ISO 27000:2013. Cambios a tener en cuenta

Ya correspondía la actualización; la International Organization for Standardization (ISO),  ha publicado la última versión de la norma ISO 27000 de Gestión de Seguridad de la Información, la ISO 27000:2013 que sustituye a la ISO 27000:2005.


Entre dichas normas existen muchas diferencias y aunque las mismas no son demasiado drásticas, las revisaremos en este artículo.

  • El cambio más evidente en la nueva versión de la norma es el de su estructura la cual se adapta a todas las normas de gestión. Además en esta nueva norma se eliminan los anexos B y C permaneciendo, tan solo, el anexo A.

  • Las partes interesadas cobran gran importancia en esta versión, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organización.

  • Los conceptos “documentos” y “registros” pasan a llamarse información documentada, en esta nueva norma.

  • La evaluación de riesgos ya no se realizará a partir de los activos, las vulnerabilidades y las amenazas sino que estos sólo se emplearán para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad. Con este cambio se logra aportar capacidad de decisión a la empresa a la hora de identificar los riesgos.

  • En el informe de objetivos propuestos por la empresa, ahora, será necesario especificar quién será el responsable de comprobar que se realizan, el responsable de medirlos y además con qué frecuencia lo hace. También será necesario especificar como se planea hacer posibles los objetivos.

  • Las acciones preventivas también son objeto de cambio en la norma 27001, ya que la nueva versión no incluye acciones preventivas ya que estas pasarán a formar parte de la evaluación del riesgo y el tratamiento.

  • Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solución a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades.

  • En la nueva norma también será necesario indicar toda la información relativa a la comunicación, incluyendo los requisitos a comunicar, cuando, como y a quién se comunica etc.


Estos cambios no sólo modifican a la norma anterior sino que la mejoran al hacerla más fácil de integrar a otras normas ISO como la ISO 9001 y o la norma ISO 20000.


La ISO 27000:2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, lo cual mal interpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de requisitos.


22 vistas

© 2000 - 2020 @ Menke consultores SpA  |  Santiago - Chile  |  info@menke.cl Polícita de privacidad