Nueva versión

ISO/IEC 27001:2022

| Indira Liliana Ortiz Salas – Abril -2023

© SGS Group Management SA – 2020 – All Rights Reserved –
SGS is a registered trademark of SGS Group Management SA
 Contenido

▪ ISO/IEC 27001:2022 tercera edición

▪ ISO/IEC 27001:2022 una norma armonizada
Ciberseguridad y protección de la privacidad
incluidas
▪ Lo nuevo en ISO/IEC 27001:2022
▪ Período de transición

© SGS Group Management SA – 2020 – All Rights Reserved –

SGS is a registered trademark of SGS Group Management SA
ISO 27001:2022 Tercera edición
ISO/IEC 27001:2013
ISO/IEC 27001:2013/Cor 1:2014
ISO/IEC 27001:2013/Cor 2:2015
Tercera edición
ISO/IEC 27001:2022
Anexo A - 4 Temas:
Controles organizacionales
Controles de personas
Controles físicos
Controles tecnológicos
+
Atributos
ISO 27001:2022 una norma armonizada

2013 2022

Estándar Estándar
Internacional Internacional
Estructura ISO/IEC 27001
Estructura
ISO/IEC 27001
de alto nivel :2013 armonizada :2022
(HLS) (HS)

SL.2.7 se refiere al enfoque armonizado

SL.5.5 HLS "Grupo de Coordinación
para la metodología MSS aplicada al
Técnica Conjunta sobre MSS", que se
desarrollo de MSS (SL.2.2), incluyendo
refiere a la estructura de alto nivel (HLS),
el estudio de justificación, números de
títulos de sub cláusulas idénticos, texto
cláusulas idénticos, títulos de cláusulas,
idéntico y términos comunes y
texto, términos comunes y definiciones
definiciones fundamentales.
fundamentales iguales.
ISO/IEC 27001:2022 Ciberseguridad y la protección de la privacidad
incluidas

ISO/IEC 27001:2022

Ciberseguridad Protección de
ISO la privacidad
27032:2012 ISO
ISO 27701:2019
27110:2021

Normatividad en materia de protección

de datos en Colombia
Europa
+ UK
• Ley 1266 de 2008 Habeas data
Reglamento
• Ley 1581 de 2012 Protección datos General de
personales Protección de
• Ley 2157 de 2021 modifica y Datos
adicional la Ley 1266 de 2008
Responsabilidad demostrada frente al
tratamiento de datos
ISO/IEC 27001:2022
4 Contexto de la Organización:
4.1 Comprender la organización y su contexto
4.2 Comprender las necesidades y expectativas de las partes interesadas
4.3 Determinar el alcance del SGSI 8 Operación
4.4 SGSI 8.1 Planificación y Control operacional
8.2 Evaluación de riesgos de la SI
5 Liderazgo 8.3 Tratamiento de riesgos de la SI
5.1 Liderazgo y compromiso
5.2 Política de SI Anexo A Controles
5.3 Roles, responsabilidades y autoridades

6 Planificación
6.1 Acciones para abordar los riesgos y oportunidades
6.2 Objetivos de SI y planificación para lograrlos
6,3 Planificación de Cambios

7 Apoyo
7.1 Recursos
7.2 Competencias
7.3 Conocimiento
7.4 Comunicación
7.5 Información documentada

10 Mejora 9 Evaluación de desempeño

10.1 Mejora continua 9.1 Seguimiento, medición, análisis y evaluación
10.2 No conformidades y acciones correctivas 9.2 Auditorías internas
9.3 Revisión por la dirección
Lo nuevo en ISO/IEC 27001:2022
ISO/IEC
27001:2013
Nombre
Tecnología de la información,
técnicas de seguridad,
sistemas de gestión de la
seguridad de la información
ISO/IEC
27001:2022
Seguridad de la información,
ciberseguridad y protección
de la privacidad. Sistemas de
gestión de la seguridad de la
información
Lo nuevo en ISO/IEC 27001:2022
Cláusula ISO/IEC 27001:2013
4
a)Las partes interesadas que
son relevantes para el SGSI
b)Los requisitos relevantes de
estas partes interesadas;
Requisito
4.2
La organización debe
establecer, implementar,
mantener y mejorar
Requisito
continuamente un SGSI de
4.4
acuerdo con los requisitos de
esta norma.
ISO/IEC 27001:2022
c) Cuáles de estos requisitos
serán tratados a través del
SGSI
La organización debe
establecer, implementar,
mantener y mejorar
continuamente un SGSI de la
información, incluyendo los
procesos necesarios y sus
interacciones, de acuerdo
con los requisitos de esta
norma.
 Lo nuevo en ISO/IEC 27001:2022 Requisitos:
Cumplimiento
normatividad en
protección datos
Cláusula Requisito
4 4.2 Cumplimiento
contratos con
empresa Z

Call Center W
Empresa Z Contrato
certificada en
(Responsable del comercial
ISO/IEC
tratamiento)
Requisitos: 27001:2013
Cumplimiento
normatividad en
protección datos Activo de información

Cumplimiento Contrato
contratos con Transmisión
empresa W Base de Base de
datos datos datos
clientes personales clientes
empresa Z empresa Z
Lo nuevo en ISO/IEC 27001:2022

