COMPARATIVO DE LA ISO 27001:2013 – ISO 27001:2022
ISO/IEC 27001:2013
 14 Categorías
 35 Objetivos de Control
 114 Controles
ISO/IEC 27001:2013, Sistemas de gestión de
seguridad de la información.
Anexo Objetivos y controles de referencia
Los controles están agrupados en 14
Categorías:
Política de Seguridad de la Información;
Planificación; Apoyo; Evaluación de riesgos;
Gestión de activos; Seguridad de la gestión de
acceso; Adquisición, desarrollo e
implementación; Operación de seguridad de la
información; Revisión de seguridad de la
información; Gestión de incidentes de
seguridad de la información; Mantenimiento;
Evaluación y tratamiento de continuidad del
negocio; Cumplimiento legal y normativo;
Mejora continua.
4.1 Conocimiento de la organización y de su
contexto:
Referencia a la ISO 31000:2009
4.2 Comprensión de las necesidades y
expectativas de las partes interesadas
Deben determinarse:
 Partes interesadas
 Requerimientos relevantes de las
mismas
4.4 Sistema de Gestión de la Seguridad de la
Información:
La organización debe establecer, mantener y
mejorar continuamente un Sistema de Gestión
de la Seguridad de la Información.
6.2 Objetivos de Seguridad de la Información y
Planes para Lograrlos
Los objetivos de seguridad de la información
deben:
a) Ser coherentes con la política de
seguridad de la información;
b) Ser medibles (si es posible);
ISO/IEC 27001:2022
 4 Categorías
 93 Controles
El nombre de la norma ha cambiado y ahora
se titula “ISO/IEC 27001:2022, Seguridad de la
información, ciberseguridad y protección de la
privacidad”.
El nombre del Anexo ha cambiado y se titula
“Referencia de controles de seguridad de la
información”.
En esta versión los controles se agruparon solo
en las siguientes 4 Categorías:
 Controles Organizacionales: 37
 Controles Orientados a las Personas: 8
 Controles Físicos: 14
 Controles Tecnológicos: 34
4.1 Conocimiento de la organización y de su
contexto:
Referencia a la ISO 31000:2018
4.2 Comprensión de las necesidades y
expectativas de las partes interesadas
Deben determinarse:
 Partes interesadas
 Requerimientos relevantes de las
mismas
 Cuáles de esos requerimientos serán
abordados por el SGSI
4.4 Sistema de Gestión de la Seguridad de la
Información:
La organización debe establecer, mantener y
mejorar continuamente un Sistema de Gestión
de la Seguridad de la Información. Incluyendo
los procesos requeridos y sus interacciones.
6.2 Objetivos de Seguridad de la Información y
Planes para Lograrlos
Los objetivos de seguridad de la información
deben:
a) Ser coherentes con la política de
seguridad de la información;
b) Ser medibles (si es posible);
 c) Tener en cuenta los requisitos de la
seguridad de la información
aplicables, y los resultados de la
valoración y del tratamiento de los
riesgos;
d) Ser comunicados; y
e) Ser actualizados según sea apropiado.
f) Lo que se va a hacer;
g) Que recursos se requerirán;
h) Quien será responsable;
i) Cuando se finalizara; y
j) Como se evaluarán los resultados
No contiene la Clausula 6.3
7.4 Comunicación:
a) El contenido de la comunicación;
b) Cuando comunicar;
c) A quien comunicar;
d) Quien debe comunicar; y
e) Los procesos para llevar a cabo la
comunicación
8.1 Planificación y Control Operacional
 La organización debe asegurar que los
procesos contratados externamente
estén controlados.
9.2 Auditoría Interna
La organización debe llevar a cabo auditorias
internas a intervalos planificados, para
proporcionar información acerca de si el
sistema de gestión de la seguridad de la
información…… continua con el texto como se
evidencia en la norma.
9.3 Revisión por la Dirección
La alta dirección debe revisar el sistema de
gestión de la seguridad de la información de la
organización a intervalos planificados, para
asegurarse de su conveniencia, adecuación y
eficacia continua.
La revisión por la dirección debe incluir
c) Tener en cuenta los requisitos de la
seguridad de la información
aplicables, y los resultados de la
valoración y del tratamiento de los
riesgos;
d) Son monitoreados
e) Ser comunicados; y
f) Ser actualizados según sea apropiado.
g) Están disponibles como información
documentada
h) Lo que se va a hacer;
i) Que recursos se requerirán;
j) Quien será responsable;
k) Cuando se finalizara; y
l) Como se evaluarán los resultados
6.3 Planeación del Cambio:
Cuando la organización determine que es
necesario hacer cambios al Sistema de Gestión
de la Seguridad de la Información, dichos
cambios deben ejecutarse de forma planeada.
7.4 Comunicación:
a) Que comunicar;
b) Cuando comunicarlo;
c) Con quien comunicarse;
d) Como comunicar
El Inciso e) sobre procesos de comunicación
fue eliminado.
8.1 Planificación y Control Operacional
La organización debe asegurar que los
procesos contratados externamente y sean
relevantes al Sistema de Gestión de la
Seguridad de la Información, estén
controlados.
9.2 Auditoría Interna
Esta clausula no tiene realmente nada nuevo,
en la versión 2013 era un solo párrafo por
decirlo de esa forma; en esta nueva versión lo
que hicieron fue dividirlo en dos clausulas
para separar mejor los temas; pero el texto
contiene la misma información que la versión
anterior:
9.2.1 Aspectos generales
9.2.2 Programa de auditoría interna
9.3 Revisión por la Dirección
Esta cláusula no tiene realmente nada nuevo,
en la versión 2013 era un solo párrafo por
decirlo de esa forma; en esta nueva versión lo
que hicieron fue dividirlo en 3 clausulas para
separar mejor los temas; pero el texto
contiene la misma información que la versión
consideraciones sobre: …. continua con el
texto como se evidencia en la norma.
10. Mejora
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
anterior:
9.3.1 Consideraciones generales
9.3.2 Entradas al proceso de revisión
9.3.3 Resultados de la revisión
10. Mejora
10.1 Mejora continua
10.2 No conformidades y acciones correctivas
En esta nueva versión contiene la misma
información, lo que hicieron fue cambiar el
orden de las cláusulas.
La versión actualizada también proporciona un
nuevo esquema organizativo para los
controles.
Los controles de seguridad ahora están
ordenados por cinco atributos:
 Tipo de control
 Concepto de ciberseguridad
 Propiedades de seguridad de la
información
 Capacidades operativas
 Dominios de seguridad

