La Organización Internacional de Normalización (ISO) ha publicado la tercera edición de la norma ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad: Controles de seguridad de la información.
El marco de la norma ISO 27002 proporciona orientación sobre las mejores prácticas para aplicar los controles enumerados en el Anexo A de la norma ISO 27001. Es compatible con la norma ISO 27001 y debe leerse junto con ella.
La versión 2022 del estándar proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. Está diseñado para ser utilizado por las organizaciones:
- Dentro del contexto de un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO/IEC 27001;
- Para implementar controles de seguridad de la información basados en las mejores prácticas reconocidas internacionalmente;
- Para desarrollar directrices de gestión de la seguridad de la información específicas de la organización.
En la versión 2022 de la norma sólo han cambiado los controles de seguridad enumerados en ISO 27001 Anexo A y en ISO 27002, para simplificar la implementación. El número de controles ha disminuido de 114 a 93. Ningun control fue eliminado, muchos fueron fusionados y se incorporaron 11 nuevos controles. La norma ahora contiene sólo 4 secciones, en lugar de las 14 que tenía la versión 2013.
La norma ISO27002 proporciona las directrices para las normas de seguridad de la información de la organización y las prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, considerando el entorno de riesgos de seguridad de la información de la organización.
El estándar ISO27002:2022 ya está disponible para la venta, cancelando y reemplazando a la segunda edición (ISO/IEC 27002:2013).