Cláusula
5
ISO/IEC ISO/IEC
27001:2013 27001:2022
La alta dirección debe La alta dirección debe
asegurarse que se asignen, asegurar que las
Requisito comuniquen las responsabilidades y
5.3 responsabilidades y autoridades para los roles
autoridades relevantes para la seguridad
de la información sean
asignados y comunicados
dentro de la organización.
Lo nuevo en ISO/IEC 27001:2022

Cláusula
ISO/IEC ISO/IEC
6 27001:2013 27001:2022
La organización debe establecer
objetivos de seguridad de la
información en las funciones y
Requisito • Once literales (a – k) niveles pertinentes. Los objetivos de
6.2 seguridad de la información deben:
Se adiciona un literal más, para un
total de 12 (a – l)
d) Ser monitoreados

Requisito
6.3 Cuando la organización determina
la necesidad de cambios para el
SGSI, los cambios deben ser
realizados de forma planificada.
 ASPECTOS
IMPORTANTES A
CONSIDERAR EN LA
GESTIÓN DE
RIESGOS EN SGSI
 Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos

Ley 1581 de 2012

Artículo 23

¿Se logran identificar

riesgos a partir de
este artículo?

En caso de identificar
alguno, ¿el riesgo para
Quién es?
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos

Decreto 1074 se 2015

Capítulo 25
Reglamenta parcialmente
la Ley 1581 de 2012
 Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos

Reglamento
General
de Protección
de
Datos (RGPD)

Considerando 75
 Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos

ISO/IEC
27005:2022
 Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos

Reglamento
General
De Protección de
Datos (RGPD)

Artículo 24
 Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos Legalidad en materia de tratamiento de datos

Finalidad

Libertad

Ley 1581 de 2012 Veracidad o calidad

Artículo 4 Principios rectores Transparencia

Acceso y circulación restringida

Seguridad

Confidencialidad
 Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos

Reglamento
General
de Protección
de
Datos (RGPD)

Artículo 32
 Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos

NTC ISO/IEC
27701:2020
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
Lo nuevo en ISO/IEC 27001:2022 – Una nueva visión de evaluación de
riesgos
 Lo nuevo en ISO/IEC 27001:2022

Cláusula
7 ISO/IEC 27001:2013 ISO/IEC 27001:2022

Se debe determinar la La organización debe

necesidad de las
Requisito
7.4 comunicaciones externas e
internas, que incluyan:
a.El contenido de la
comunicación
b.Cuándo comunicar.
c. A quién comunicar.
d.Los procesos para llevar a
cabo la comunicación.
e.Quién debe comunicar.
determinar la necesidad de
las comunicaciones externas
e internas relevantes para el
SGSI de la información,
incluyendo:
a.Sobre qué comunicar;
b.Cuándo comunicar;
c. A quién comunicar;
d.Cómo comunicar.

Eliminado
Lo nuevo en ISO/IEC 27001:2022

Cláusula
7 Sobre qué Cuándo A quién Cómo comunicar
comunicar comunicar comunicar
Política de Una vez se Partes interesadas Sitio web
seguridad de la encuentre internas y externa Intranet
Requisito información aprobada por la Correo electrónico
7.4 alta dirección y/o la Carteleras
junta directiva Otros
Incidente de Durante los Superintendencia A través de la
seguridad de la siguientes 15 días de Industria y plataforma del
información que hábiles posterior al Comercio RNBD
involucre datos conocimiento del
personales incidente
 Lo nuevo en ISO/IEC 27001:2022
ISO/IEC 27001:2013 ISO/IEC 27001:2022
Cláusula
8 Se debe implementar planes para La organización debe planificar,
lograr los objetivos del SGSI, implementar y controlar los
definidos en 6.2 procesos necesarios para cumplir
los requisitos e implementar las
8.1 acciones determinadas en la
cláusula 6, para:
• Establecer criterios para los
procesos;
• Implementar controles a los
procesos de acuerdo con los
criterios.
La organización debe asegurar que
los procesos contratados
externamente, así como los
productos o servicios que son
relevantes para el SGSI de la
información estén controlados.
Eliminado
Lo nuevo en ISO/IEC 27001:2022

Cláusula
9
ISO/IEC 27001:2013 ISO/IEC 27001:2022

La organización debe evaluar el

9.1 desempeño de la seguridad de la
información y la efectividad del
SGSI de la información.
Lo nuevo en ISO/IEC 27001:2022
ISO/IEC 27001:2013 ISO/IEC 27001:2022
Cláusula
Se aplica una subdivisión a partir de
9
lo que define la estructura
harmonizada
9.2 Auditoría interna 9.2 Auditoría interna
9.2 9.2.1 Generalidades
9.2.2 Programa de auditoría interna

9.3 Revisión por la dirección 9.3 Revisión por la dirección

9.3.1 Generalidades
9.3
9.3.2 Entradas para la revisión por
la dirección
c) Cambios en las necesidades y
expectativas de las partes
interesadas que son relevantes
para el SGSI
9.3.3 Resultados de la revisión por
la dirección.
Lo nuevo en ISO/IEC 27001:2022

Cláusula
10

ISO/IEC 27001:2013 ISO/IEC 27001:2022

Cambios a partir de la estructura

10.1 10.1 No conformidades y acciones harmonizada
correctivas 10.1 Mejora continua

