Principales cambios d Principales cambios d Principales cambios d Principales cambios de la nueva versin de ISO 27001 e la nueva versin de ISO

27001 e la nueva versin de ISO 27001 e la nueva versin de ISO 27001

Antecedentes Antecedentes Antecedentes Antecedentes
L LL La aa a v vv ve ee er rr rs ss si ii i n nn n a aa ac cc ct tt tu uu ua aa al ll lm mm me ee en nn nt tt te ee e v vv vi ii ig gg ge ee en nn nt tt te ee e d dd de ee e I II IS SS SO OO O 2 22 27 77 70 00 00 00 01 11 1: :: :2 22 20 00 00 00 05 55 5 h hh ha aa a e ee es ss st tt ta aa ad dd do oo o e ee en nn n r rr re ee ev vv vi ii is ss si ii i n nn n p pp po oo or rr r p pp pa aa ar rr rt tt te ee e d dd de ee el ll l S SS Su uu ub bb bc cc co oo om mm mi ii it tt t 2 22 27 77 7 d dd de ee e l ll la aa a I II IS SS SO OO O, ,, , e ee en nn n l ll la aa a c cc cu uu ua aa al ll l
participan participan participan participan r rr re ee ep pp pr rr re ee es ss se ee en nn nt tt ta aa an nn nt tt te ee es ss s d dd de ee e 4 44 49 99 9 p pp pa aa a s ss se ee es ss s, ,, , e ee en nn nt tt tr rr re ee e e ee el ll ll ll lo oo os ss s M MM M x xx xi ii ic cc co oo o, ,, , a aa ac cc ct tt tu uu ua aa al ll lm mm me ee en nn nt tt te ee e s ss se ee e c cc cu uu ue ee en nn nt tt ta aa a c cc co oo on nn n e ee el ll l b bb bo oo or rr rr rr ra aa ad dd do oo or rr r f ff fi ii in nn na aa al ll l ( (( (F FF Fi ii in nn na aa al ll l D DD Dr rr ra aa af ff ft tt t) )) ) d dd de ee e l ll la aa a
nueva versin (2013) de dicho nueva versin (2013) de dicho nueva versin (2013) de dicho nueva versin (2013) de dicho e ee es ss st tt t n nn nd dd da aa ar rr r e ee es ss sp pp pe ee er rr ra aa an nn nd dd do oo o s ss su uu u l ll li ii ib bb be ee er rr ra aa ac cc ci ii i n nn n y yy y p pp pu uu ub bb bl ll li ii ic cc ca aa ac cc ci ii i n nn n e ee en nn n l ll la aa a p pp pr rr r x xx xi ii im mm ma aa a r rr re ee eu uu un nn ni ii i n nn n d dd de ee el ll l c cc ci ii it tt ta aa a S SS Su uu ub bb b C CC Co oo om mm mi ii it tt t l ll la aa a
cual se llevar a cab cual se llevar a cab cual se llevar a cab cual se llevar a cabo en Octubre, es por ellos que o en Octubre, es por ellos que o en Octubre, es por ellos que o en Octubre, es por ellos que n nn no oo os ss s h hh he ee em mm mo oo os ss s p pp pe ee er rr rm mm mi ii it tt ti ii id dd do oo o r rr re ee ea aa al ll li ii iz zz za aa ad dd d u uu un nn n a aa an nn n l ll li ii is ss si ii is ss s d dd de ee e l ll lo oo os ss s p pp pr rr ri ii in nn nc cc ci ii ip pp pa aa al ll le ee es ss s c cc ca aa am mm mb bb bi ii io oo os ss s q qq qu uu ue ee e
tendr la nueva versin 2013 con relacin a la versin 2005, a efectos de tendr la nueva versin 2013 con relacin a la versin 2005, a efectos de tendr la nueva versin 2013 con relacin a la versin 2005, a efectos de tendr la nueva versin 2013 con relacin a la versin 2005, a efectos de q qq qu uu ue ee e l ll la aa as ss s e ee em mm mp pp pr rr re ee es ss sa aa as ss s q qq qu uu ue ee e y yy ya aa a s ss se ee e e ee en nn nc cc cu uu ue ee en nn nt tt tr rr ra aa an nn n c cc ce ee er rr rt tt ti ii if ff fi ii ic cc ca aa ad dd da aa as ss s
puedan identificar los cambi puedan identificar los cambi puedan identificar los cambi puedan identificar los cambios que deben realizar para permanecer en cumplimiento con la os que deben realizar para permanecer en cumplimiento con la os que deben realizar para permanecer en cumplimiento con la os que deben realizar para permanecer en cumplimiento con la n nn nu uu ue ee ev vv va aa a v vv ve ee er rr rs ss si ii i n nn n, ,, , y yy y a aa aq qq qu uu ue ee el ll ll ll la aa as ss s
empresas que estn en plena implementacin o que sus planes futuros sean adoptar dicho estndar tengan empresas que estn en plena implementacin o que sus planes futuros sean adoptar dicho estndar tengan empresas que estn en plena implementacin o que sus planes futuros sean adoptar dicho estndar tengan empresas que estn en plena implementacin o que sus planes futuros sean adoptar dicho estndar tengan c cc co oo on nn no oo oc cc ci ii im mm mi ii ie ee en nn nt tt to oo o q qq qu uu ue ee e
los nuevos requerimientos que deben implementar. los nuevos requerimientos que deben implementar. los nuevos requerimientos que deben implementar. los nuevos requerimientos que deben implementar.
