Estructura de la norma ISO 27001:2013

La estructura del estándar internacional ISO 27001:2013 cambia, al pasar de 8 cláusulas a 10. Esto se produce derivado de su alineación al Anexo SL de las directivas de ISO/IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan-Do-Check-Act), sino que ahora aplica la estructura de alto nivel, títulos de las sub-cláusulas, texto idéntico, términos comunes y las principales definiciones definidas en el Anexo SL.

Por tanto, mantiene compatibilidad con otros estándares de sistemas de gestión que también ha adoptado dicho Anexo (como ISO 22301 Business Continuity management systems — Requirements).

A nivel de controles, la nueva ISO, aunque aumentando el número de dominios de seguridad de 11 a 14, reestructura el número de controles, pasando de 133 a 114.

La norma se publica el 1 de octubre de 2013. El periodo de actualización para las empresas que ya están certificadas en la ISO 27001:2005 es de 2 años.

Resumen de cambios respecto a la versión 2005

1. Eliminación de la referencia al enfoque de proceso de mejora continua PDCA.
2. Reestructuración general de capítulos y subapartados con el fin de que todos los estándares de sistemas de gestión tengan la misma estructura.
3. Mayor énfasis en el conocimiento del contexto de la organización y en el entendimiento de las necesidades de las partes interesadas. Este conocimiento debe suponer el punto fundamental para el establecimiento del sistema de gestión: definición del alcance, política, establecimiento de objetivos y análisis de riesgos.
4. El proceso de análisis de riesgos se define de forma más genérica. Han sido eliminadas las referencias a la identificación de activos, amenazas y vulnerabilidades. Únicamente se hace necesario identificar riesgos (sin especificar cómo) asociados a la pérdida de confidencialidad, integridad y disponibilidad, tras analizar las potenciales consecuencias y la probabilidad para, finalmente, cuantificar el riesgo.
5. Respecto a la selección de controles de seguridad para el tratamiento del riesgo, se deja a decisión de las organizaciones la selección de un marco de controles en caso que no se desee seguir ISO 27002, aunque, de cualquier modo, se deberá comparar con los controles del Anexo A para comprobar que no se obvia ningún control.
6. Se otorga una mayor importancia al liderazgo de la Dirección en el sistema de gestión, no sólo desde el punto de vista de un compromiso formal, como se especificaba en la versión anterior.
7. Se otorga mayor importancia al área de monitorización y medición del SGSI.
8. Se ha eliminado el listado de documentos obligatorios, aunque en el cuerpo del estándar se hace referencia a distintos requisitos documentales. Por otro lado, se elimina la separación entre documentos y registros, siendo denominados, simplemente, información documentada.
9. Los cambios en el Anexo A: se pasa de 11 a 14 capítulos y el número total de controles se reduce a 114. Criptografía se ha convertido en una sección separada y ya no es (lógicamente) parte del dominio de desarrollo y adquisiciones de sistemas. Algo similar ha sucedido con las relaciones con los proveedores, se han convertido en una sección aparte. El dominio gestión de comunicaciones y operaciones se dividió en operaciones de seguridad y comunicaciones de seguridad.