10.2 10.2 Mejora continua 10.2 No conformidades y acciones

correctivas
ANEXO A – Resumen de los cambios

ISO/IEC 27002:2013 ISO/IEC 27002:2022

14 Dominios 4 Temas

35 Objetivos de control No incluye objetivos de control

114 Controles 93 Controles + ATRIBUTOS

58 Controles actualizados

23 Controles unión-fusión

11 Controles nuevos

1 Control eliminado
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)

93 controles de carácter normativo agrupados en 4 cláusulas

No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
NUEVO 27002:2022
Lo nuevo en ISO/IEC 27002:2022
En lugar de las 14 secciones de la versión anterior, ISO 27002:2022 ahora tiene sólo cuatro secciones y dos anexos:

a) Controles organizacionales (cláusula 5): Esta sección contiene todos los controles relacionados con varios
temas organizacionales, comprendiendo 37 controles.
b) Controles de personas (cláusula 6): Esta sección se centra en los controles relacionados con la seguridad de
los recursos humanos, que comprende 8 controles (si se refiere a personas individuales).
c) Controles físicos (cláusula 7): Esta sección se centra en los controles relacionados con el entorno físico, que
comprende 14 controles (si se trata de objetos físicos).
d) Controles tecnológicos (cláusula 8): Esta sección se centra en los controles relacionados con las soluciones
tecnológicas, que comprende 34 controles (si se trata de tecnología).

➢Anexo A: uso de atributos: este anexo informativo proporciona una matriz de todos los controles nuevos,
compara sus atributos y brinda sugerencias sobre cómo se pueden usar los controles, de acuerdo con sus
atributos.

➢Anexo B – Correspondencia con ISO/IEC 27002:2013: Este anexo informativo proporciona un mapeo entre los
controles de esta versión y los controles de la edición anterior de 2013.

El número reducido de secciones y la adición de un anexo con orientación sobre cómo usar los controles, facilita la
comprensión de la aplicabilidad de los controles y la designación de responsabilidades.
4.2 Temas y atributos

La categorización de los controles, dada en cláusulas 5 al 8, se denominan temas

Los controles se clasifican como :

a) Personas, si se refiere a personas individuales;
b) Físicos, si se trata de objetos físicos;
c) Tecnológicos si se treta de tecnología;
d) En casos contrarios se categorizan como Organizacionales.
Atributos
#Preventivo #Detectivo #Correctivo

#Confidencialidad #Integridad
#Disponibilidad

#Identificar #Proteger #Detectar

#Responder #Recuperar

#Gobernanza #Gestión de activos

#Protección_de_información ...

#Gobernanza_y_Ecosistema
#Protección #Defensa #Resiliencia
4.2 Temas y atributos
La organización puede usar atributos
para crear diferentes vistas que son
diferentes categorizaciones de controles,
vistos desde una perspectiva diferente a
los temas.
Los atributos se pueden usar para filtrar,
ordenar o presentar controles en
diferentes vistas para diferentes
audiencias.
Cada control en el documento se ha
asociado con cinco atributos con los
valores de atributos correspondientes,
precedido por “#” para que se puedan
buscar.
Preventivo: el control que tiene como
Objetivo prevenir la ocurrencia de un
Incidente de “SI”.
a) Tipo de control
Atributo para ver los controles
desde la perspectiva de
cuándo y cómo el control Detectivo: el control actúa cuando
modifica el riesgo, con ocurre un Incidente de “SI”.
respecto a la ocurrencia de un
incidente de seguridad de la
información “SI”.
Correctivo: el control actúa después
de que ocurre un Incidente de “SI”.
4.2 Temas y atributos (continuación)

b) Propiedades de “SI” c) Conceptos de ciberseguridad Identificar

Son un atributo para ver los Es un atributo para ver los
controles desde la perspectiva Confidencialidad controles desde la perspectiva de Proteger
de qué característica de la la asociación de controles, a los
información, el control Integridad y conceptos de ciberseguridad
descritos en el marco de la
Detectar
contribuirá a preservar.
ISO/IEC TS 27110.
Disponibilidad Responder y
Los valores de los atributos
consisten en: Los valores de los atributos
consisten en: Recuperar
4.2 Temas y atributos (continuación)

✓ Gobernanza
✓ Gestión de activos
✓ Protección de la información
d) Capacidades operativas
✓ Seguridad de recursos humanos
Son un atributo para ver los
✓ Seguridad física
controles desde la perspectiva
✓ Seguridad de sistemas y redes
del profesional de las
✓ Seguridad de aplicaciones
capacidades de “SI”.
✓ Configuración segura
✓ Gestión de Identidad y accesos
Los valores de los atributos
✓ Gestión de amenazas y vulnerabilidad
consisten en:
✓ Continuidad
✓ Relaciones con proveedores y seguridad
✓ Seguridad de las relaciones de la información
 4.2 Temas y atributos (continuación)

▪ “Gobierno de seguridad del sistema de información

y gestión de riesgos” y
“Gobernanza y ▪ “Gestión de ciberseguridad del ecosistema”
ecosistema” (incluidas las partes interesadas, internas y
e) Dominios de seguridad externas).
Son un atributo para ver los ▪ “Arquitectura de seguridad de TI”
controles desde la perspectiva de ▪ “Administración de seguridad de TI”
cuatro dominios de “SI”. “Protección” ▪ “Gestión de acceso e identidad”
▪ “Mantenimiento de seguridad de TI” y
▪ “Seguridad física y ambiental”
Los valores de los atributos
consisten en: ▪ “Detección” y
“Defensa” ▪ “Gestión de incidentes de seguridad informática”

