- See Norma ISO 27002:2022 5.1 para obtener más información.
- See ISO 27001:2013 Anexo A 5.1.1 para obtener más información.
- See ISO 27001:2013 Anexo A 5.1.2 para obtener más información.
Aspectos esenciales del Anexo A 5.1: Guía de políticas de seguridad de la información
Como parte de ISO 27001:2022, el Anexo A 5.1 especifica que las organizaciones deben tener una seguridad de la información documento de política vigente. Esto es para protegerse contra amenazas a la seguridad de la información.
Al desarrollar políticas se deben tener en cuenta las necesidades empresariales, así como las reglamentaciones y la legislación aplicables.
Un documento de política de seguridad de la información es esencialmente un compendio de controles del Anexo A que refuerza las declaraciones clave de la organización sobre seguridad y las pone a disposición de las partes interesadas.
En la versión 2022 de la norma, las políticas también deben incluirse en el programa de educación, capacitación y concientización, como se describe en Controles de personas A.6.3.
Las políticas organizacionales especifican los principios que deben cumplir los miembros y las partes clave, como los proveedores. Estas políticas deben revisarse periódicamente y actualizarse según sea necesario.
¿Qué son las políticas de seguridad de la información?
An política de seguridad de la información tiene como objetivo proporcionar a los empleados, la gerencia y partes externas (por ejemplo, clientes y proveedores) un marco para administrar la información electrónica, incluidas las redes informáticas.
Se debe definir una política de seguridad, aprobarla la dirección, publicarla y comunicarla a los empleados y a las partes externas relevantes.
Además de reducir el riesgo de pérdida de datos debido a amenazas internas y externas, Las políticas de seguridad de la información garantizan que todos los empleados comprendan su papel en la protección de los datos de la organización.
Además de cumplir estándares como ISO 27001,, una política de seguridad de la información también puede demostrar el cumplimiento de las leyes y regulaciones.
Explicación de las amenazas a la seguridad de la información y la ciberseguridad
La seguridad cibernética Las amenazas incluyen espías corporativos y hacktivistas, grupos terroristas, Estados-nación hostiles y organizaciones criminales. Estas amenazas buscan acceder ilegalmente a datos, interrumpir operaciones digitales o dañar información.
Las amenazas a la ciberseguridad y la seguridad de la información incluyen:
- Los virus, el software espía y otros programas maliciosos se consideran malware.
- Un correo electrónico que parece provenir de una fuente confiable pero que contiene enlaces y archivos adjuntos que instalan malware en su computadora.
- Los virus impiden que los usuarios accedan a sus datos hasta que paguen un rescate.
- El proceso de manipular a las personas para que divulguen información confidencial se conoce como ingeniería social.
- Los correos electrónicos de phishing que parecen provenir de personas de alto perfil en una organización se conocen como ataques de ballenas.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cómo funciona ISO 27001:2022 Anexo A 5.1?
Las políticas de seguridad de la información están diseñadas para proteger la información confidencial de su empresa contra robos y accesos no autorizados.
In de acuerdo con la norma ISO 27001El control del Anexo A 5.1 orienta el propósito y la implementación del establecimiento de una política de seguridad de la información en una organización.
Se requiere una política general de seguridad de la información anexo A Control 5.1 para que las organizaciones gestionen la seguridad de su información. La alta dirección debe aprobar las directrices, que deben revisarse periódicamente si se producen cambios en el entorno de seguridad de la información.
El enfoque apropiado es reunirse periódicamente, al menos una vez al mes, con reuniones adicionales según sea necesario. Además de compartir políticas con partes interesadas internas y externas, la dirección debe aprobar cualquier cambio antes de su implementación.
Primeros pasos y cumplimiento de los requisitos del Anexo A 5.1
A procedimiento operativo detallado que describe cómo se implementará la política de seguridad de la información debe basarse y respaldarse en una política de seguridad de la información.
La política debe ser aprobada por la parte superior. dirección y comunicado al personal y a las partes interesadas.
además de dar dirección del enfoque de la organización Para gestionar la seguridad de la información, la política se puede utilizar para desarrollar procedimientos operativos más detallados.
Según lo requerido por Normas ISO/IEC 27000, una política es esencial para establecer y mantener un sistema de gestión de seguridad de la información (SGSI). Una política bien definida sigue siendo fundamental incluso si la organización no tiene intención de hacerlo. implementar la norma ISO 27001 o cualquier otra certificación formal.
Las políticas de seguridad de la información deben revisarse periódicamente para garantizar su idoneidad, adecuación y eficacia continuas.