Consideraciones para empresas certificadas Consideraciones para empresas certificadas Consideraciones para empresas certificadas Consideraciones para empresas certificadas
C CC Ca aa ab bb be ee e m mm me ee en nn nc cc ci ii io oo on nn na aa ar rr r q qq qu uu ue ee e e ee es ss st tt te ee e e ee es ss s d dd do oo oc cc cu uu um mm me ee en nn nt tt to oo o e ee es ss s u uu un nn n a aa an nn n l ll li ii is ss si ii is ss s e ee en nn n r rr re ee el ll la aa ac cc ci ii i n nn n a aa al ll l b bb bo oo or rr rr rr ra aa ad dd do oo or rr r q qq qu uu ue ee e e ee ex xx xi ii is ss st tt te ee e a aa ac cc ct tt tu uu ua aa al ll lm mm me ee en nn nt tt te ee e, ,, , s ss se ee e e ee em mm mi ii it tt ti ii ir rr r u uu un nn n n nn nu uu ue ee ev vv vo oo o
anlisis con la versin anlisis con la versin anlisis con la versin anlisis con la versin final. En el caso de las empresas que se encuentran certificadas debe final. En el caso de las empresas que se encuentran certificadas debe final. En el caso de las empresas que se encuentran certificadas debe final. En el caso de las empresas que se encuentran certificadas deber rr r n nn n c cc co oo om mm mu uu un nn ni ii ic cc ca aa ar rr rs ss se ee e c cc co oo on nn n s ss su uu u c cc ca aa as ss sa aa a
certificadora para obtener informacin del certificadora para obtener informacin del certificadora para obtener informacin del certificadora para obtener informacin del proceso de transicin de su certificado a la nueva versin de ISO 27001. proceso de transicin de su certificado a la nueva versin de ISO 27001. proceso de transicin de su certificado a la nueva versin de ISO 27001. proceso de transicin de su certificado a la nueva versin de ISO 27001.
Las empresas certificadas deben atender las reglas de transicin de ISO 27001 emitidas por la acreditadora y la Las empresas certificadas deben atender las reglas de transicin de ISO 27001 emitidas por la acreditadora y la Las empresas certificadas deben atender las reglas de transicin de ISO 27001 emitidas por la acreditadora y la Las empresas certificadas deben atender las reglas de transicin de ISO 27001 emitidas por la acreditadora y la c cc ca aa as ss sa aa a
certificadora que les haya certificadora que les haya certificadora que les haya certificadora que les haya emitido su certificacin. emitido su certificacin. emitido su certificacin. emitido su certificacin.
La estructura de la nueva versin de ISO 27001 La estructura de la nueva versin de ISO 27001 La estructura de la nueva versin de ISO 27001 La estructura de la nueva versin de ISO 27001
P PP Pr rr ri ii im mm me ee er rr ra aa am mm me ee en nn nt tt te ee e l ll la aa a e ee es ss st tt tr rr ru uu uc cc ct tt tu uu ur rr ra aa a d dd de ee el ll l e ee es ss st tt t n nn nd dd da aa ar rr r i ii in nn nt tt te ee er rr rn nn na aa ac cc ci ii io oo on nn na aa al ll l I II IS SS SO OO O 2 22 27 77 70 00 00 00 01 11 1 c cc ca aa am mm mb bb bi ii io oo o a aa al ll l p pp pa aa as ss sa aa ar rr r d dd de ee e 8 88 8 c cc cl ll l u uu us ss su uu ul ll la aa as ss s a aa a 1 11 10 00 0, ,, , e ee es ss st tt to oo o d dd de ee er rr ri ii iv vv va aa ad dd do oo o d dd de ee e s ss su uu u
alineacin al Anexo SL alineacin al Anexo SL alineacin al Anexo SL alineacin al Anexo SL de las de las de las de las Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan Do Do Do Do Check Check Check Check
Act), sino que ahora aplica la estructura de alto Act), sino que ahora aplica la estructura de alto Act), sino que ahora aplica la estructura de alto Act), sino que ahora aplica la estructura de alto nivel, ttulos de las sub nivel, ttulos de las sub nivel, ttulos de las sub nivel, ttulos de las sub cl cl cl cl usulas, texto id usulas, texto id usulas, texto id usulas, texto id ntico, t ntico, t ntico, t ntico, t r rr rm mm mi ii in nn no oo os ss s c cc co oo om mm mu uu un nn ne ee es ss s y yy y l ll la aa as ss s
principales definiciones definidas en e principales definiciones definidas en e principales definiciones definidas en e principales definiciones definidas en el Anexo SL por lo tanto mantiene l Anexo SL por lo tanto mantiene l Anexo SL por lo tanto mantiene l Anexo SL por lo tanto mantiene c cc co oo om mm mp pp pa aa at tt ti ii ib bb bi ii il ll li ii id dd da aa ad dd d c cc co oo on nn n o oo ot tt tr rr ro oo os ss s e ee es ss st tt t n nn nd dd da aa ar rr re ee es ss s d dd de ee e s ss si ii is ss st tt te ee em mm ma aa as ss s d dd de ee e
gestin que tambin han adoptado dicho Anexo (p.ej. ISO 22301 Business Continuity gestin que tambin han adoptado dicho Anexo (p.ej. ISO 22301 Business Continuity gestin que tambin han adoptado dicho Anexo (p.ej. ISO 22301 Business Continuity gestin que tambin han adoptado dicho Anexo (p.ej. ISO 22301 Business Continuity management systems management systems management systems management systems R RR Re ee eq qq qu uu ui ii ir rr re ee em mm me ee en nn nt tt ts ss s) )) ). .. .