Estos nuevos atributos ayudaran a las

empresas a priorizar los controles correctos
para su contexto.

ANEXO A
ISO/IEC 27002:2022
Cambio el título:
 Seguridad de la información, ciberseguridad y protección de la privacidad
 Controles de seguridad de la información

En esta nueva versión ya no se habla de Dominios, sino de Temas

A cada control se le añade 5 atributos:
 Tipo de control
 Propiedades de seguridad de la información
 Concepto de ciberseguridad
 Capacidades operativas
 Dominios de seguridad

La ISO nos provee con estos atributos agrupar los controles de acuerdo con ciertos criterios y nos
permite de esa manera más fácil consultarlos y seleccionar los que sean mas relevantes para
nuestra empresa.
Atributo 1: Tipo de control
 Preventivo: Lo utilizamos para evitar o prevenir que nos puedan hacer un determinado
ataque o una determinada vulnerabilidad.
 Detectivo: Nos sirven para tenerlos como una alarma, para detectar si nos están haciendo
 algún tipo de violación a la seguridad.
 Correctivo: Se emplean cuando ocurrió el evento de seguridad, por lo tanto, en ese caso
ya tenemos que reaccionar y corregir la situación.

Atributo 2: Propiedades de seguridad de la información

 Confidencialidad
 Integridad
 Disponibilidad

Atributo 3: Concepto de ciberseguridad

Relacionan los controles de la ISO con las actividades que debe hacer cualquier experto de
ciberseguridad que nos dice el NIST es decir:
 Identificar: Que queremos proteger y de quien
 Proteger: Establecer los controles como tal
 Detectar: Mirar como detectar y estar atentos a eventos que puedan ocurrir.
 Responder: Mitigar el efecto que pueda tener el evento de seguridad o el incidente que
estamos tratando
 Recuperarse: Regresar el sistema en un estado operativo y corregir los problemas que
nos pudieron llevar a que tuviéramos en primer lugar el incidente.