▪ “Continuidad de operaciones” y
“Resiliencia”
▪ “Gestión de crisis”
Resumen: atributos de los controles
Propiedades de Conceptos de Capacidades Dominios de
Tipo de control seguridad de la ciberseguridad operativas seguridad
información
Gobernanza

Gestión de activos
Identificar
Protección de información

Seguridad de recursos Gobernanza y

Preventivo Confidencialidad Proteger humanos ecosistema
Seguridad física

Seguridad de sistemas y
redes Protección
Detectivo Integridad Detectar
Seguridad de aplicaciones

Configuración segura

Gestión de identidad y Defensa

accesos
Correctivo Disponibilidad Responder
Gestión de amenazas
y vulnerabilidad
Resiliencia
Continuidad
Recuperar Relaciones proveedores y
seguridad

Seguridad de relaciones
de la información
4.3 Diseño de controles

El diseño de cada control contiene lo siguiente:

Título del control Nombre corto del control

Tabla de atributos Una tabla muestra el valor (s) de cada atributo para el control dado
Control Cuál es el control (descripción del control)
Propósito Por qué se debe implementar el control
Guía Cómo se debe implementar el control
Otra información Texto explicativo o referencias a otros documentos relacionados
5. Controles organizacionales
5.1 Políticas de seguridad de la información
Propiedades de
Concepto de Capacidades Dominios de
Tipo de control seguridad de la
ciberseguridad operacionales seguridad
información
# Confidencialidad # Gobernanza y
# Preventivo # Integridad # Identificar # Gobernanza ecosistemas
# Disponibilidad # Resiliencia
Control
La política de seguridad de la información y las políticas específicas del tema deben definirse, aprobarse por la gerencia,
publicarse, comunicarse y ser reconocidas por el personal relevante y las partes interesadas relevantes, y revisarse a
intervalos planificados y si ocurren cambios significativos.
Propósito
Garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la
información, de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.
Guía
Al más alto nivel, la organización debe definir una "política de seguridad de la información" que sea aprobada por la alta
dirección y que establezca el enfoque de la organización para gestionar su seguridad de la información.
La política de seguridad de la información debe tener en cuenta los requisitos derivados de ……….
Otra información
Las políticas específicas de un tema pueden variar entre organizaciones.
 Comprendiendo el
Anexo A de la norma
ISO/IEC 27001:2022
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)

93 controles de carácter normativo agrupados en 4 cláusulas

No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.1 5.1.1 Fusionado Políticas para la seguridad de la información La política de seguridad de la información y las políticas de temas específicos
5.1.2 deben ser definidas, aprobadas por la dirección, publicadas, comunicadas a y
conocidas por el personal relevante y las partes interesadas pertinentes, y
revisadas a intervalos planificados y si se producen cambios significativo.

5.2 6.1.1 Igual Funciones y responsabilidades en materia de Las funciones y responsabilidades de seguridad de la información se deben
seguridad de la información definir y asignar de acuerdo con las necesidades de la organización.

5.3 6.1.2 Igual Segregación de funciones Las funciones y las áreas de responsabilidad conflictivas deben estar
separadas.
5.4 7.2.1 Igual Responsabilidades de la dirección La administración debe exigirle a todo el personal que aplique la seguridad
de la información de acuerdo con la política de seguridad de la información
establecida, las políticas y los procedimientos específicos de cada tema.

5.5 6.1.3 Igual Contacto con autoridades La organización debe establecer y mantener contacto con las autoridades
pertinentes.
5.6 6.1.4 Igual Contacto con grupos de interés especial La organización debe establecer y mantener contacto con grupos de interés
especial u otros foros de seguridad especializados y asociaciones
profesionales.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.7 N/A NUEVO Inteligencia sobre amenazas La información relativa a las amenazas a la seguridad de la información se
debe recopilar y analizar para producir inteligencia sobre amenazas
5.8 6.1.5 Fusionado Seguridad de la información en la gestión de La seguridad de la información se debe integrar en la gestión de proyectos.
14.1.1 proyectos
5.9 8.1.1 Fusionado Inventario de activos de información y otros Se debe elaborar y mantener un inventario de información y otros activos
8.1.2 activos asociados asociados, incluidos los propietarios.
5.10 8.1.3 Fusionado Uso aceptable de la información y los activos Se deben identificar, documentar y aplicar normas para el uso aceptable y
8.2.3 asociados procedimientos para el manejo de la información y otros activos asociados.
5.11 8.1.4 Igual Devolución de activos El personal y otras partes interesadas, según corresponda, deben devolver
todos los activos de la organización que estén en su poder al cambiar o
terminar su empleo, contrato o acuerdo.

