- Alcance (Scope)
- Normativa de referencia (Normative references)
- Términos y definiciones (Terms and definitions)
- Contexto o enfoque de la organización ( Context of the organization)
- Liderazgo (Leadership)
- Planificación (Planning)
- Soporte (Support)
- Operación (Operation)
- Valoración/evaluación del cumplimiento (Performance evaluation)
- Mejora continua (Improvement)
Por otra parte, la norma sigue estableciendo los objetivos y controles a implementar, si bien se estructuran en dominios (14), objetivos (35) y controles de seguridad (113).
Fuente: Capítulo Colombia Board Member
Los experimentados en la norma notarán el cambio en la estructura de este apartado, ya que en la norma de 2005, existían 11 dominios y 133 controles de seguridad, por lo que se han agrupado algunos y modificado según la evolución de la tecnología (mayor enfoque a movilidad y cifrado, así como SLA's para partners y partes interesadas).
Como límite, las organizaciones tienen hasta el día 1 de octubre de 2015 para adecuar sus sistemas a la ISO 27001:2013, si bien es cierto que las organizaciones que deseen implantar su sistema, deberán hacerlo tomando como referencia la nueva norma.
Para las empresas que ya tuvieran el certificado en su poder, el límite para efectuar auditorías sobre la norma de 2005 es el 1 de abril de 2015.
Tras su análisis, y a modo de adelanto, os suministramos un listado de los controles que han sido eliminados o modificados, así como los controles que se han incorporado nuevos a la nueva norma:
Controles modificados:
- A.6.1.1 Comité de gestión para la seguridad de la información --> Roles de la seguridad de la información y sus responsabilidades.
- A.6.1.2 Coordinación de seguridad de la información --> Contacto con autoridades
- A.6.1.4 Procesos de autorización de recursos para el procesado de la información --> Seguridad de la información en la gestión de proyectos
- A.6.2.1 Identificación de riesgos derivados del acceso de terceros --> Política de dispositivo móvil
- A.6.2.2 Tratamiento de la seguridad en la relación con los clientes --> Trabajo a distancia
- A.12.2.1 Validación de datos de entrada --> Controles contra malware
Controles eliminados:
- A.10.2.1 Provisión de servicios
- A.10.7.4 Seguridad de la documentación del sistema
- A.10.8.5 Sistema de información empresariales
- A.10.10.2 Supervisión del uso del sistema
- A.10.10.5 Registro de fallos
- A.11.4.2 Autenticación de usuario para conexiones externas
- A.11.4.3 Identificación de los equipos en las redes
- A.11.4.4 Diagnóstico remoto y protección de los puertos de configuración
- A.11.4.6 Control de la conexión a la red
- A.11.6.2 Aislamiento del sistemas sensibles
- A.12.2.2 Control de procesamiento interno
- A.12.2.3 Integridad de los mensajes
-
A.12.2.4 Validación de datos de salida
- A.12.5.4 Fugas de la información
- A.15.1.5 Prevención del uso indebido de los recursos de tratamiento de la información
- A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información
- A.6.1.4 Seguridad de la información en la gestión de proyectos
- A.12.6.2 Restricciones en la instalación de software
- A.14.2.1 Política de desarrollo de seguridad
- A.14.2.5 Desarrollo de procedimientos para el sistema
- A.14.2.6 Desarrollo de un entorno seguro
- A.14.2.8 Sistema de prueba de seguridad
- A.15.1.1 Información de seguridad para las relaciones de proveedores
- A.15.1.3 Cadena de suministro ICT
- A.16.1.4 Evaluación y decisión de los eventos de seguridad de la información
- A.16.1.5 Respuesta a incidentes de seguridad de la información
- A.17.1.2 Implementación de la continuidad de la seguridad de la información
- A.17.2.1 Disponibilidad de las instalaciones para procesamiento de información
Espero les haya podido servir de ayuda para una visión general de la nueva norma ISO27001:2013.
Saludos a todos.
No hay comentarios:
Publicar un comentario