Cabe destacar que la tendencia de los otros estndares Cabe destacar que la tendencia de los otros estndares Cabe destacar que la tendencia de los otros estndares Cabe destacar que la tendencia de los otros estndares de sistemas de gestin es adoptar este mismo de sistemas de gestin es adoptar este mismo de sistemas de gestin es adoptar este mismo de sistemas de gestin es adoptar este mismo
Anexo en sus nuevas versiones para alinearse (p.ej. ISO 9001, ISO 20000, ISO 14000, etc.). Anexo en sus nuevas versiones para alinearse (p.ej. ISO 9001, ISO 20000, ISO 14000, etc.). Anexo en sus nuevas versiones para alinearse (p.ej. ISO 9001, ISO 20000, ISO 14000, etc.). Anexo en sus nuevas versiones para alinearse (p.ej. ISO 9001, ISO 20000, ISO 14000, etc.).
Cambios en el Sistema de Gestin de Seguridad de Informacin Cambios en el Sistema de Gestin de Seguridad de Informacin Cambios en el Sistema de Gestin de Seguridad de Informacin Cambios en el Sistema de Gestin de Seguridad de Informacin
A continuacin mostramos una tabla comparativa de la nueva A continuacin mostramos una tabla comparativa de la nueva A continuacin mostramos una tabla comparativa de la nueva A continuacin mostramos una tabla comparativa de la nueva estructura de ISO 27001. estructura de ISO 27001. estructura de ISO 27001. estructura de ISO 27001.
Clusula ISO 27001:2013 Clusula ISO 27001:2013 Clusula ISO 27001:2013
0 Introduccin 0 Introduccin 0 Introduccin 0 Introduccin 0 Introduccin 0 Introduccin 0 Introduccin 0 Introduccin
0.1 General 0.1 General 0.1 General 0.1 General
0.2 Enfoque de procesos 0.2 Enfoque de procesos 0.2 Enfoque de procesos 0.2 Enfoque de procesos
0.3 Compatibilidad con otros sistemas de 0.3 Compatibilidad con otros sistemas de 0.3 Compatibilidad con otros sistemas de 0.3 Compatibilidad con otros sistemas de
gestin gestin gestin gestin
Las secciones del enfoque a procesos y la Las secciones del enfoque a procesos y la Las secciones del enfoque a procesos y la Las secciones del enfoque a procesos y la
compatibilidad con otros estndares viene de la compatibilidad con otros estndares viene de la compatibilidad con otros estndares viene de la compatibilidad con otros estndares viene de la
alineacin al Anexo SL de las alineacin al Anexo SL de las alineacin al Anexo SL de las alineacin al Anexo SL de las Directivas de ISO/ IEC Directivas de ISO/ IEC Directivas de ISO/ IEC Directivas de ISO/ IEC
Parte 1 y ya no al ciclo PDCA(Plan Parte 1 y ya no al ciclo PDCA(Plan Parte 1 y ya no al ciclo PDCA(Plan Parte 1 y ya no al ciclo PDCA(Plan Do Do Do Do Check Check Check Check Act) Act) Act) Act)
1 Alcance 1 Alcance 1 Alcance 1 Alcance
1 1 1 1 Alcance Alcance Alcance Alcance
1.1 General 1.1 General 1.1 General 1.1 General
1.2 Aplicacin 1.2 Aplicacin 1.2 Aplicacin 1.2 Aplicacin
Ahora es Ahora es Ahora es Ahora es obligatorio cumplir con las clusulas 4 a la 10 obligatorio cumplir con las clusulas 4 a la 10 obligatorio cumplir con las clusulas 4 a la 10 obligatorio cumplir con las clusulas 4 a la 10
para poderse certificar. para poderse certificar. para poderse certificar. para poderse certificar.