5.12 8.2.1 Igual Clasificación de la información La información se debe clasificar según las necesidades de seguridad de la
información de la organización en función de la confidencialidad, la
integridad, la disponibilidad y los requisitos pertinentes de las partes
interesadas.
5.13 8.2.2 Igual Etiquetado de la información Debe elaborarse y aplicarse un conjunto adecuado de procedimientos para
el etiquetado de la información de conformidad con el plan de clasificación
de la información adoptado por la organización.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.14 13.2.1 Fusionado Transferencia de información Se deben establecer normas, procedimientos o acuerdos de transferencia de
13.2.2 información para todos los tipos de facilidades de transferencia dentro de la
13.2.3 organización y entre la organización y otras partes.
5.15 9.1.1 Fusionado Control de acceso Las reglas para controlar el acceso físico y lógico a la información y otros
9.1.2 activos asociados deben establecerse e implementarse en función de los
requisitos de seguridad de la información y del negocio.
5.16 9.2.1 Cambio Gestión de identidades Se debe gestionar todo el ciclo de vida de las identidades.
nombre
5.17 9.2.4 Fusionado Información de autenticación La asignación y gestión de la información de autenticación debe controlarse
9.4.3 mediante un proceso de gestión, que incluya el asesoramiento del personal
9.3.1 sobre el tratamiento adecuado de la información de autenticación.
5.18 9.2.2 Fusionado Derechos de acceso Los derechos de acceso a la información y a otros activos asociados se deben
9.2.5 proveer, revisar, modificar y eliminar de acuerdo con la política y las reglas
9.2.6 de control de acceso específicas del tema de la organización.
5.19 15.1.1 Cambio Seguridad de la información en las Deben definirse e implementarse procesos y procedimientos para gestionar
nombre relaciones con los proveedores los riesgos de seguridad de la información asociados con el uso de los
productos o servicios del proveedor.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.20 15.1.2 Cambio Abordar la seguridad de la información en Los requisitos de seguridad de la información pertinentes debieran
nombre los acuerdos con los proveedores establecerse y acordarse con cada proveedor en función del tipo de
relación con el proveedor.
5.21 15.1.3 Cambio Gestión de la seguridad de la información Deben definirse y aplicarse procesos y procedimientos para gestionar los
nombre en la cadena de suministro TIC riesgos de seguridad de la información asociados a la cadena de
suministro de productos y servicios de TIC.
5.22 15.2.1 Fusionado Seguimiento, revisión y gestión de cambios La organización debe supervisar, revisar, evaluar y gestionar
5.2.2 de los servicios de los proveedores regularmente los cambios en las prácticas de seguridad de la información
del proveedor y en la prestación de servicios.
5.23 N/A NUEVO Seguridad de la información para el uso de Los procesos de adquisición, uso, gestión y salida de los servicios en la
servicios en la nube nube deben establecerse de acuerdo con los requisitos de seguridad de
la información de la organización.
5.24 16.1.1 Cambio Planificación y preparación de la gestión La organización debe planificar y prepararse para gestionar los incidentes
nombre de incidentes de la seguridad de la de seguridad de la información definiendo, estableciendo y comunicando
información los procesos, funciones y responsabilidades de gestión de incidentes de
seguridad de la información.
5.25 16.1.4 Cambio Evaluación y decisión sobre eventos de La organización debe evaluar los eventos de seguridad de la información
nombre seguridad de la información y decidir si se deben clasificar como incidentes de seguridad de la
información.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.26 14.1.2 Fusionado Respuesta a incidentes de seguridad de la Los incidentes de seguridad de la información deben responderse en
14.1.3 información conformidad con los procedimientos documentados.
16.1.5
5.27 16.1.6 Igual Aprendizaje de los incidentes de seguridad Los conocimientos obtenidos de los incidentes de seguridad de la
de la información información deben utilizarse para reforzar y mejorar los controles de
seguridad de la información.
5.28 16.1.7 Igual Recopilación de pruebas La organización debe establecer e implementar procedimientos para la
identificación, recolección, adquisición y preservación de pruebas
relacionadas con eventos de seguridad de la información.
5.29 17.1.1 Fusionado seguridad de la información durante una La organización debe planificar cómo mantener la seguridad de la
17.1.2 interrupción información en un nivel adecuado durante la interrupción.
17.1.3
5.30 N/A NUEVO Preparación de las TIC para la continuidad La preparación para las TIC debe planificarse, implementarse, mantenerse
de la actividad y probarse sobre la base de los objetivos de continuidad empresarial y los
requisitos de continuidad de las TIC.
5.31 18.1.1 Fusionado Requisitos legales, reglamentarios y Los requisitos legales, estatutarios, reglamentarios y contractuales
18.1.5 contractuales relevantes para la seguridad de la información y el enfoque de la
organización para cumplir con estos requisitos deben ser identificados,
documentados y actualizados.
Controles organizacionales
5. Controles organizacionales
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
5.32 18.1.2 Igual Derechos de propiedad intelectual La organización debe aplicar los procedimientos apropiados para proteger
los derechos de propiedad intelectual.
5.33 18.1.3 Igual Protección de los registros Los registros deben estar protegidos de pérdidas, destrucción,
falsificación, acceso no autorizado y liberación no autorizada.
5.34 18.1.4 Cambio Privacidad y protección de la IIP La organización debe identificar y cumplir con los requisitos relativos a la
nombre preservación de la privacidad y la protección de la IIP de acuerdo con las
leyes y reglamentos aplicables y los requisitos contractuales.
5.35 18.2.1 Igual Revisión independiente de la seguridad de El enfoque de la organización para gestionar la seguridad de la información
la información y su implementación, incluidas las personas, los procesos y las tecnologías,
debe revisarse de forma independiente a intervalos planificados o cuando
se produzcan cambios significativos.
5.36 18.2.2 Fusionado Cumplimiento de políticas, reglas y normas El cumplimiento de la política de seguridad de la información de la
18.2.3 de seguridad de la información organización, las políticas, las reglas y los estándares específicos de cada
tema deben revisarse periódicamente.
5.37 12.1.1 Igual Procedimientos operativos documentados Los procedimientos operativos para las instalaciones de procesamiento de
la información deben estar documentados y disponibles para el personal
que los necesite.
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)

