Diferencia entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013

Estudiadas las dos normas considero que la mayor diferencia entre el viejo estándar y el nuevo radica en la estructura. 

La norma ISO/IEC 27002:2005 tenía 11 secciones principales mientras que la norma ISO/IEC 27002:2013 tiene ahora 14. Estas nuevas secciones analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores (secciones 10, 13 y  15, respectivamente). 

Sin embargo, mientras que el nuevo estándar tiene tres secciones más (más corto y más centrado que el anterior), el antiguo estándar tenía 106 páginas de contenido, mientras que el nuevo tiene solo 78.

ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas discuten sobre:

- La seguridad de gestión de proyectos

- Gestión de activos

- Instalación de software

- Desarrollo seguro

- Principios de ingeniería de sistemas seguros

- Entornos de desarrollo seguros

- Pruebas de seguridad del sistema

- Seguridad del proveedor

- La evaluación de los eventos de seguridad

- Planificación, implementación y verificación de la continuidad de la seguridad de la información

- El uso de las instalaciones redundantes de procesamiento de la información.

Además, la mayoría de las secciones se han reescrito en algunos aspectos y algunas secciones han sido trasladadas a otras secciones o incluso reelaboradas. Por ejemplo, la antigua sección 14 sobre continuidad comercial se ha reelaborado por completo. Además, las secciones anteriores sobre cómo organizar la seguridad (6), sobre comunicaciones y operaciones (10), y control de acceso (11) fueron completamente reelaboradas, divididas y trasladadas a otras secciones. También, la vieja sección sobre la gestión del riesgo se eliminó por completo.

Finalizando este apartado cabe saber que han habido algunos cambios en la terminología. Privilegios se han convertido en los derechos de acceso privilegiado, la palabra "contraseña" ha sido en gran parte reemplazada por la frase secreta "información de autenticación"; los usuarios de terceros ahora se conocen como externos partido usuarios; el verbo cheque ha sido reemplazado por verificar; código malicioso ahora se denomina malware; los registros de auditoría ahora son registros de eventos; las transacciones en línea ahora se conocen como transacciones de servicios de aplicaciones, etc.