Un cambio radical con respecto a la versión anterior es la restructuración de los 14 dominios de controles definidos en ISO 27002:2013 en torno a 4 grandes temas:

  • Controles Organizacionales (37 controles).
  • Controles de Personas (8 controles).
  • Controles Físicos (14 controles).
  • Controles Tecnológicos (34 controles).

Esta clasificación de funciones es mucho más simple que la provista por la versión 2013 de la norma, la cual se encuentra mucho más orientada al contexto de aplicación del control (organizacional, personas, físicos y tecnológicos).

En la versión 2013, en cada dominio se establecía una serie de objetivos de control (34) y luego los controles de seguridad de la información (114).

En esta nueva versión, no existe la definición de objetivos de control (se elimina), definiendo en total la nueva norma 93 controles.

Sin embargo, la norma incluye un atributo que permite la clasificación específica del control, en la cual cada control es clasificado en uno o más de las 15 categorías establecidas.

El cambio es acertado, el establecimiento de controles de acuerdo con su contexto de aplicación deja mucho más en evidencia las responsabilidades del personal de la empresa, para la gestión de la seguridad de la información, ciberseguridad y protección de la privacidad, las cuales se establecen en torno a los 37 controles organizacionales.

La eliminación de los objetivos de control es un aspecto positivo, dado que estos se encuentran intrínsecamente definidos en el control mismo, siendo escasamente utilizados en la versión 2013, aportando en la práctica muy poco valor.