2 Referencias Normativas 2 Referencias Normativas 2 Referencias Normativas 2 Referencias Normativas 2 Referencias normativas 2 Referencias normativas 2 Referencias normativas 2 Referencias normativas Ahora hace referencia a ISO 27000 Ahora hace referencia a ISO 27000 Ahora hace referencia a ISO 27000 Ahora hace referencia a ISO 27000
3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones
Se han excluido todos los trminos y definiciones, Se han excluido todos los trminos y definiciones, Se han excluido todos los trminos y definiciones, Se han excluido todos los trminos y definiciones,
haciendo haciendo haciendo haciendo referencia a ISO/IEC 27000 referencia a ISO/IEC 27000 referencia a ISO/IEC 27000 referencia a ISO/IEC 27000 Information Information Information Information
technology technology technology technology Security techniques Security techniques Security techniques Security techniques Information security Information security Information security Information security
management management management management systems systems systems systems Overview and vocabulary Overview and vocabulary Overview and vocabulary Overview and vocabulary
Clusula ISO 27001:2013 Clusula ISO 27001:2013 Clusula ISO 27001:2013
4 Contexto de la organizacin 4 Contexto de la organizacin 4 Contexto de la organizacin 4 Contexto de la organizacin
4.1 Entendiendo la organizacin y su 4.1 Entendiendo la organizacin y su 4.1 Entendiendo la organizacin y su 4.1 Entendiendo la organizacin y su
contexto contexto contexto contexto
4.2 Entendiendo las necesidades y 4.2 Entendiendo las necesidades y 4.2 Entendiendo las necesidades y 4.2 Entendiendo las necesidades y
expectativas de las partes interesadas expectativas de las partes interesadas expectativas de las partes interesadas expectativas de las partes interesadas
4.3 Determinando el alcance del 4.3 Determinando el alcance del 4.3 Determinando el alcance del 4.3 Determinando el alcance del
sistema sistema sistema sistema
de gestin de seguridad de la de gestin de seguridad de la de gestin de seguridad de la de gestin de seguridad de la
informacin informacin informacin informacin
4.4 Sistema de gestin de seguridad 4.4 Sistema de gestin de seguridad 4.4 Sistema de gestin de seguridad 4.4 Sistema de gestin de seguridad
de la informacin de la informacin de la informacin de la informacin
4 Sistema de gestin de seguridad de la 4 Sistema de gestin de seguridad de la 4 Sistema de gestin de seguridad de la 4 Sistema de gestin de seguridad de la
informacin informacin informacin informacin
4.1 Requerimientos generales 4.1 Requerimientos generales 4.1 Requerimientos generales 4.1 Requerimientos generales
4.2 Establecimiento y gestin del SGSI 4.2 Establecimiento y gestin del SGSI 4.2 Establecimiento y gestin del SGSI 4.2 Establecimiento y gestin del SGSI
4.2.1 Establecer el SGSI 4.2.1 Establecer el SGSI 4.2.1 Establecer el SGSI 4.2.1 Establecer el SGSI
4.2.2 Imple 4.2.2 Imple 4.2.2 Imple 4.2.2 Implementar y operar el SGSI mentar y operar el SGSI mentar y operar el SGSI mentar y operar el SGSI
4.2.3 Monitorear y revisar el SGSI 4.2.3 Monitorear y revisar el SGSI 4.2.3 Monitorear y revisar el SGSI 4.2.3 Monitorear y revisar el SGSI
4.2.4 Mantener y mejorar el SGSI 4.2.4 Mantener y mejorar el SGSI 4.2.4 Mantener y mejorar el SGSI 4.2.4 Mantener y mejorar el SGSI
4.3 Requerimientos documentales 4.3 Requerimientos documentales 4.3 Requerimientos documentales 4.3 Requerimientos documentales
4.3.1 General 4.3.1 General 4.3.1 General 4.3.1 General
4.3.2 Control de documentos 4.3.2 Control de documentos 4.3.2 Control de documentos 4.3.2 Control de documentos
4.3.3 Control de registros 4.3.3 Control de registros 4.3.3 Control de registros 4.3.3 Control de registros
Una vez que se entiende a la organizacin, su contexto Una vez que se entiende a la organizacin, su contexto Una vez que se entiende a la organizacin, su contexto Una vez que se entiende a la organizacin, su contexto
y yy y las necesidades de las partes interesadas se las necesidades de las partes interesadas se las necesidades de las partes interesadas se las necesidades de las partes interesadas se
establecen el establecen el establecen el establecen el alcance del SGSI. alcance del SGSI. alcance del SGSI. alcance del SGSI.
