Contacto

Cambios principales de la ISO/IEC 27005:2022

En el 2022 la Organización Internacional de Estandarización (ISO) actualizó la ISO/IEC 27005. Ha pasado casi un año desde su actualización y muy poco se ha dicho al respecto. Este documento es uno de los instrumentos más importantes a considerar por las organizaciones al establecer e implementar un sistema de gestión de seguridad de la información (SGSI) basado en ISO/IEC 27001:2022.

A continuación, vamos a recordar algunos cambios importantes que se presentaron en la ISO/IEC 27005:2022.

Cambios

La actualización inició con el cambio de nombre del documento a “ISO/IEC 27005:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad: directrices para la gestión de riesgos de seguridad de la información”.

La versión 2022 de la ISO/IEC 27005 reemplazó a la ISO/IEC 27005:2018, fue preparada por el “Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la información, Subcomité SC 27, Seguridad de la información, ciberseguridad y protección de la privacidad” e incluyó los siguientes cambios principales:

  1. Todo el texto se alineó con la ISO/IEC 27001:2022 e ISO 31000:2018.
  2. La terminología se alineó con ISO 31000:2018.
  3. La estructura de las cláusulas se ajustó al diseño de la ISO/IEC 27001:2022.
  4. Se incluyeron conceptos relacionados con “escenarios de riesgo”, lo cual fortalece los dos enfoques que la ISO/IEC 27005 en la versión anterior recomendaba para la gestión de riesgos de seguridad de la información.
  5. Se incluyeron directrices para contrastar el “enfoque basado en eventos” con el “enfoque basado en activos” para la identificación de riesgos. Además, la nueva ISO/IEC 27005 incluyó orientación acerca de cómo se debe relacionar los activos principales y de soporte con cada uno de los enfoques.
  6. Uno de los cambios más importantes es la consolidación de todos los anexos que tenía la versión anterior (Anexos A, B, C, D, E y F) en un solo anexo (Anexo A), el cual brinda directrices acerca de los “criterios de riesgo de seguridad de la información” y una guía de las “técnicas prácticas” para la gestión de riesgos de seguridad de la información.

Alcance

La ISO/IEC 27005:2022 proporciona:

  • Orientación para implementar los requisitos relacionados con la gestión de riesgos de seguridad de la información especificados en ISO/IEC 27001.
  • Referencias esenciales dentro de los estándares desarrollados por ISO/IEC JTC 1/SC 27 para respaldar las actividades de gestión de riesgos de seguridad de la información.
  • Directrices de las acciones necesarias para gestionar los riesgos relacionados con la seguridad de la información (ISO/IEC 27001:2022, 6.1 y cláusula 8).
  • Guía de implementación de la gestión de riesgos establecida en ISO 31000 en el contexto de la seguridad de la información.
  • Directrices acerca de la gestión de riesgos que complementan la guía establecida en ISO/IEC 27003.

La ISO/IEC 27005:2022, como la propia ISO lo establece, es un documento que proporciona orientación, directrices y guías para que las organizaciones puedan cumplir con los requisitos de gestión de riesgos de seguridad de la información establecidos en ISO/IEC 27001, específicamente con aquellos relacionados con la evaluación y tratamiento de riesgos. En este contexto, este documento no debe ser considerado como un instrumento metodológico, sino como una guía para construir una metodología que se adapte a las necesidades y requerimientos propios de las organizaciones.

Aplicabilidad

Por lo expuesto, la ISO considera que ISO/IEC 27005:2022 es un documento aplicable a todas las organizaciones, independientemente de su tipo, tamaño o sector; y, puede ser utilizado por:

  • Organizaciones que tienen la intención de establecer e implementar un sistema de gestión de seguridad de la información (SGSI) basado en ISO/IEC 27001.
  • Organizaciones que tienen la intención de mejorar el proceso de gestión de riesgos de seguridad de la información.
  • Personas que realizan o están involucradas en la gestión de riesgos de seguridad de la información.

Fuente:

ISO/IEC 27005:2022. Information security, cybersecurity and privacy protection — Guidance on managing information security risks (https://www.iso.org/standard/80585.html)

Leer otros contenidos

Formulario de Contacto

Contáctenos y cuéntenos su necesidad.