32 18.1.2 Igual Derechos de propiedad intelectual La organización debe aplicar los procedimientos apropiados para proteger
los derechos de propiedad intelectual.
5.33 18.1.3 Igual Protección de los registros Los registros deben estar protegidos de pérdidas, destrucción,
falsificación, acceso no autorizado y liberación no autorizada.
5.34 18.1.4 Cambio Privacidad y protección de la IIP La organización debe identificar y cumplir con los requisitos relativos a la
nombre preservación de la privacidad y la protección de la IIP de acuerdo con las
leyes y reglamentos aplicables y los requisitos contractuales.
5.35 18.2.1 Igual Revisión independiente de la seguridad de El enfoque de la organización para gestionar la seguridad de la información
la información y su implementación, incluidas las personas, los procesos y las tecnologías,
debe revisarse de forma independiente a intervalos planificados o cuando
se produzcan cambios significativos.
5.36 18.2.2 Fusionado Cumplimiento de políticas, reglas y normas El cumplimiento de la política de seguridad de la información de la
18.2.3 de seguridad de la información organización, las políticas, las reglas y los estándares específicos de cada
tema deben revisarse periódicamente.
5.37 12.1.1 Igual Procedimientos operativos documentados Los procedimientos operativos para las instalaciones de procesamiento de
la información deben estar documentados y disponibles para el personal
que los necesite.
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)
No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles de las personas
6 Controles de personas
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
6.1 7.1.1 Igual Selección Las verificaciones de los antecedentes de todos los candidatos a
convertirse en personal deben llevarse a cabo antes de incorporarse a la
organización y de forma continuada, tomando en consideración las leyes,
los reglamentos y la ética aplicables y ser proporcionales a los requisitos
de la empresa, la clasificación de la información a la que se va a acceder
y los riesgos percibidos.
6.2 7.1.2 Igual Condiciones del empleo Los acuerdos contractuales de empleo deben indicar las
responsabilidades del personal y de la organización en materia de
seguridad de la información.
6.3 7.2.2 Igual Sensibilización, educación y formación en El personal de la organización y las partes interesadas pertinentes deben
temas de seguridad de la información recibir una sensibilización, educación y formación adecuadas en materia
de si, así como actualizaciones periódicas de la política de seguridad de
la información de la organización y de las políticas y procedimientos
específicos, según sea pertinente para su función laboral.
6.4 7.2.3 Igual Proceso disciplinario Se debe formalizar y comunicar un proceso disciplinario para tomar
medidas contra el personal y otras partes interesadas pertinentes que
hayan cometido una violación de la política de seguridad de la
información.
Controles de las personas
6 Controles de personas
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
6.5 7.3.1 Cambio Responsabilidades después de la Las responsabilidades y deberes de seguridad de la información que
nombre terminación o cambio de empleo siguen siendo válidos después de la terminación o el cambio de empleo
deben definirse, aplicarse y comunicarse al personal pertinente y a otras
partes interesadas.
6.6 13.2.4 Igual Acuerdos de confidencialidad o no Los acuerdos de confidencialidad o no divulgación que reflejen las
divulgación necesidades de la organización para la protección de la información
deben ser identificados, documentados, revisados y firmados
regularmente por el personal y otras partes interesadas pertinentes.
6.7 6.2.2 Cambio Trabajo remoto Deben implementarse medidas de seguridad cuando el personal trabaja
nombre de forma remota para proteger la información a la que se accede, procesa
o almacena fuera de las instalaciones de la organización.
6.8 16.1.2 Fusionado Informe de eventos de seguridad de la La organización debe proporcionar un mecanismo para que el personal
16.1.3 información informe sobre los eventos de seguridad de la información observados o
sospechosos a través de los canales apropiados de manera oportuna.
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)
No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles físicos
7 Controles físicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
7.1 11.1.1 Cambio Perímetros de seguridad física Los perímetros de seguridad deben definirse y utilizarse para proteger las
nombre áreas que contienen información y otros activos asociados.
7.2 11.1.2 Fusionado Entrada física Las áreas seguras deben protegerse mediante controles de entrada y
11.1.6 puntos de acceso adecuados.
7.3 11.1.3 Igual Protección de oficinas, salas e instalaciones Se debe diseñar e implementar la seguridad física de las oficinas, salas e
instalaciones
7.4 N/A NUEVO Monitoreo de seguridad física Las instalaciones deben ser vigiladas continuamente para detectar el
acceso físico no autorizado.
7.5 11.1.4 Igual Protección contra amenazas físicas y Debe diseñarse y aplicarse la protección contra las amenazas físicas y
medioambientales ambientales, como los desastres naturales y otras amenazas físicas
intencionales o no intencionales a la infraestructura.
7.6 11.1.5 Igual Trabajo en áreas seguras Deben diseñarse y aplicarse medidas de seguridad para trabajar en zonas
seguras.