5 Liderazgo 5 Liderazgo 5 Liderazgo 5 Liderazgo
5.1 Liderazgo y compromiso 5.1 Liderazgo y compromiso 5.1 Liderazgo y compromiso 5.1 Liderazgo y compromiso
5.2 Poltica 5.2 Poltica 5.2 Poltica 5.2 Poltica
5.3 Roles organizacionales, 5.3 Roles organizacionales, 5.3 Roles organizacionales, 5.3 Roles organizacionales,
responsabilidades y autoridades responsabilidades y autoridades responsabilidades y autoridades responsabilidades y autoridades
5 Responsabilidades de la direccin 5 Responsabilidades de la direccin 5 Responsabilidades de la direccin 5 Responsabilidades de la direccin
5.1 Compromiso de la direccin 5.1 Compromiso de la direccin 5.1 Compromiso de la direccin 5.1 Compromiso de la direccin
5.2 Gestin de recursos 5.2 Gestin de recursos 5.2 Gestin de recursos 5.2 Gestin de recursos
5.2.1 Provisin de recursos 5.2.1 Provisin de recursos 5.2.1 Provisin de recursos 5.2.1 Provisin de recursos
5.2.2 Capacitacin, concientizacin y 5.2.2 Capacitacin, concientizacin y 5.2.2 Capacitacin, concientizacin y 5.2.2 Capacitacin, concientizacin y
competencia competencia competencia competencia
Se introduce el trmino alta direccin (top Se introduce el trmino alta direccin (top Se introduce el trmino alta direccin (top Se introduce el trmino alta direccin (top
management) quien debe demostrar el liderazgo y management) quien debe demostrar el liderazgo y management) quien debe demostrar el liderazgo y management) quien debe demostrar el liderazgo y
compromiso para con el compromiso para con el compromiso para con el compromiso para con el SG SG SG SGSI. Adicional a establecer la SI. Adicional a establecer la SI. Adicional a establecer la SI. Adicional a establecer la
poltica ahora es un requisito poltica ahora es un requisito poltica ahora es un requisito poltica ahora es un requisito obligatorio establecer obligatorio establecer obligatorio establecer obligatorio establecer
objetivos de seguridad objetivos de seguridad objetivos de seguridad objetivos de seguridad
6 Planeacin 6 Planeacin 6 Planeacin 6 Planeacin
6.1 Acciones para direccionar los 6.1 Acciones para direccionar los 6.1 Acciones para direccionar los 6.1 Acciones para direccionar los
riesgos y oportunidades riesgos y oportunidades riesgos y oportunidades riesgos y oportunidades
6.2 Objetivos de seguridad de la 6.2 Objetivos de seguridad de la 6.2 Objetivos de seguridad de la 6.2 Objetivos de seguridad de la
informacin y planes para lograrlos informacin y planes para lograrlos informacin y planes para lograrlos informacin y planes para lograrlos
6 Auditoras internas al SGSI 6 Auditoras internas al SGSI 6 Auditoras internas al SGSI 6 Auditoras internas al SGSI
Como parte de la planeacin se debe definir y aplicar un Como parte de la planeacin se debe definir y aplicar un Como parte de la planeacin se debe definir y aplicar un Como parte de la planeacin se debe definir y aplicar un
proceso tanto para la evaluacin de riesgos como para proceso tanto para la evaluacin de riesgos como para proceso tanto para la evaluacin de riesgos como para proceso tanto para la evaluacin de riesgos como para
su tratamiento, cuyos requisitos estn alineados con su tratamiento, cuyos requisitos estn alineados con su tratamiento, cuyos requisitos estn alineados con su tratamiento, cuyos requisitos estn alineados con
ISO 31000 ISO 31000 ISO 31000 ISO 31000
7 Soporte 7 Soporte 7 Soporte 7 Soporte
7.1 Recursos 7.1 Recursos 7.1 Recursos 7.1 Recursos
7.2 Competencia 7.2 Competencia 7.2 Competencia 7.2 Competencia
7.3 Concientizacin 7.3 Concientizacin 7.3 Concientizacin 7.3 Concientizacin
7.4 Comunicacin 7.4 Comunicacin 7.4 Comunicacin 7.4 Comunicacin
7.5 Informacin documentada 7.5 Informacin documentada 7.5 Informacin documentada 7.5 Informacin documentada
7 Revisin de la direccin al SGSI 7 Revisin de la direccin al SGSI 7 Revisin de la direccin al SGSI 7 Revisin de la direccin al SGSI
7.1 General 7.1 General 7.1 General 7.1 General
7.2 Entradas de la revisin 7.2 Entradas de la revisin 7.2 Entradas de la revisin 7.2 Entradas de la revisin
7.2 Salidas de la revisin 7.2 Salidas de la revisin 7.2 Salidas de la revisin 7.2 Salidas de la revisin
Anteriormente la parte de la provisin de recursos, Anteriormente la parte de la provisin de recursos, Anteriormente la parte de la provisin de recursos, Anteriormente la parte de la provisin de recursos,
competencia y concientizacin competencia y concientizacin competencia y concientizacin competencia y concientizacin se encontraba en la se encontraba en la se encontraba en la se encontraba en la
clusula 5 como parte del compromiso de la direccin, clusula 5 como parte del compromiso de la direccin, clusula 5 como parte del compromiso de la direccin, clusula 5 como parte del compromiso de la direccin,
ahora es parte de la clusula 7 de soporte. ahora es parte de la clusula 7 de soporte. ahora es parte de la clusula 7 de soporte. ahora es parte de la clusula 7 de soporte.
