Lo más significativo para informar es que el proyecto para revisar la 3era edición de la ISO/IEC 27002:2013 parece estar en camino para alcanzar la etapa de borrador final pronto y seguramente se aprobará este año para luego ser publicada durante 2022.
La norma se está reestructurando y actualizando ampliamente, recopilando y abordando alrededor de 300 páginas de comentarios de los organismos nacionales de normalización en cada etapa.
La nueva estructura de la ISO 27002 tendrá los controles divididos en 4 categorías o tipos amplios, es decir: técnicos, físicos, de personas y organizativos.
A modo de comparación, el estándar está estructurado actualmente en 13 dominios de seguridad:
La 27002 casi duplicará su tamaño, pasando de 90 a 160 páginas más o menos, gracias a nuevos controles y consejos adicionales que incluyen áreas como la seguridad en la nube e IoT. Prácticamente todos los controles originales se han conservado, pero la mayoría se ha modificado para adaptar la nueva estructura y la práctica actual y habría un apéndice que asigna las cláusulas antiguas a las nuevas.
El Anexo A de la 27001 se está actualizando para reflejar los cambios, y se espera que se publique una nueva versión de esa norma en el segundo trimestre de 2022.
Supongo que otros estándares basados en 27002 (tales como 27011 y 27799) también serán revisados en consecuencia, en algún momento.
