Análisis detallado de las diferencias entre ISO 27001:2013 e ISO 27001:2022. Reestructuración del Anexo A, nuevos controles, plazos de transición y estrategia de migración.
La transición de ISO 27001:2013 a la versión 2022 representa la actualización más significativa en una década. Aunque los requisitos del cuerpo principal (cláusulas 4-10) sufrieron cambios menores, el Anexo A fue completamente reestructurado: de 114 controles en 14 dominios a 93 controles en 4 categorías temáticas. Organizaciones certificadas bajo la versión 2013 debieron completar la transición antes de octubre de 2025.
| Aspecto | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Estructura del Anexo A | 114 controles organizados en 14 dominios (A.5 a A.18): políticas de seguridad, organización, recursos humanos, gestión de activos, control de acceso, criptografía, seguridad física, operaciones, comunicaciones, desarrollo, proveedores, incidentes, continuidad y cumplimiento. | 93 controles reorganizados en 4 categorías temáticas: organizacionales (37), de personas (8), físicos (14) y tecnológicos (34). La reestructuración eliminó redundancias, consolidó controles relacionados y agregó 11 controles nuevos que reflejan amenazas actuales. |
| Nuevos controles | No aplica. La versión 2013 fue el estándar vigente durante casi una década sin actualizaciones de controles. | 11 controles nuevos: inteligencia de amenazas (A.5.7), seguridad en la nube (A.5.23), preparación TIC para continuidad (A.5.30), monitoreo de seguridad física (A.7.4), gestión de configuración (A.8.9), eliminación de información (A.8.10), enmascaramiento de datos (A.8.11), prevención de fuga de datos (A.8.12), monitoreo de actividades (A.8.16), filtrado web (A.8.23) y codificación segura (A.8.28). |
| Atributos de controles | Los controles no incluían metadatos ni categorización más allá de su dominio. La evaluación de cada control se basaba únicamente en su descripción y en la guía de implementación de ISO 27002:2013. | Cada control incluye 5 atributos de clasificación: tipo (preventivo, detectivo, correctivo), propiedad de seguridad (CIA), concepto de ciberseguridad (NIST), capacidad operativa y dominio de seguridad. Esto facilita el filtrado y la priorización basada en el contexto de la organización. |
| Cambios en cláusulas principales | Cláusulas 4 a 10 establecieron los requisitos originales del sistema de gestión: contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora. | Cambios menores pero significativos: la cláusula 4.2 requiere analizar explícitamente qué requisitos de partes interesadas se abordarán vía el SGSI. La cláusula 6.3 introduce la gestión de cambios planificados al SGSI. La cláusula 8.1 refuerza la planificación operativa de controles de procesos, productos y servicios externos. |
| Plazo de transición | Las certificaciones bajo ISO 27001:2013 dejaron de ser válidas el 31 de octubre de 2025. Organizaciones que no completaron la transición perdieron su certificación y deben reiniciar el proceso bajo la versión 2022. | Todas las nuevas certificaciones y recertificaciones se realizan exclusivamente bajo ISO 27001:2022. Los organismos de certificación auditan la versión 2022 desde abril de 2024. |
La versión 2022 no es un cambio radical sino una evolución necesaria. Los 11 nuevos controles reflejan amenazas que no existían o no eran prevalentes en 2013: seguridad en la nube, inteligencia de amenazas, prevención de fuga de datos y codificación segura. Para organizaciones que ya tenían la versión 2013, la transición requirió actualizar la SoA, evaluar los nuevos controles y ajustar la documentación. Para organizaciones que implementan desde cero, la versión 2022 ofrece una estructura más lógica y alineada con el panorama de amenazas actual.
Desde noviembre de 2025, las certificaciones 2013 no son válidas. Es necesario iniciar un proceso de certificación bajo ISO 27001:2022. Sin embargo, la experiencia y documentación del SGSI anterior son aprovechables: la migración es significativamente más rápida que una implementación desde cero.
No. Como en la versión 2013, la organización selecciona los controles aplicables mediante la Declaración de Aplicabilidad (SoA). Cada exclusión debe estar justificada con base en la evaluación de riesgos. Sin embargo, controles como inteligencia de amenazas y seguridad en la nube son difíciles de excluir para la mayoría de las organizaciones actuales.
Para organizaciones con un SGSI maduro, la transición técnica puede completarse en 3-6 meses. El proceso incluye: análisis de brechas contra la versión 2022, actualización de la SoA con los 11 nuevos controles, ajuste de la documentación y auditoría de transición por el organismo de certificación.
Diagnostico en 72 horas operativas. Metodologia ISO. Sin vinculacion con certificadores.
Solicitar diagnostico