7.7 11.2.9 Cambio Escritorio y pantalla limpios Se deben definir y aplicar de forma adecuada reglas para papeles y medios
nombre de almacenamiento extraíbles en los escritorios, así como reglas de
pantalla limpia para las instalaciones de procesamiento de información.
Controles físicos
7 Controles físicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
7.8 11.2.1 Igual Ubicación y protección de los equipos Los equipos deben ubicarse de forma segura y protegidos.
7.9 11.2.6 Cambio Seguridad de los activos fuera de las Los activos fuera de las instalaciones deben estar protegidos.
nombre instalaciones
7.10 8.3.1 Fusionado Medios de almacenamiento Los medios de almacenamiento deben gestionarse a través de su ciclo de
8.3.2 vida de adquisición, uso, transporte y eliminación de acuerdo con el
8.3.3 esquema de clasificación y los requisitos de manipulación de la
11.2.5 organización.
7.11 11.2.2 Igual Servicios públicos de respaldo Las instalaciones de procesamiento de la información deben estar
protegidas contra los cortes de energía y otras interrupciones causadas por
fallas en los servicios públicos de respaldo.
7.12 11.2.3 Igual Seguridad del cableado Los cables que transportan energía, datos o servicios de información de
respaldo deben estar protegidos contra la interceptación, las interferencias
o los daños.
7.13 11.2.4 Igual Mantenimiento de equipos Los equipos deben mantenerse correctamente para garantizar la
disponibilidad, integridad y confidencialidad de la información.
7.14 11.2.7 Igual Eliminación segura o reutilización de Los elementos de los equipos que contienen medios de almacenamiento
equipos deben verificarse para garantizar que los datos confidenciales y el software
con licencia se han eliminado o sobrescrito de forma segura antes de
desecharlos o reutilizarlos.
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)
No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.1 6.2.1 Fusionado Dispositivos finales del usuario La información almacenada, procesada o accesible a través de los
11.2.8 dispositivos de punto final del usuario debe estar protegida.
8.2 9.2.3 Cambio Derechos de acceso privilegiados La asignación y el uso de los derechos de acceso privilegiados deben ser
nombre restringidos y gestionados.
8.3 9.4.1 Igual Restricción de acceso a la información El acceso a la información y a otros activos asociados debe restringirse
de conformidad con la política establecida sobre el control del acceso
relativa a temas específicos.
8.4 9.4.5 Cambio Acceso al código fuente El acceso de lectura y escritura al código fuente, las herramientas de
nombre desarrollo y las bibliotecas de software se deben administrar
adecuadamente.
8.5 9.4.2 Cambio Autenticación segura Las tecnologías y los procedimientos de autenticación segura deben
nombre implementarse en función de las restricciones de acceso a la
información y de la política de control de acceso específica del tema.
8.6 12.1.3 Igual Gestión de la capacidad La utilización de los recursos debe supervisarse y ajustarse de
conformidad con las necesidades de capacidad actuales y previstas.
8.7 12.2.1 Cambio Protección contra malware La protección contra el malware debe implementarse y respaldarse con
nombre el conocimiento adecuado del usuario.
Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.8 12.6.1 Fusionado Gestión de las vulnerabilidades técnicas Se debe obtener información sobre las vulnerabilidades técnicas de los
18.2.3 sistemas de información en uso, se debe evaluar la exposición de la
organización a esas vulnerabilidades y se deben adoptar las medidas
apropiadas.
8.9 N/A NUEVO Gestión de la configuración Las configuraciones, incluidas las configuraciones de seguridad, de
hardware, software, servicios y redes deben establecerse, documentarse,
implementarse, supervisarse y revisarse.
8.10 N/A NUEVO Eliminación de información La información almacenada en sistemas de información, dispositivos o
cualquier otro medio de almacenamiento debe eliminarse cuando ya no
sea necesario.
8.11 N/A NUEVO Enmascaramiento de datos El enmascaramiento de datos debe utilizarse de acuerdo con la política
de la organización sobre el control de acceso y otras políticas específicas
de temas relacionados, así como con los requisitos empresariales,
tomando en consideración la legislación aplicable.
8.12 N/A NUEVO Prevención de fuga de datos Las medidas de prevención de fugas de datos deben aplicarse a los
sistemas, redes y cualquier otro dispositivo que procese, almacene o
transmita información confidencial.
8.13 12.3.1 Igual Copias de seguridad de la información Las copias de seguridad (respaldos) de la información, del software y de
los sistemas deben mantenerse y probarse periódicamente de
conformidad con la política de copia de seguridad específica del tema
acordado.
8.14 17.2.1 Cambio Redundancia de las instalaciones de Las instalaciones de procesamiento de información deben implementarse
nombre tratamiento de información con redundancia suficiente para satisfacer los requisitos de
disponibilidad.
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.15 12.4.1 Fusionado Registros Deben producirse, almacenarse, protegerse y analizarse los registros que
12.4.2 recogen las actividades, las excepciones, las fallas y otros eventos
12.4.3 relevantes.