El control de documentos y registros (anteriormente en El control de documentos y registros (anteriormente en El control de documentos y registros (anteriormente en El control de documentos y registros (anteriormente en
la clusula 4.3) ahora se engloba como informacin la clusula 4.3) ahora se engloba como informacin la clusula 4.3) ahora se engloba como informacin la clusula 4.3) ahora se engloba como informacin
documentado (ya no hace diferen documentado (ya no hace diferen documentado (ya no hace diferen documentado (ya no hace diferencia entre documento y cia entre documento y cia entre documento y cia entre documento y
registro) registro) registro) registro)
8 Operacin 8 Operacin 8 Operacin 8 Operacin
8.1 Planeacin operacional y control 8.1 Planeacin operacional y control 8.1 Planeacin operacional y control 8.1 Planeacin operacional y control
8.2 Evaluacin de riesgos de 8.2 Evaluacin de riesgos de 8.2 Evaluacin de riesgos de 8.2 Evaluacin de riesgos de
s ss seguridad de la informacin eguridad de la informacin eguridad de la informacin eguridad de la informacin
8.3 Tratamiento de riesgos de 8.3 Tratamiento de riesgos de 8.3 Tratamiento de riesgos de 8.3 Tratamiento de riesgos de
seguridad de la informacin seguridad de la informacin seguridad de la informacin seguridad de la informacin
8 Mejora al SGSI 8 Mejora al SGSI 8 Mejora al SGSI 8 Mejora al SGSI
8.1 Mejora continua 8.1 Mejora continua 8.1 Mejora continua 8.1 Mejora continua
8.2 Acciones correctivas 8.2 Acciones correctivas 8.2 Acciones correctivas 8.2 Acciones correctivas
8.3 Acciones preventivas 8.3 Acciones preventivas 8.3 Acciones preventivas 8.3 Acciones preventivas
Como parte de la nueva clusula 8 tambin se maneja el Como parte de la nueva clusula 8 tambin se maneja el Como parte de la nueva clusula 8 tambin se maneja el Como parte de la nueva clusula 8 tambin se maneja el
proceso de evaluacin de riesgos y el de tratamiento de proceso de evaluacin de riesgos y el de tratamiento de proceso de evaluacin de riesgos y el de tratamiento de proceso de evaluacin de riesgos y el de tratamiento de
riesgos. riesgos. riesgos. riesgos.
9 Evaluacin del desempeo 9 Evaluacin del desempeo 9 Evaluacin del desempeo 9 Evaluacin del desempeo
9.1 Monitoreo, medicin, anlisis y 9.1 Monitoreo, medicin, anlisis y 9.1 Monitoreo, medicin, anlisis y 9.1 Monitoreo, medicin, anlisis y
evaluacin evaluacin evaluacin evaluacin
9.2 Auditora interna 9.2 Auditora interna 9.2 Auditora interna 9.2 Auditora interna
9.3 Revisin de la direccin 9.3 Revisin de la direccin 9.3 Revisin de la direccin 9.3 Revisin de la direccin

Se agrega la clusula 9 para evaluar el desempeo del Se agrega la clusula 9 para evaluar el desempeo del Se agrega la clusula 9 para evaluar el desempeo del Se agrega la clusula 9 para evaluar el desempeo del
SGSI y aqu se incluyen a la auditora interna SGSI y aqu se incluyen a la auditora interna SGSI y aqu se incluyen a la auditora interna SGSI y aqu se incluyen a la auditora interna
(anteriormente clusula 6) y a la revisin de la direccin (anteriormente clusula 6) y a la revisin de la direccin (anteriormente clusula 6) y a la revisin de la direccin (anteriormente clusula 6) y a la revisin de la direccin
(anteriormente clusula 7) (anteriormente clusula 7) (anteriormente clusula 7) (anteriormente clusula 7)
Clusula ISO 27001:2013 Clusula ISO 27001:2013 Clusula ISO 27001:2013
10 Mejora 10 Mejora 10 Mejora 10 Mejora
10.1 No conformidades y acciones 10.1 No conformidades y acciones 10.1 No conformidades y acciones 10.1 No conformidades y acciones
correctivas correctivas correctivas correctivas
10.2 Mejora continua 10.2 Mejora continua 10.2 Mejora continua 10.2 Mejora continua
La clusula 10 de mejora (anteriormente clusula 8) La clusula 10 de mejora (anteriormente clusula 8) La clusula 10 de mejora (anteriormente clusula 8) La clusula 10 de mejora (anteriormente clusula 8)
considera a las no conformidades y acciones considera a las no conformidades y acciones considera a las no conformidades y acciones considera a las no conformidades y acciones
correctivas, eliminando el trmino de acciones correctivas, eliminando el trmino de acciones correctivas, eliminando el trmino de acciones correctivas, eliminando el trmino de acciones
preventivas. preventivas. preventivas. preventivas.
