ISO 27001:2022: ¿Está tu empresa lista para la transición?

El proceso para la transición de la norma ISO 27001:2013 a la nueva versión ISO 27001:2022 está en marcha. Las organizaciones certificadas deben realizar una auditoría de transición antes del 31 de julio de 2025, dado que el período de transición finaliza el 31 de octubre de 2025.  La revisión introduce cambios clave que afectan a la gestión de la seguridad de la información, y no adaptarse a tiempo puede comprometer el cumplimiento y la protección de los datos empresariales.

Principales cambios en ISO 27001:2022

La actualización de la norma incluye ajustes significativos en su estructura y controles de seguridad:

  • Reducción de controles: El número de controles se ha reducido de 114 controles en la versión de 2013 a 93 en la nueva versión, organizados en cuatro categorías: organizacionales, de personas, físicos y tecnológicos.
  • Nuevos controles: Se han incorporado nuevas medidas de seguridad como la inteligencia sobre amenazas, la seguridad en la nube y la prevención de fugas de datos.
  • Reorganización y fusión de controles: Algunos controles en 2022 tienen equivalentes directos en 2013, aunque pueden estar reorganizados o renombrados. Otros han sido fusionados en un único control dentro de la nueva estructura. 
  • Eliminación: Algunos controles ya no se incluyen porque son redundantes o están integrados en otros.
  • Re-elaboración de la declaración de aplicabilidad. 

 

Pasos para una transición exitosa

Para garantizar la adaptación a la nueva norma, las organizaciones deben seguir una hoja de ruta clara:

  1. Análisis diferencial: Comparar los cambios entre las versiones y evaluar el impacto en la organización.
  2. Actualización del plan de tratamiento de riesgos: Ajustar la gestión de riesgos según los nuevos controles y requisitos.
  3. Verificación de la eficacia de los nuevos controles: Evaluar su impacto mediante auditorías internas y revisiones por la dirección.
  4. Revisión y actualización documental: Modificar políticas y procedimientos para alinearlos con la nueva versión de la norma. 
  5. Aprobación por la Dirección: Validar la transición con una revisión formal del cumplimiento.

 

Fechas clave a tener en cuenta

  • 1 de mayo de 2024: A partir de esta fecha, todas las certificaciones iniciales y recertificaciones deben realizarse conforme a ISO 27001:2022.
  • 31 de julio de 2025: Todas las auditorías de transición deben haberse realizado antes de esta fecha. 
  • 31 de octubre de 2025: Fin del período de transición. Los certificados acreditados emitidos con la norma ISO/IEC 27001:2013 dejarán de ser válidos y no tendrán reconocimiento alguno. 

¿Cómo te ayudamos?

En Gesprodat, contamos con un equipo especializado en seguridad de la información que te guiará en cada paso de la transición. Adaptamos tu sistema de gestión de seguridad de la información a los nuevos requisitos, asegurando el cumplimiento normativo y la protección efectiva de tus datos.

No dejes la transición para última hora. ¡Contáctanos y aseguremos juntos el éxito de tu certificación ISO 27001!

 

Share: