Nuevas versiones de ISO/IEC 27001 y 27002 (Draft finales) ~ Segu-Info

Tal y como señala Anthony M. Freed, al contar la historia de la norma ISO 27000 (antes BS 7799), se celebran los primeros 20 años de su nacimiento y mientras tanto, el comité evaluador ya está listo para lanzar la versión 2013 de la misma.

¿Qué quiere decir esto?

Esto significa que, salvo alguna catástrofe, tendremos las nuevas versiones de las norma ISO/IEC 27001 y 27002 a final de año.

El draft estuvo a disposición del público hasta el 23 de marzo de 2013. Ahora, los comentarios del público fueron analizados y los organismos nacionales votaron a favor de la publicación final de las nuevas normas. A finales de abril se acordaron algunos cambios de menor importancia -como que un control se convirtió en dos- y el texto corregido fue lanzado para una votación final a principios de julio (cambios I,cambios II y cambios III). Las votaciones cerraron el pasado 3 de septiembre, y si todo va bien, la publicación oficial será durante el mes de octubre. La BSI, British Standards Institution, tiene una oferta especial para los que compren su copias borradores ahora, porque luego recibirán automáticamente una copia de la norma final publicada, sin costo.

¿Qué ha cambiado en la norma 27001?

Tal vez el cambio más evidente de la nueva versión es el diseño. Ya no hay requisitos de duplicados y el texto es menos prescriptivo, dando mayor libertad para aplicar los requisitos de la manera que mejor se adapte a las organizaciones. La siguiente figura muestra la relación entre la versión 2005 de la nueva norma y los FDIS.

¿Qué ha cambiado en la norma 27002?

En la actualidad hay sólo 114 controles, en contraposición con los 133 originales, y que se enumeran en 14 dominios, en lugar de los once originales. Muchos controles no han cambiado desde la versión 2005, aunque el texto de la guía se ha actualizado. Algunos controles se han eliminado ya que no se consideran comunes en un mundo interconectado. Otros se han fusionado, ya que eran diferentes maneras de decir la misma cosa, y también hay algunos nuevos controles. El Anexo A de la norma ISO/IEC 27001 refleja la ISO/IEC 27002.

Sin embargo, quizás el cambio más significativo es que el capítulo sobre la evaluación y tratamiento del riesgo se ha eliminado.

En esta sección se muestra cómo se han mapeado los nuevos controles y también los controles que se han eliminado en la nueva ISO.

¿Es necesario actualizar inmediatamente?

Cuando se publique la nueva norma se darán a conocer los acuerdos de transición. El régimen de transición para ISO 9001:2000 puede servir como un buen ejemplo, ya que los cambios entre esa norma y su predecesora, la norma ISO 9001:1994, fueron significativos. En ese caso, la transición se permitió durante un período de dos años. Sin embargo, adoptar un proceso de certificación gradual asegura una transición exitosa a diferentes partes de la norma revisada así como los procesos de seguimiento. Además, las inscripciones a la antigua norma pueden ser admitidos durante un período de tiempo pero luego sólo se permitirá registros para la nueva norma. También podría ser posible, por un período de tiempo, elegir si las auditorías se llevarán a cabo sobre la nueva norma o sobre la antigua. Sin embargo, estas son sólo conjeturas basadas en experiencias anteriores.

Cristian de la Redacción de Segu-Info

18 sept 2013