93 controles de carácter normativo agrupados en 4 cláusulas

No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles de las personas
6 Controles de personas
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
6.1 7.1.1 Igual Selección Las verificaciones de los antecedentes de todos los candidatos a
convertirse en personal deben llevarse a cabo antes de incorporarse a la
organización y de forma continuada, tomando en consideración las leyes,
los reglamentos y la ética aplicables y ser proporcionales a los requisitos
de la empresa, la clasificación de la información a la que se va a acceder
y los riesgos percibidos.
6.2 7.1.2 Igual Condiciones del empleo Los acuerdos contractuales de empleo deben indicar las
responsabilidades del personal y de la organización en materia de
seguridad de la información.
6.3 7.2.2 Igual Sensibilización, educación y formación en El personal de la organización y las partes interesadas pertinentes deben
temas de seguridad de la información recibir una sensibilización, educación y formación adecuadas en materia
de si, así como actualizaciones periódicas de la política de seguridad de
la información de la organización y de las políticas y procedimientos
específicos, según sea pertinente para su función laboral.
6.4 7.2.3 Igual Proceso disciplinario Se debe formalizar y comunicar un proceso disciplinario para tomar
medidas contra el personal y otras partes interesadas pertinentes que
hayan cometido una violación de la política de seguridad de la
información.
Controles de las personas
6 Controles de personas
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
6.5 7.3.1 Cambio Responsabilidades después de la Las responsabilidades y deberes de seguridad de la información que
nombre terminación o cambio de empleo siguen siendo válidos después de la terminación o el cambio de empleo
deben definirse, aplicarse y comunicarse al personal pertinente y a otras
partes interesadas.

6.6 13.2.4 Igual Acuerdos de confidencialidad o no Los acuerdos de confidencialidad o no divulgación que reflejen las
divulgación necesidades de la organización para la protección de la información
deben ser identificados, documentados, revisados y firmados
regularmente por el personal y otras partes interesadas pertinentes.

6.7 6.2.2 Cambio Trabajo remoto Deben implementarse medidas de seguridad cuando el personal trabaja
nombre de forma remota para proteger la información a la que se accede, procesa
o almacena fuera de las instalaciones de la organización.

6.8 16.1.2 Fusionado Informe de eventos de seguridad de la La organización debe proporcionar un mecanismo para que el personal
16.1.3 información informe sobre los eventos de seguridad de la información observados o
sospechosos a través de los canales apropiados de manera oportuna.
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)

93 controles de carácter normativo agrupados en 4 cláusulas

No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles físicos
7 Controles físicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
7.1 11.1.1 Cambio Perímetros de seguridad física Los perímetros de seguridad deben definirse y utilizarse para proteger las
nombre áreas que contienen información y otros activos asociados.
7.2 11.1.2 Fusionado Entrada física Las áreas seguras deben protegerse mediante controles de entrada y
11.1.6 puntos de acceso adecuados.
7.3 11.1.3 Igual Protección de oficinas, salas e instalaciones Se debe diseñar e implementar la seguridad física de las oficinas, salas e
instalaciones
7.4 N/A NUEVO Monitoreo de seguridad física Las instalaciones deben ser vigiladas continuamente para detectar el
acceso físico no autorizado.
7.5 11.1.4 Igual Protección contra amenazas físicas y Debe diseñarse y aplicarse la protección contra las amenazas físicas y
medioambientales ambientales, como los desastres naturales y otras amenazas físicas
intencionales o no intencionales a la infraestructura.
7.6 11.1.5 Igual Trabajo en áreas seguras Deben diseñarse y aplicarse medidas de seguridad para trabajar en zonas
seguras.
7.7 11.2.9 Cambio Escritorio y pantalla limpios Se deben definir y aplicar de forma adecuada reglas para papeles y medios
nombre de almacenamiento extraíbles en los escritorios, así como reglas de
pantalla limpia para las instalaciones de procesamiento de información.
Controles físicos
7 Controles físicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
7.8 11.2.1 Igual Ubicación y protección de los equipos Los equipos deben ubicarse de forma segura y protegidos.
7.9 11.2.6 Cambio Seguridad de los activos fuera de las Los activos fuera de las instalaciones deben estar protegidos.
nombre instalaciones
7.10 8.3.1 Fusionado Medios de almacenamiento Los medios de almacenamiento deben gestionarse a través de su ciclo de
8.3.2 vida de adquisición, uso, transporte y eliminación de acuerdo con el
8.3.3 esquema de clasificación y los requisitos de manipulación de la
11.2.5 organización.
7.11 11.2.2 Igual Servicios públicos de respaldo Las instalaciones de procesamiento de la información deben estar
protegidas contra los cortes de energía y otras interrupciones causadas por
fallas en los servicios públicos de respaldo.
7.12 11.2.3 Igual Seguridad del cableado Los cables que transportan energía, datos o servicios de información de
respaldo deben estar protegidos contra la interceptación, las interferencias
o los daños.
7.13 11.2.4 Igual Mantenimiento de equipos Los equipos deben mantenerse correctamente para garantizar la
disponibilidad, integridad y confidencialidad de la información.
7.14 11.2.7 Igual Eliminación segura o reutilización de Los elementos de los equipos que contienen medios de almacenamiento
equipos deben verificarse para garantizar que los datos confidenciales y el software
con licencia se han eliminado o sobrescrito de forma segura antes de
desecharlos o reutilizarlos.
Lo nuevo en ISO/IEC 27001:2022 – Anexo A (Normativo)