Atributo 4: Capacidades operativas

Se corresponden a los antiguos dominios de la versión 2013 de la norma
 Gobernanza
 Gestión de activos
 Protección de la información
 Seguridad en el recurso humano
 Seguridad física
 Seguridad del sistema y la red
 Seguridad de las aplicaciones
 Configuración segura
 Gestión de identidad y acceso (IAM)
 Gestión de amenazas y vulnerabilidades
 Continuidad
 Seguridad en las relaciones con proveedores
 Cumplimiento y asuntos legales
 Gestión de eventos de seguridad de la información
 Aseguramiento de la seguridad de la información

Atributo 5: Dominios de seguridad

 Gobernanza y ecosistema
 Protección
 Defensa
 Resiliencia

¿Qué contiene los controles?

En esta nueva versión se anexo la parte del propósito.
 Nombre
 Propósito: Un propósito para cada control, para que estoy aplicando o como podría
aplicar un determinado control en cierto momento.
 Orientaciones
  Información adicional
Anexo A:
 Matriz de controles y atributos
 Metodología de uso

Anexo B:
 Correspondencia de ISO 27002:2022 con ISO 27002:2013 en ambos sentidos

Controles nuevos
Organizacionales:
 5.7 inteligencia de amenazas
 5.23 Sistema de información para uso de servicios de nube
 5.30 Preparación de las TIC para continuidad de negocio

Físicos:
 7.4 Vigilancia de la seguridad física

Tecnológicos:
 8.9 Gestión de la configuración
 8.10 Borrado de la información
 8.11 Enmascaramiento de datos
 8.12 Prevención de fugas de datos
 8.16 Actividades de monitoreo
 8.23 Filtrado web
 8.28 Codificación segura

Conclusiones:
ISO 27001
 No sufrió mayor modificación, realmente hicieron una serie de Clarificaciones

ISO 27002
 Reagrupamiento
 Búsqueda por atributos
 Inclusión de nuevas tendencias
 Actualización de vocabulario

La reducción en la cantidad de controles se debe a la reorganización y fusión de algunos de los

mismos. En la ISO 27001:2022 se presentan 11 nuevos controles de seguridad que atienden las
necesidades de protección para las tendencias y nuevos enfoques de ciberseguridad

NUEVOS CONTROLES - ANEXO A

 5. CONTROLES ORGANIZATIVOS
5.7 Inteligencia sobre amenazas
5.23 Seguridad de la información para el uso
de servicios en la nube
5.30 Preparación de las TIC para la continuidad
de la actividad
7. CONTROLES FÍSICOS
7.4 Vigilancia de la seguridad física
8. CONTROLES TECNOLÓGICOS
8.9 Gestión de la configuración
8.10 Borrado de información
8.11 Enmascaramiento de datos
8.12 Prevención de fugas de datos
DESCRIPCIÓN
Un control nuevo que requiere que las
organizaciones recopilen información sobre las
amenazas a la seguridad de la información y que
la analicen para producir inteligencia sobre
amenazas. Las organizaciones considerarán de
dónde recopilarán la información y cómo
determinarán que es relevante para sus
necesidades.
Se trata de un nuevo control que exige que las
organizaciones dispongan de procesos para
garantizar que han especificado, gestionado y
administrado los conceptos de seguridad en
relación con los servicios en la nube. También
debe tener en cuenta las cuestiones de
seguridad a la hora de planificar su salida de los
servicios en la nube.
Este control requiere que identifique los
requisitos de continuidad de las TIC en una
situación de continuidad empresarial. Se espera
que muestre pruebas objetivas de que la
preparación de las TIC se ha integrado en su
plan de continuidad de la actividad, incluyendo
pruebas.
DESCRIPCIÓN
Aunque los controles de seguridad física no son
un concepto nuevo, la norma introduce ahora el
requisito de vigilar sus instalaciones de forma
continua (dentro y fuera del horario laboral)
para detectar accesos físicos no autorizados.
DESCRIPCIÓN
La gestión de la configuración de redes y
sistemas debe establecerse, aplicarse,
supervisarse y revisarse ahora. Esto incluirá la
identificación de las amenazas, debilidades y
vulnerabilidades de las configuraciones de
seguridad.
Este control exige que la información que ya no
sea necesaria se elimine de forma segura
cuando esté obsoleta o ya no sea necesaria.
Un nuevo requisito que obliga a proteger los
datos sensibles mediante técnicas más allá de
los controles y protocolos de seguridad
habituales de una organización. La información
que debe enmascararse puede deberse a un
requisito legal, estatutario, contractual o
reglamentario.
Este nuevo control exige que se apliquen
medidas de prevención de la fuga de datos para
evitar/detectar el acceso, transferencia o
extracción no autorizados.

