Nota tècnica sobre la nova ISO/IEC 27001:2022 i la seva guia d’implementació

La recent actualització de la norma ISO/IEC 27001:2022 i la seva guia d’implementació (AENOR n’ha publicat recentment una guia pràctica per a PIME) suposa una evolució clau en la gestió de la seguretat de la informació, especialment rellevant per a direccions generals de PIMEs i responsables de sistemes de gestió de la informació. Aquest document respon a la necessitat d’adaptar els sistemes de seguretat de la informació a un entorn cada cop més digitalitzat, amb riscos i amenaces en contínua evolució. La norma actualitzada, juntament amb la ISO/IEC 27002:2022, proporciona una base metodològica per estructurar i gestionar adequadament els riscos associats a la informació, alineant-los amb les millors pràctiques internacionals.

Principals novetats de la ISO/IEC 27001:2022

Les actualitzacions de la ISO/IEC 27001:2022 es concentren en quatre àrees essencials per a qualsevol sistema de gestió de seguretat de la informació (SGSI): els controls organitzatius, de persones, físics i tecnològics. La revisió ha consolidat els controls en aquests quatre temes per simplificar la seva aplicació i facilitar el seguiment intern, reduint així el nombre total de controls de 114 a 93. Aquesta revisió inclou, a més, 11 nous controls dissenyats per afrontar riscos emergents com la seguretat en el núvol, la vigilància física i la intel·ligència d’amenaces.

A més, cada control ara inclou atributs específics per facilitar la seva categorització i aplicació pràctica, com ara la confidencialitat, la integritat i la disponibilitat de la informació, així com atributs addicionals de ciberseguretat que poden ajudar les PIME a alinear aquests controls amb altres marcs normatius com el NIST.

Suport de la ISO/IEC 27002:2022

La norma ISO/IEC 27002:2022 acompanya i complementa la implementació de la ISO 27001 amb una guia pràctica detallada per desplegar els controls indicats en l’Annex A de la norma 27001. Aquesta guia proporciona orientació sobre com implementar els controls de manera eficient, indicant l’objectiu de cada control i oferint criteris per a la seva aplicació en funció de l’entorn i les necessitats particulars de l’organització. Amb la ISO/IEC 27002, les empreses poden establir millors pràctiques, abordar riscos i garantir la protecció de la informació amb una metodologia que facilita la documentació i l’avaluació periòdica dels seus controls de seguretat.

Context històric de la sèrie ISO 27000

La sèrie ISO 27000 es va crear a principis dels anys 2000 amb la publicació de la ISO/IEC 27001, basada en la norma britànica BS 7799-2. Amb el temps, ha evolucionat per cobrir tots els aspectes de la seguretat de la informació, adaptant-se a les necessitats canviants de les empreses davant un panorama de ciberseguretat en constant canvi. Aquesta sèrie inclou diverses normes complementàries, com la ISO 27002 per a bones pràctiques de controls i la ISO 27005 per a la gestió de riscos, i ha esdevingut una referència mundial en la protecció de la informació.[/restricted]