Cuando se realizan cambios en el negocio, sus riesgos, tecnología, legislación o regulaciones, o si las debilidades, eventos o incidentes de seguridad indican que se necesitan cambios en las políticas.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Cuáles son los cambios y diferencias con respecto a ISO 27001:2013?
Como parte de la revisión 27001 de ISO 2013, este control fusiona los controles del Anexo A 5.1.1 Políticas de seguridad de la información y 5.1.2 Revisión de políticas de seguridad de la información.
Mando Anexo A 5.1 pulg. ISO 27001:2022 ha sido actualizada con una descripción de su propósito y orientación de implementación ampliada, así como una tabla de atributos que permite a los usuarios conciliar los controles del Anexo A con la terminología de la industria.
De acuerdo con el Anexo A 5.1, las políticas de seguridad de la información y de temas específicos deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas y reconocidas por el personal apropiado.
La política de seguridad de la información de una organización debe considerar el tamaño, el tipo y la sensibilidad de los activos de información, los estándares de la industria y los requisitos gubernamentales aplicables.
Según la cláusula 5.1.2 de la norma ISO 27001:2013, el propósito del Anexo A es garantizar que las políticas de seguridad de la información se evalúen periódicamente si surgen cambios en el entorno de seguridad de la información.
Según ISO 27001: 2013 e ISO 27001: 2022, la alta dirección debe desarrollar una política de seguridad que sea aprobada por la alta dirección y describa cómo la organización protegerá sus datos. Sin embargo, ambas versiones de las pólizas cubren requisitos diferentes.
Análisis comparativo del Anexo A 5.1 Lineamientos de implementación
Según ISO 27001:2013, las políticas de seguridad de la información deben abordar los siguientes requisitos:
- La estrategia empresarial.
- Contratos, reglamentos y legislación.
- Una descripción del entorno de amenazas actual y proyectado para la seguridad de la información.
Las políticas de seguridad de la información deben incluir las siguientes declaraciones:
- Todas las actividades relacionadas con la seguridad de la información debe guiarse mediante una definición de seguridad de la información, objetivos y principios.
- Las responsabilidades de gestión de la seguridad de la información se asignan a roles definidos de manera general y específica.
- El proceso para manejar desviaciones y excepciones.
Por el contrario, ISO 27001:2022 tiene requisitos más completos.
Como parte de la política de seguridad de la información se deben tener en cuenta los siguientes requisitos:
- Estrategia y requisitos del negocio.
- Legislación, reglamentos y contratos.
- Riesgos y amenazas a la seguridad de la información que existen hoy y en el futuro.
En la política de seguridad de la información se deben incluir declaraciones relativas a lo siguiente:
- Definición de seguridad de la información.
- Un marco para establecer objetivos de seguridad de la información.
- Los principios de seguridad de la información deben guiar todas las actividades.
- Un compromiso de cumplir con todos los requisitos de seguridad de la información aplicables.
- Un compromiso continuo para mejorar la sistema de gestión de seguridad de la información.
- Asignación de responsabilidades basada en roles para la gestión de la seguridad de la información.
- Las excepciones y exenciones se manejan de acuerdo con estos procedimientos.
Además, se revisó la norma ISO 27001:2022 para incluir políticas temáticas específicas para la gestión de incidentes de seguridad de la información, gestión de activos, seguridad de redes, gestión de incidentes y desarrollo seguro como políticas temáticas específicas. Con el fin de crear un marco más holístico, algunos de los requisitos de la norma ISO 27001:2013 se eliminaron o fusionaron.
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
Cómo ayuda ISMS.Online
con SGSI.online, tendrá acceso a un conjunto completo de herramientas y recursos para ayudarlo a administrar su propio Sistema de gestión de seguridad de la información (SGSI) ISO 27001, ya sea que sea nuevo o ya esté certificado.
Además, ISMS.online proporciona procesos automatizados para ayudar a simplificar todo el proceso de revisión. Estos procesos ahorran una cantidad considerable de tiempo administrativo en comparación con otros métodos de trabajo.
Obtendrá una ventaja con las políticas y controles ISO 27001 de ISMS.online.
Los flujos de trabajo intuitivos, herramientas, marcos, políticas y controles, documentación y orientación procesables, así como orientación práctica, facilitan la implementación de ISO 27001 al definir el alcance, identificar riesgos e implementar controles basados en nuestros algoritmos, ya sea que se hayan creado desde cero. o basado en plantillas de mejores prácticas de la industria.
Contáctenos hoy para programa una demostración.