8.16 Actividades de monitoreo
8.23 Filtrado web
8.28 Codificación segura
NUEVOS CONTROLES - ANEXO A
5. CONTROLES ORGANIZATIVOS
5.7 Inteligencia sobre amenazas
5.23 Seguridad de la información para el uso resto de servicios prestados por terceros.
de servicios en la nube
5.30 Preparación de las TIC para la continuidad sistemática para garantizar la continuidad TIC.
de la actividad
7. CONTROLES FÍSICOS
7.4 Vigilancia de la seguridad física
8. CONTROLES TECNOLÓGICOS
8.9 Gestión de la configuración
8.10 Borrado de información
8.11 Enmascaramiento de datos
Este control es una ampliación de la "ISO
27001:2013 A.12.4 Registro y supervisión". En
esta última edición, se exige a las organizaciones
que supervisen las redes y los sistemas en busca
de comportamientos anómalos, habiendo
comprendido cómo es el comportamiento
"normal". También existe el requisito de
mostrar cómo se reacciona ante posibles
incidentes de seguridad.
Se trata de un nuevo control con el que se
pretende bloquear el acceso de los usuarios a
sitios web externos que puedan contener
contenidos maliciosos o que no se ajusten a las
políticas de la organización.
Se exige a las organizaciones que garanticen que
los principios de codificación segura se han
diseñado, implantado y se están siguiendo a lo
largo de todo el ciclo de vida del desarrollo.
DESCRIPCIÓN
Deberemos analizar información sobre las
amenazas aplicables, tanto de carácter
estratégico, táctico y operacional.
Diferenciaremos entre servicios en la nube, del
Definiendo procedimientos para su selección,
gestión y fin de uso.
Ahora debemos establecer e implementar una
Diferenciándola de la continuidad de negocio,
que ya era requisito.
DESCRIPCIÓN
Implantar sistemas de control de accesos físicos,
para identificar accesos no permitidos a las
instalaciones.
DESCRIPCIÓN
Aplicar medidas para la correcta configuración
de los activos, y asegurar que se realizan
cambios no deseados en dicha configuración.
Deberemos determinar en cada caso, el tiempo
de conservación de la información. Sobre todo,
aquella de carácter personal, que tiene
regulación legal detrás.
Debemos estar preparados a una publicación no
controlada de la información, y aplicar medidas
que protejan dichos datos en caso de un
incidente.
Debemos implementar controles y herramientas

8.12 Prevención de fugas de datos
8.16 Actividades de monitoreo
8.23 Filtrado web
8.28 Codificación segura
Buscar el como se aplica de cada uno de los controles nuevos, sus objetivos.
que nos ayuden a detectar fugas de
información, sobre todo por parte de los
empleados y otros usuarios (Data Lost
Prevention).
Monitorizar las actividades y sistemas de
información, para identificar resultados atípicos
que sean la antesala de un incidente de
seguridad (Sistemas "Security Information and
Event Management - SIEM").
Aplicar restricciones en el uso de internet de los
usuarios de la organización, para controlar su
navegación y el acceso a fuentes maliciosas.
Debemos implementar metodologías de
desarrollo seguro en los departamentos
técnicos de la organización, siguiendo las
directrices de la "Política de desarrollo seguro".