NuevasVersionesISO27001eISO27002
Páginas: 17 (4075 palabras)
Publicado: 15 de abril de 2015
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002
NORMA ISO 27002:2013
Esta nueva versión mantiene las cláusulas 0, 1, 2 y 3 de la versión 2005 aunque intercala otra referida a
Referencias Normativas donde mencionala ISO 27000 que contiene los términos con sus definiciones para
todas las normas de la serie 27K.
Por otra parte, y esto es muy importante de destacar, la cláusula 4 de Valuación y Tratamiento de los
riesgos se ha eliminado en la versión 2013 de la ISO 27002, aunque en realidad se puede decir que ha
pasado a la cláusula de Planificación de la ISO 27001, como se verá más adelante.
En cuanto a lascláusulas que definen Objetivos de control y Controles, la nueva versión tiene 14 capítulos
(del 5 al 18) correspondientes a 14 cláusulas de seguridad, en lugar de las 11 de la versión 2005. De estas
14 cláusulas, 4 son de carácter técnico, 1 físico y las 9 restantes son de gestión, cuando en la versión 2005
teníamos 11 cláusulas con 3, 1 y 7 cláusulas respectivamente.
En lo referente a ladiferencia en el número de cláusulas, surge por un lado que Criptografía ahora
constituye una cláusula aparte, lo mismo que Relaciones con Proveedores. A su vez, la cláusula Gestión
de Comunicaciones y Operaciones de la versión 2005 ahora aparece dividida en las dos partes,
Comunicaciones y Operaciones por separado.
Yendo a los objetivos de control se observa que ahora sólo son 35, frente a los 39 de laversión 2005.
También se ha reducido en la versión 2013 la cantidad de controles a 114, contra los 133 de la versión
2005. De los respectivos listados de controles se deduce que de los 133 controles de la versión 2005:
a) 27 controles se han eliminado
b) 8 controles de los restantes se han consolidado en sólo 4 controles en la versión 2013
c) 1 control de la versión 2005 se divide en 2 controlesen la versión 2013
d) 11 controles nuevos se han agregado.
También se observa que algunos de los controles eliminados en realidad han pasado como requisitos a la
norma ISO 27001, mientras que otros se han considerado en parte redundantes de otros que han quedado.
Respecto de los controles que no han cambiado, salvo su numeración, igualmente corresponde hacer notar
que en parte de ellos se hanmodificado los Lineamientos de Implementación correspondientes
Otra observación importante es que ahora en lo referente a la Continuidad de Negocios se habla en
realidad de Continuidad de la Seguridad de la Información embebida en el Sistema de Gestión de
Continuidad de los Negocios (SGCN).
De esta manera ahora sólo hay tres controles referidos a la planificación, implementación, y verificación,revisión y evaluación de la continuidad de la seguridad de la información.
Para las referencias a las distintas partes tanto de la ISO 27001 como de la ISO 27002 hemos elegido las
siguientes denominaciones:
a) Cláusulas para los Capítulos.
b) Apartados para las partes de cada Cláusula
c) Secciones para las partes de cada Apartado
La única excepción ocurre justamente en la ISO 27002 donde los Apartadosresultan ser los Objetivos de
Control, y las Secciones los Controles correspondientes.
16/01/2014 - 03:27:05 PM
© Ing. Carlos Ormella Meyer
Página 1 de 9
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
En la Tabla 1 se pueden ver las Cláusulas/Capítulos y laNumeración correspondiente, así como los
Objetivos de Control de cada cláusula.
Tabla 1
#
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Cláusulas
Objetivos de Control
Introducción
Alcance
Referencias normativas
Términos y definiciones
Estructura de esta norma
Políticas de Seguridad
5.1 Dirección de la gestión de la seguridad de la información.
de la Información
Organización de la
6.1...
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002
NORMA ISO 27002:2013
Esta nueva versión mantiene las cláusulas 0, 1, 2 y 3 de la versión 2005 aunque intercala otra referida a
Referencias Normativas donde mencionala ISO 27000 que contiene los términos con sus definiciones para
todas las normas de la serie 27K.
Por otra parte, y esto es muy importante de destacar, la cláusula 4 de Valuación y Tratamiento de los
riesgos se ha eliminado en la versión 2013 de la ISO 27002, aunque en realidad se puede decir que ha
pasado a la cláusula de Planificación de la ISO 27001, como se verá más adelante.
En cuanto a lascláusulas que definen Objetivos de control y Controles, la nueva versión tiene 14 capítulos
(del 5 al 18) correspondientes a 14 cláusulas de seguridad, en lugar de las 11 de la versión 2005. De estas
14 cláusulas, 4 son de carácter técnico, 1 físico y las 9 restantes son de gestión, cuando en la versión 2005
teníamos 11 cláusulas con 3, 1 y 7 cláusulas respectivamente.
En lo referente a ladiferencia en el número de cláusulas, surge por un lado que Criptografía ahora
constituye una cláusula aparte, lo mismo que Relaciones con Proveedores. A su vez, la cláusula Gestión
de Comunicaciones y Operaciones de la versión 2005 ahora aparece dividida en las dos partes,
Comunicaciones y Operaciones por separado.
Yendo a los objetivos de control se observa que ahora sólo son 35, frente a los 39 de laversión 2005.
También se ha reducido en la versión 2013 la cantidad de controles a 114, contra los 133 de la versión
2005. De los respectivos listados de controles se deduce que de los 133 controles de la versión 2005:
a) 27 controles se han eliminado
b) 8 controles de los restantes se han consolidado en sólo 4 controles en la versión 2013
c) 1 control de la versión 2005 se divide en 2 controlesen la versión 2013
d) 11 controles nuevos se han agregado.
También se observa que algunos de los controles eliminados en realidad han pasado como requisitos a la
norma ISO 27001, mientras que otros se han considerado en parte redundantes de otros que han quedado.
Respecto de los controles que no han cambiado, salvo su numeración, igualmente corresponde hacer notar
que en parte de ellos se hanmodificado los Lineamientos de Implementación correspondientes
Otra observación importante es que ahora en lo referente a la Continuidad de Negocios se habla en
realidad de Continuidad de la Seguridad de la Información embebida en el Sistema de Gestión de
Continuidad de los Negocios (SGCN).
De esta manera ahora sólo hay tres controles referidos a la planificación, implementación, y verificación,revisión y evaluación de la continuidad de la seguridad de la información.
Para las referencias a las distintas partes tanto de la ISO 27001 como de la ISO 27002 hemos elegido las
siguientes denominaciones:
a) Cláusulas para los Capítulos.
b) Apartados para las partes de cada Cláusula
c) Secciones para las partes de cada Apartado
La única excepción ocurre justamente en la ISO 27002 donde los Apartadosresultan ser los Objetivos de
Control, y las Secciones los Controles correspondientes.
16/01/2014 - 03:27:05 PM
© Ing. Carlos Ormella Meyer
Página 1 de 9
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
En la Tabla 1 se pueden ver las Cláusulas/Capítulos y laNumeración correspondiente, así como los
Objetivos de Control de cada cláusula.
Tabla 1
#
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Cláusulas
Objetivos de Control
Introducción
Alcance
Referencias normativas
Términos y definiciones
Estructura de esta norma
Políticas de Seguridad
5.1 Dirección de la gestión de la seguridad de la información.
de la Información
Organización de la
6.1...
Leer documento completo
Regístrate para leer el documento completo.