Requisitos para la transición ISO/IEC 27001:2022

El 09 de agosto del 2022 el Fórum Internacional de Acreditación (IAF) ha publicado el documento IAF MD 26:2022(1) dónde se detallan los requisitos a seguir para la transición a ISO/IEC 27001:2022.

En el momento de esta publicación, ya se ha aprobado el borrador de la ISO/IEC 27001:2022 y está pendiente de su publicación. Se ha establecido el período de transición en 3 años tras su publicación.

Nuevo Anexo A con los controles de la ISO/IEC 27002:2022. Comparando con la versión anterior:

• Disminuye el número de controles de 114 y 14 cláusulas a 93 controles y 4 cláusulas.
• Hay 11 controles nuevos.
• 24 controles se han integrado a otros controles ya existentes
• Se han actualizado 58 controles
• La estructura de los controles se ha revisado, incluyendo como novedad el “atributo” y “propósito” en todos los controles y en algunos controles se ha eliminado el “objetivo”.

Las notas de la Clausula 6.1.3 c) se han revisado, eliminando el objetivo de control y reemplazando “control” por “control de seguridad de la información”.

La descripción de la Clausula 6.1.3 d) se ha reorganizado para eliminar ambigüedades potenciales.

El impacto de los cambios, cambios, tras los requisitos para la transición ISO/IEC 27001:2022, se centra en la introducción del nuevo Anexo A.

Los requisitos de la ISO/IEC 27001 que utilizan los controles de referencia del Anexo A, son el proceso de comparación entre los controles de seguridad de la información establecidos por la organización, los del Anexo A (6.1.3 c) y la Declaración de Aplicabilidad (6.1.3.d). Comparando los controles de seguridad de la información con los del Anexo A, la organización puede comprobar si hay algún control del Anexo A que haya pasado inadvertido.

Puede resultar de esta comparación que no aparezca ningún control inadvertido. Sin embargo, en caso de que se identifiquen controles inadvertidos, la organización debe actualizar el plan de tratamiento de riesgos, añadir el control de seguridad e implementarlo.

De lo anterior se puede deducir que el impacto de la ISO/IEC 27001:2022 en las organizaciones que tienen implementado un SGSI no debe ser significante.

Las EC deben establecer los acuerdos para la transición a ISO/IEC 27001:2022 tomando en consideración los requerimientos del documento IAF MD 26:2022(1).

El acuerdo de transición debe incluir las obligaciones de las EC y las de los clientes. Las EC pueden disponer de varios documentos separados para abordar el acuerdo de transición.

El acuerdo de transición debe incluir como mínimo las siguientes consideraciones:

• Los cambios en ISO/IEC 27001 y análisis de brechas de seguridad.
• La necesidad de modificar el proceso de certificación, los documentos, así como los sistemas de TI para gestionar las actividades de certificación, si corresponde.
• El personal relevante debe tener competencias en ISO/IEC 2007:2022.
• El equipo auditor, en su totalidad, debe conocer los controles de la ISO/IEC 27002:2022 y su implementación (ver ISO/IEC 27006:2015, 7.1.2.1.3 b)
• El programa de auditoría de la transición.
• El programa de transición debe indicar el período de comunicación con los clientes, incluyendo la cronología, el período para realizar la auditoría de transición y las consecuencias en caso de que el cliente falle antes de la fecha de vencimiento del período de transición.

Se anima a las EC a planificar y comenzar con las acciones requeridas lo antes posible.

Las EC pueden realizar la auditoria de transición al mismo tiempo que la auditoria de control, la auditoría de recertificación o por separado.

La auditoría de transición no solo se basará en la revisión de documentos, especialmente en la revisión de controles tecnológicos.

La auditoría de transición debe incluir, entre otros, lo siguiente:

• Análisis de brechas de seguridad de ISO/IEC 27001:2022, y la necesidad de cambios en el SGSI del cliente.
• La actualización de la declaración de aplicabilidad (SOA).
• Si aplica, la actualización del plan de tratamiento de riesgos.
• La implementación y la efectividad de los nuevos controles y las modificaciones introducidas por los clientes.

La EC puede realizar la auditoría de transición en remoto si se asegura de que se cumplen los objetivos.

Como mínimo, la auditoría debe incluir 0.5 días adicionales de auditor para confirmar la transición del cliente certificado cuando la transición se realice durante una auditoría de control o como una auditoría separada.

La EC puede definir el cronograma para la presentación de la solicitud de transición por parte de los clientes certificados en el programa de la auditoría de transición.

La EC tomará la decisión de transición en base al resultado de la auditoría de transición.

La EC deberá actualizar los documentos de certificación para el cliente certificado si su SGSI cumple con los requisitos de ISO/IEC 27001:2022.

Nota: Cuando el documento de certificación se actualice porque el cliente completó con éxito solo la auditoría de transición, no se modificará el vencimiento de su ciclo de certificación actual.

Todas las certificaciones basadas en ISO/IEC 27001:2013 vencerán o se retirarán al final del período de transición.