93 controles de carácter normativo agrupados en 4 cláusulas

No Cláusula Controles
5 Controles organizacionales 37
6 Controles de las personas 8
7 Controles físicos 14
8 Controles tecnológicos 34
Total controles 93
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.1 6.2.1 Fusionado Dispositivos finales del usuario La información almacenada, procesada o accesible a través de los
11.2.8 dispositivos de punto final del usuario debe estar protegida.
8.2 9.2.3 Cambio Derechos de acceso privilegiados La asignación y el uso de los derechos de acceso privilegiados deben ser
nombre restringidos y gestionados.
8.3 9.4.1 Igual Restricción de acceso a la información El acceso a la información y a otros activos asociados debe restringirse
de conformidad con la política establecida sobre el control del acceso
relativa a temas específicos.
8.4 9.4.5 Cambio Acceso al código fuente El acceso de lectura y escritura al código fuente, las herramientas de
nombre desarrollo y las bibliotecas de software se deben administrar
adecuadamente.
8.5 9.4.2 Cambio Autenticación segura Las tecnologías y los procedimientos de autenticación segura deben
nombre implementarse en función de las restricciones de acceso a la
información y de la política de control de acceso específica del tema.
8.6 12.1.3 Igual Gestión de la capacidad La utilización de los recursos debe supervisarse y ajustarse de
conformidad con las necesidades de capacidad actuales y previstas.
8.7 12.2.1 Cambio Protección contra malware La protección contra el malware debe implementarse y respaldarse con
nombre el conocimiento adecuado del usuario.
Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.8 12.6.1 Fusionado Gestión de las vulnerabilidades técnicas Se debe obtener información sobre las vulnerabilidades técnicas de los
18.2.3 sistemas de información en uso, se debe evaluar la exposición de la
organización a esas vulnerabilidades y se deben adoptar las medidas
apropiadas.
8.9 N/A NUEVO Gestión de la configuración Las configuraciones, incluidas las configuraciones de seguridad, de
hardware, software, servicios y redes deben establecerse, documentarse,
implementarse, supervisarse y revisarse.
8.10 N/A NUEVO Eliminación de información La información almacenada en sistemas de información, dispositivos o
cualquier otro medio de almacenamiento debe eliminarse cuando ya no
sea necesario.
8.11 N/A NUEVO Enmascaramiento de datos El enmascaramiento de datos debe utilizarse de acuerdo con la política
de la organización sobre el control de acceso y otras políticas específicas
de temas relacionados, así como con los requisitos empresariales,
tomando en consideración la legislación aplicable.
8.12 N/A NUEVO Prevención de fuga de datos Las medidas de prevención de fugas de datos deben aplicarse a los
sistemas, redes y cualquier otro dispositivo que procese, almacene o
transmita información confidencial.
8.13 12.3.1 Igual Copias de seguridad de la información Las copias de seguridad (respaldos) de la información, del software y de
los sistemas deben mantenerse y probarse periódicamente de
conformidad con la política de copia de seguridad específica del tema
acordado.
8.14 17.2.1 Cambio Redundancia de las instalaciones de Las instalaciones de procesamiento de información deben implementarse
nombre tratamiento de información con redundancia suficiente para satisfacer los requisitos de
disponibilidad.
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.15 12.4.1 Fusionado Registros Deben producirse, almacenarse, protegerse y analizarse los registros que
12.4.2 recogen las actividades, las excepciones, las fallas y otros eventos
12.4.3 relevantes.
8.16 N/A NUEVO Actividad de monitoreo Las redes, los sistemas y las aplicaciones deben ser monitoreados para
detectar comportamientos anómalos y tomar las medidas apropiadas
para evaluar posibles incidentes de seguridad de la información.
8.17 12.4.4 Igual Sincronización de relojes Los relojes de los sistemas de procesamiento de información utilizados
por la organización deben sincronizarse con las fuentes de tiempo
aprobadas.
8.18 9.4.4 Igual Uso de programas utilitarios privilegiados El uso de programas utilitarios capaces de anular los controles del
sistema y de las aplicaciones debe estar restringido y controlado de
forma estricta.
8.19 12.5.1 Fusionado Instalación de software en sistemas Deben implementarse procedimientos y medidas para administrar de
12.6.2 operativos forma segura la instalación de software en sistemas operativos.
8.20 13.1.1 Cambio Seguridad de las redes Las redes y los dispositivos de red deben estar protegidos, gestionados y
nombre controlados para proteger la información de los sistemas y las
aplicaciones.
8.21 13.1.2 Igual Seguridad de los servicios de red Deben identificarse, implementarse y supervisarse los mecanismos de
seguridad, los niveles de servicio y los requisitos de servicio de los
servicios de red.
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.22 13.1.3 Cambio Segregación de las redes Los grupos de servicios de información, usuarios y sistemas de
nombre información deben separarse en las redes de la organización.
8.23 N/A NUEVO Filtrado web El acceso a sitios web externos debe gestionarse para reducir la
exposición a contenido malintencionado.
8.24 10.1.1 Fusionado Uso de criptografía Se deben definir e implementar reglas para el uso efectivo de la
10.1.2 criptografía, incluida la administración de claves cifradas.