Anexo A (informativo) Referencia Anexo A (informativo) Referencia Anexo A (informativo) Referencia Anexo A (informativo) Referencia
controles objetivo y controles. controles objetivo y controles. controles objetivo y controles. controles objetivo y controles.
Anexo A (normativo) Controles ob Anexo A (normativo) Controles ob Anexo A (normativo) Controles ob Anexo A (normativo) Controles objetivo y jetivo y jetivo y jetivo y
controles. controles. controles. controles.
El Anexo A ahora est conformado de 14 dominios (del El Anexo A ahora est conformado de 14 dominios (del El Anexo A ahora est conformado de 14 dominios (del El Anexo A ahora est conformado de 14 dominios (del
A.5 al A.18) en lugar de 11 (A.5 A.5 al A.18) en lugar de 11 (A.5 A.5 al A.18) en lugar de 11 (A.5 A.5 al A.18) en lugar de 11 (A.5 A.15) y el n A.15) y el n A.15) y el n A.15) y el n mero de mero de mero de mero de
controles especficos disminuy de 133 a 113. controles especficos disminuy de 133 a 113. controles especficos disminuy de 133 a 113. controles especficos disminuy de 133 a 113.
Cambios de Controles de Seguridad de Informacin en el Anexo A Cambios de Controles de Seguridad de Informacin en el Anexo A Cambios de Controles de Seguridad de Informacin en el Anexo A Cambios de Controles de Seguridad de Informacin en el Anexo A
A nivel de A nivel de A nivel de A nivel de c cc co oo on nn nt tt tr rr ro oo ol ll le ee es ss s ( (( (A AA An nn ne ee ex xx xo oo o A AA A) )) ) p pp po oo od dd de ee em mm mo oo os ss s c cc co oo om mm me ee en nn nt tt ta aa ar rr r q qq qu uu ue ee e a aa au uu un nn nq qq qu uu ue ee e a aa au uu um mm me ee en nn nt tt ta aa ar rr ro oo on nn n e ee el ll l n nn n m mm me ee er rr ro oo o d dd de ee e d dd do oo om mm mi ii in nn ni ii io oo os ss s d dd de ee e s ss se ee eg gg gu uu ur rr ri ii id dd da aa ad dd d d dd de ee e 1 11 11 11 1 a aa a 1 11 14 44 4, ,, ,
e ee es ss st tt to oo o s ss se ee e d dd de ee eb bb bi ii i f ff fu uu un nn nd dd da aa am mm me ee en nn nt tt ta aa al ll lm mm me ee en nn nt tt te ee e a aa a u uu un nn na aa a r rr re ee ee ee es ss st tt tr rr ru uu uc cc ct tt tu uu ur rr ra aa a d dd de ee el ll l e ee es ss st tt t n nn nd dd da aa ar rr r p pp pu uu ue ee es ss s p pp po oo or rr r e ee ej jj je ee em mm mp pp pl ll lo oo o e ee el ll l d dd do oo om mm mi ii in nn ni ii io oo o A AA A. .. .1 11 10 00 0 A AA Ad dd dm mm mi ii in nn ni ii is ss st tt tr rr ra aa ac cc ci ii i n nn n d dd de ee e
Comunicaciones y Operaciones de la v Comunicaciones y Operaciones de la v Comunicaciones y Operaciones de la v Comunicaciones y Operaciones de la ve ee er rr rs ss si ii i n nn n 2 22 20 00 00 00 05 55 5 a aa ah hh ho oo or rr ra aa a s ss se ee e s ss se ee ep pp pa aa ar rr r e ee en nn n d dd do oo os ss s d dd do oo om mm mi ii in nn ni ii io oo os ss s, ,, , a aa as ss s c cc co oo om mm mo oo o t tt ta aa am mm mb bb bi ii i n nn n s ss se ee e c cc cr rr re ee e u uu un nn n d dd do oo om mm mi ii in nn ni ii io oo o
e ee es ss sp pp pe ee ec cc c f ff fi ii ic cc co oo o p pp pa aa ar rr ra aa a C CC Cr rr ri ii ip pp pt tt to oo og gg gr rr ra aa af ff f a aa a y yy y o oo ot tt tr rr ro oo o p pp pa aa ar rr ra aa a l ll la aa a R RR Re ee el ll la aa ac cc ci ii i n nn n c cc co oo on nn n p pp pr rr ro oo ov vv ve ee ee ee ed dd do oo or rr re ee es ss s, ,, , d dd de ee er rr ri ii iv vv va aa ad dd do oo o d dd de ee e d dd di ii ic cc ch hh ha aa a r rr re ee ee ee es ss st tt tr rr ru uu uc cc ct tt tu uu ur rr ra aa a e ee el ll l n nn n m mm me ee er rr ro oo o d dd de ee e c cc co oo on nn nt tt tr rr ro oo ol ll le ee es ss s
disminuy pasando de 133 a 113, a continuacin se m disminuy pasando de 133 a 113, a continuacin se m disminuy pasando de 133 a 113, a continuacin se m disminuy pasando de 133 a 113, a continuacin se mu uu ue ee es ss st tt tr rr ra aa a e ee el ll l l ll li ii is ss st tt ta aa ad dd do oo o c cc co oo om mm mp pp pa aa ar rr ra aa at tt ti ii iv vv vo oo o d dd de ee e l ll lo oo os ss s n nn nu uu ue ee ev vv vo oo os ss s d dd do oo om mm mi ii in nn ni ii io oo os ss s d dd de ee e s ss se ee eg gg gu uu ur rr ri ii id dd da aa ad dd d d dd de ee e l ll la aa a
informacin. informacin. informacin. informacin.
