Han sido publicadas las versiones 2013 de las normas ISO/IEC 27001:2013 Information technology – Security techniques – Information Security Management Systems – Requirements; e ISO/IEC 27002:2013 Information Technology – Security Techniques — Code of Practice for Information Security Controls.
La norma ISO27001 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información en el contexto de la organización. Incluye los requisitos para la evaluación y tratamiento de los riesgos de seguridad de información adaptados a las necesidades de la organización. Los requisitos establecidos en la norma ISO27001 son genéricos y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza.
La edición 2013 de la norma ISO27001 proporciona un enfoque común y una estructura para las normas de los sistemas de gestión que se presta más fácilmente para la integración con otras normas de sistemas de gestión. Es decir, permite usar otros enfoques para desarrollar y mejorar el ISMS y no sólo el PDCA (Plan-Do-Check-Act).
La norma actualizada ISO27001 cuenta con 114 controles en 14 categorías, en contraste con los 133 controles y 11 categorías contenidas en la edición 2005. Los requerimientos para el análisis de riesgos están alineados con la norma ISO 31000 para la gestión de riesgos.
La norma ISO27002 proporciona las directrices para las normas de seguridad de la información de la organización y las prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, considerando el entorno de riesgos de seguridad de la información de la organización. El nuevo código de prácticas ha sido alineado en cuanto al número de controles con los de la norma ISO/IEC 27001, así como la terminología con la de la norma ISO/IEC 27000. Refleja la estructura del Anexo A de la norma ISO/IEC 27001:2013.
Los estándares actualizados están disponibles a la venta ya sea por separado o juntos.