8.25 14.2.1 Cambio Ciclo de vida de desarrollo seguro Deben establecerse y aplicarse normas para el desarrollo seguro de
nombre software y sistemas.
8.26 14.1.2 Fusionado Requisitos de seguridad en aplicaciones Los requisitos de SEGURIDAD DE LA INFORMACIÓN deben ser
14.1.3 identificados, especificados y aprobados al desarrollar o adquirir
aplicaciones.
8.27 14.2.5 Cambio Arquitectura de sistemas seguros y Los principios para la ingeniería de sistemas seguros deben
nombre principios de ingeniería segura establecerse, documentarse, mantenerse y aplicarse a cualquier
actividad de desarrollo de sistemas de información.
Controles tecnológicos
8 Controles tecnológicos
# vs 2013 Novedad NOMBRE DEL CONTROL CONTROL
8.28 N/A NUEVO Codificación segura Los principios de codificación segura se deben aplicar al desarrollo del
software.
8.29 14.2.8 Fusionado Pruebas de seguridad y de aceptación en Los procesos de pruebas de seguridad deben definirse e implementarse
14.2.9 el desarrollo en el ciclo de vida del desarrollo.
8.30 14.2.7 Igual Desarrollo tercerizado La organización debe controlar, monitorear y revisar las actividades
relacionadas con el desarrollo de sistemas tercerizados.
8.31 12.1.4 Fusionado Separación de los entornos de desarrollo, Los entornos de desarrollo, prueba y producción deben estar separados
14.2.6 pruebas y producción y protegidos.
8.32 12.1.2 Fusionado Gestión de cambios Los cambios en las instalaciones de procesamiento de la información y
14.2.2 en los sistemas de información deben estar sujetos a procedimientos de
14.2.3 gestión del cambio.
14.2.4
8.33 14.3.1 Cambio Información para las pruebas La información para las pruebas debe seleccionarse, protegerse y
nombre gestionarse adecuadamente.
8.34 12.7.1 Cambio Protección de los sistemas de información Las pruebas de auditoría y otras actividades de garantía que impliquen
nombre durante las pruebas de auditoría la evaluación de los sistemas operativos deben planificarse y acordarse
entre el encargado de las pruebas y la dirección correspondiente.
Recordando los controles nuevos
Clasificación CONTROL ISO/IEC 27002:2022
Control organizacional 5.7 Inteligencia de amenazas.
Control organizacional 5.23 Seguridad de información para el uso de servicios en la nube.
Control organizacional 5.30 Preparación de las TIC´s para la continuidad del negocio.
Control físico 7.4 Seguimiento de la seguridad física.
Control tecnológico 8.9 Gestión de la configuración.
Control tecnológico 8.10 Eliminación de información.
Control tecnológico 8.11 Enmascaramiento de datos.
Control tecnológico 8.12 Prevención de fuga de datos.
Control tecnológico 8.16 Actividades de seguimiento.
Control tecnológico 8.23 Filtrado Web.
Control tecnológico 8.28 Codificación segura.
Control que se dividió

Control ISO/IEC 27001:2013 Control ISO/IEC 27001:2022

5.36 Cumplimiento de políticas, normas y
18.2.3 Revisión del cumplimiento estándares de seguridad de la información.
técnico.
8.8 Gestión de vulnerabilidades técnicas.
Control eliminado

Control ISO/IEC 27001:2013

11.2.5 Retiro de activos

Período de transición

18 meses
A partir de
posterior a Tres años a
2023
la partir de
Fecha
publicación octubre 25
exacta
de la nueva de 2022
desconocida
versión

Última fecha para auditorías

Certificación en Certificación en Certificación en
de certificación/ recertificación
ISO/IEC 27001:2022 ISO/IEC 27001:2013 ISO/IEC 27001:2022
en ISO/IEC 27001:2013

Por confirmar
 Referencias

▪ BREWER, David. Introducción a ISO/IEC 27001:2013. BSI. 2013.

▪ CALDER. Alan. Nueve claves para el éxito. IT Gobernance Publishing. 2005.
▪ INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC
27001:2013. Sistemas de gestión de la seguridad de la información. Requisitos.
▪ ISO/IEC 27002:2022. Controles de seguridad de la información.
• Ley 1266 de 2008 Habeas data
• Ley 1581 de 2012 Protección datos personales
• Ley 2157 de 2021 modifica y adicional la Ley 1266 de 2008
 ¿Preguntas?

© SGS Group Management SA – 2020 – All Rights Reserved –

SGS is a registered trademark of SGS Group Management SA