Guía de transición a la nueva ISO/IEC 27001:2022

El pasado día 22/10/2022 se publicó la nueva versión de la norma ISO/IEC 27001:2022 y renombrada como "Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información - Requisitos". Esta nueva versión reemplaza la versión actual ISO/IEC 27001:201.  

El periodo de transición para ejecutar el cambio es de un plazo máximo de tres años. Por tanto, todas las organizaciones que deseen seguir certificadas según la norma ISO/IEC 27001 tendrán que realizar el cambio a la versión del 2022 dentro del periodo establecido.  

Calendario de transición 

El calendario determinado por los organismos internacionales para la transición de certificados acreditados ISO/IEC 27001:2013 a ISO/IEC 27001:2022 es el siguiente: 

• 1 de mayo de 2024: A partir de esta fecha, todas las certificaciones iniciales y de recertificación deberán realizarse ya acorde a la ISO 27001:2022.  
• 31 de julio de 2025: Todas las auditorías de transición deben haberse realizado antes de esta fecha. 
   
• 31 de octubre de 2025: Finaliza el periodo de transición. Los certificados acreditados emitidos con la norma ISO/IEC 27001:2013 dejarán de ser válidos y no tendrán reconocimiento alguno. 

Hoja de ruta para los clientes certificados en ISO/IEC 27001:2013 

1. Para poder actualizar su certificado ISO/IEC 27001 a la nueva versión es necesario realizar una auditoría de transición. Esta se puede ejecutar junto a la auditoría de seguimiento planificada, la auditoría de recertificación o a través de una auditoría independiente.  

 2. La auditoría de transición conlleva unos tiempos mínimos establecidos por el organismo IAF. Los tiempos pueden ser ampliados atendiendo a la situación real de la organización, tamaño de esta, desempeño del sistema de gestión en años anteriores y la complejidad del sistema de gestión. 

3. La auditoría de transición no se basará solo en la revisión de documentos, sino también en la obtención de evidencias de cumplimiento. 

4. La auditoria de transición incluirá como mínimo lo siguiente: 

• Revision del análisis diferencial de ISO/IEC 27001:2022 realizado por el cliente, así como la necesidad e implantación de cambios en el Sistema de gestion de la seguridad de la información.  
• Verificación de la actualización de la Declaración de Aplicabilidad.  
• En su caso, análisis de la actualización del plan de tratamiento de riesgos.  
• Revisión de la implantación y eficacia de los controles nuevos o controles modificados que hayan sido seleccionados por los clientes.  
• La auditoría interna de la organización deberá evidenciar que se han auditado los nuevos requisitos ISO 27001:2022, así como los nuevos controles que sean aplicables. 
• La revision por la dirección deberá incorporar el análisis de la eficacia de la transición.  

5. Si la auditoría de transición es satisfactoria (sin desviaciones detectadas o tras resolución eficaz de las NCs a través de un PAC) Applus+ Certification actualizará el certificado para hacer referencia a ISO/IEC 27001:2022 y la actualización de la versión de la Declaración de Aplicabilidad. 

Nota: La emisión y validez del certificado adaptado a ISO/IEC 27001:2022 tendrá en cuenta lo siguiente: 

• Transición realizada junto a la auditoría de mantenimiento: se mantendrá la actual fecha de vigencia del certificado. 
• Transición realizada junto a la auditoría de renovación: se emitirá un nuevo certificado con fecha de vigencia de 3 años. 
• Transición realizada de forma independiente: se mantendrá la actual fecha de vigencia del certificado 

Para poder planificar con suficiente antelación la realización de la auditoría de transición les rogamos entren en contacto con el área comercial de Applus+ quien les proporcionará más información personalizada de cómo proceder.