8.16 N/A NUEVO Actividad de monitoreo Las redes, los sistemas y las aplicaciones deben ser monitoreados para
detectar comportamientos anómalos y tomar las medidas apropiadas
para evaluar posibles incidentes de seguridad de la información.
8.17 12.4.4 Igual Sincronización de relojes Los relojes de los sistemas de procesamiento de información utilizados
por la organización deben sincronizarse con las fuentes de tiempo
aprobadas.
8.18 9.4.4 Igual Uso de programas utilitarios privilegiados El uso de programas utilitarios capaces de anular los controles del
sistema y de las aplicaciones debe estar restringido y controlado de
forma estricta.
8.19 12.5.1 Fusionado Instalación de software en sistemas Deben implementarse procedimientos y medidas para administrar de
12.6.2 operativos forma segura la instalación de software en sistemas operativos.
8.20 13.1.1 Cambio Seguridad de las redes Las redes y los dispositivos de red deben estar protegidos, gestionados y
nombre controlados para proteger la información de los sistemas y las
aplicaciones.
8.21 13.1.2 Igual Seguridad de los servicios de red Deben identificarse, implementarse y supervisarse los mecanismos de
seguridad, los niveles de servicio y los requisitos de servicio de los
servicios de red.
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.22 13.1.3 Cambio Segregación de las redes Los grupos de servicios de información, usuarios y sistemas de
nombre información deben separarse en las redes de la organización.
8.23 N/A NUEVO Filtrado web El acceso a sitios web externos debe gestionarse para reducir la
exposición a contenido malintencionado.
8.24 10.1.1 Fusionado Uso de criptografía Se deben definir e implementar reglas para el uso efectivo de la
10.1.2 criptografía, incluida la administración de claves cifradas.
8.25 14.2.1 Cambio Ciclo de vida de desarrollo seguro Deben establecerse y aplicarse normas para el desarrollo seguro de
nombre software y sistemas.
8.26 14.1.2 Fusionado Requisitos de seguridad en aplicaciones Los requisitos de SEGURIDAD DE LA INFORMACIÓN deben ser
14.1.3 identificados, especificados y aprobados al desarrollar o adquirir
aplicaciones.
8.27 14.2.5 Cambio Arquitectura de sistemas seguros y Los principios para la ingeniería de sistemas seguros deben
nombre principios de ingeniería segura establecerse, documentarse, mantenerse y aplicarse a cualquier
actividad de desarrollo de sistemas de información.
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.28 N/A NUEVO Codificación segura Los principios de codificación segura se deben aplicar al desarrollo del
software.
8.29 14.2.8 Fusionado Pruebas de seguridad y de aceptación en Los procesos de pruebas de seguridad deben definirse e implementarse
14.2.9 el desarrollo en el ciclo de vida del desarrollo.
8.30 14.2.7 Igual Desarrollo tercerizado La organización debe controlar, monitorear y revisar las actividades
relacionadas con el desarrollo de sistemas tercerizados.
8.31 12.1.4 Fusionado Separación de los entornos de desarrollo, Los entornos de desarrollo, prueba y producción deben estar separados
14.2.6 pruebas y producción y protegidos.
8.32 12.1.2 Fusionado Gestión de cambios Los cambios en las instalaciones de procesamiento de la información y
14.2.2 en los sistemas de información deben estar sujetos a procedimientos de
14.2.3 gestión del cambio.
14.2.4
8.33 14.3.1 Cambio Información para las pruebas La información para las pruebas debe seleccionarse, protegerse y
nombre gestionarse adecuadamente.
8.34 12.7.1 Cambio Protección de los sistemas de información Las pruebas de auditoría y otras actividades de garantía que impliquen
nombre durante las pruebas de auditoría la evaluación de los sistemas operativos deben planificarse y acordarse
entre el encargado de las pruebas y la dirección correspondiente.
Recordando los controles nuevos
Clasificación CONTROL ISO/IEC 27002:2022
Control organizacional 5.7 Inteligencia de amenazas.
Control organizacional 5.23 Seguridad de información para el uso de servicios en la nube.
Control organizacional 5.30 Preparación de las TIC´s para la continuidad del negocio.
Control físico 7.4 Seguimiento de la seguridad física.
Control tecnológico 8.9 Gestión de la configuración.
Control tecnológico 8.10 Eliminación de información.
Control tecnológico 8.11 Enmascaramiento de datos.
Control tecnológico 8.12 Prevención de fuga de datos.
Control tecnológico 8.16 Actividades de seguimiento.
Control tecnológico 8.23 Filtrado Web.
Control tecnológico 8.28 Codificación segura.
Control que se dividió
18 meses
A partir de
posterior a Tres años a
2023
la partir de
Fecha
publicación octubre 25
exacta
de la nueva de 2022
desconocida
versión
Por confirmar
Referencias