Anexo A ISO 27001:2005 Anexo A ISO 27001:2013
A.5 Poltica de Seguridad A.5 Poltica de Seguridad A.5 Poltica de Seguridad A.5 Poltica de Seguridad A.5 Polticas de Seguridad A.5 Polticas de Seguridad A.5 Polticas de Seguridad A.5 Polticas de Seguridad
A.6 Organizacin de seguridad de la informacin A.6 Organizacin de seguridad de la informacin A.6 Organizacin de seguridad de la informacin A.6 Organizacin de seguridad de la informacin A.6 A.6 A.6 A.6 Organizacin de la seguridad de la informacin Organizacin de la seguridad de la informacin Organizacin de la seguridad de la informacin Organizacin de la seguridad de la informacin
A.8 Seguridad en recursos humanos A.8 Seguridad en recursos humanos A.8 Seguridad en recursos humanos A.8 Seguridad en recursos humanos A.7 Seguridad en recursos humanos A.7 Seguridad en recursos humanos A.7 Seguridad en recursos humanos A.7 Seguridad en recursos humanos
A.7 Administracin de activos A.7 Administracin de activos A.7 Administracin de activos A.7 Administracin de activos A.8 Administracin de activos A.8 Administracin de activos A.8 Administracin de activos A.8 Administracin de activos
A.11 Control de acceso A.11 Control de acceso A.11 Control de acceso A.11 Control de acceso A.9 Control de acceso A.9 Control de acceso A.9 Control de acceso A.9 Control de acceso
A.10 Criptografa A.10 Criptografa A.10 Criptografa A.10 Criptografa
A.9 A.9 A.9 A.9 Seguridad fsica y ambiental Seguridad fsica y ambiental Seguridad fsica y ambiental Seguridad fsica y ambiental A.11 Seguridad fsica y ambiental A.11 Seguridad fsica y ambiental A.11 Seguridad fsica y ambiental A.11 Seguridad fsica y ambiental
A.10 Administracin de comunicaciones y operaciones A.10 Administracin de comunicaciones y operaciones A.10 Administracin de comunicaciones y operaciones A.10 Administracin de comunicaciones y operaciones A.12 Seguridad en operaciones A.12 Seguridad en operaciones A.12 Seguridad en operaciones A.12 Seguridad en operaciones
A.13 Seguridad en comunicaciones A.13 Seguridad en comunicaciones A.13 Seguridad en comunicaciones A.13 Seguridad en comunicaciones
A.12 Adquisicin, desarrollo y mantenimiento de sistemas A.12 Adquisicin, desarrollo y mantenimiento de sistemas A.12 Adquisicin, desarrollo y mantenimiento de sistemas A.12 Adquisicin, desarrollo y mantenimiento de sistemas A.14 A.14 A.14 A.14 Adquisicin, desarrollo y mantenimiento de sistemas Adquisicin, desarrollo y mantenimiento de sistemas Adquisicin, desarrollo y mantenimiento de sistemas Adquisicin, desarrollo y mantenimiento de sistemas
A.15 Relacin con proveedores A.15 Relacin con proveedores A.15 Relacin con proveedores A.15 Relacin con proveedores
A.13 Administracin de incidentes de seguridad de la informacin A.13 Administracin de incidentes de seguridad de la informacin A.13 Administracin de incidentes de seguridad de la informacin A.13 Administracin de incidentes de seguridad de la informacin A.16 Administracin de incidentes de seguridad de la informacin A.16 Administracin de incidentes de seguridad de la informacin A.16 Administracin de incidentes de seguridad de la informacin A.16 Administracin de incidentes de seguridad de la informacin
A.14 A.14 A.14 A.14 Administracin de continuidad del negocio Administracin de continuidad del negocio Administracin de continuidad del negocio Administracin de continuidad del negocio A.17 Aspectos de seguridad de la informacin en la administracin de A.17 Aspectos de seguridad de la informacin en la administracin de A.17 Aspectos de seguridad de la informacin en la administracin de A.17 Aspectos de seguridad de la informacin en la administracin de

continuidad del negocio continuidad del negocio continuidad del negocio continuidad del negocio
A.15 Cumplimiento A.15 Cumplimiento A.15 Cumplimiento A.15 Cumplimiento A.18 Cumplimiento A.18 Cumplimiento A.18 Cumplimiento A.18 Cumplimiento