- See Norma ISO 27002:2022 5.10 para obtener más información.
- See ISO 27001:2013 Anexo A 8.1.3 para obtener más información.
- See ISO 27001:2013 Anexo A 8.2.3 para obtener más información.
Anexo A 5.10 ISO 27001: Garantizar el uso adecuado de la información y los activos
ISO 27001:2022 Anexo A 5.10 describe las reglas para el uso aceptable y los procedimientos para el manejo de información y otros activos.
Estos deben ser identificados, documentados e implementados.
El objetivo de estas políticas es establecer instrucciones claras sobre cómo debe actuar el personal cuando trate con activos de información, garantizando la confidencialidad, fiabilidad y accesibilidad de los activos de seguridad de los datos de la organización.
¿Qué es el Anexo A 27001 de ISO 2022:5.10, Uso aceptable de la información y otros activos asociados?
El uso aceptable de Activos de información La Política (AUA) se aplica a todos los miembros de la organización y a todos los activos que poseen o son operados por ellos. Esta política es aplicable a cualquier uso, incluidos fines comerciales, de los Activos de Información.
Ejemplos de activos de información incluyen:
- El hardware incluye computadoras, dispositivos móviles, teléfonos y máquinas de fax.
- El software incluye sistemas operativos, aplicaciones (incluidas las basadas en web), utilidades, firmware y lenguajes de programación.
- Esta sección trata de datos estructurados en bases de datos relacionales, archivos planos, datos NoSQL, así como datos no estructurados, por ejemplo, documentos de texto, hojas de cálculo, imágenes, archivos de vídeo y audio.
- Las redes abarcan sistemas cableados e inalámbricos, telecomunicaciones y servicios de Voz sobre Protocolo de Internet (VoIP).
- Servicios en la nube, cuentas de correo electrónico y otros servicios alojados.
La utilización de información y otros activos relacionados requiere aplicarlos de manera que no pongan en peligro la disponibilidad, confiabilidad o solidez de los datos, servicios o recursos. También implica utilizarlos de manera que no vayan en contra de las leyes o las políticas de la empresa.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del control 27001 del Anexo A de ISO 2022:5.10?
El objetivo principal de este control es garantizar que la información y los activos relacionados se salvaguarden, utilicen y gestionen correctamente.
El Control 27001 del Anexo A de ISO 2022:5.10 garantiza que existan políticas, procedimientos y controles técnicos para impedir que los usuarios manejen mal los activos de información.
Este control busca establecer una estructura para que las organizaciones garanticen que la información y otros recursos sean adecuadamente salvaguardados, empleados y gestionados. Implica asegurarse de que existan políticas y procedimientos adecuados en todos los niveles de la organización, así como implementarlos periódicamente.
Implementación del Control 5.10 forma parte de su SGSI y garantiza que su empresa cuente con los requisitos necesarios para proteger sus activos de TI, tales como:
- Garantizar la seguridad de los datos durante el almacenamiento, procesamiento y tránsito es primordial.
- La salvaguardia y utilización adecuada de los equipos informáticos es fundamental. Es vital garantizar su seguridad y utilizarlo adecuadamente.
- Unos servicios de autenticación adecuados son esenciales para la regulación del acceso a los sistemas de información.
- El procesamiento de información dentro de una organización se limita únicamente a aquellos que tienen la autorización adecuada.
- La asignación de funciones relacionadas con los datos a determinadas personas o roles.
- Educar y capacitar a los usuarios sobre sus obligaciones de seguridad es esencial. Asegurarse de que comprendan sus funciones y responsabilidades ayuda a garantizar la seguridad del sistema.
Qué implica y cómo cumplir los requisitos
Para cumplir con las necesidades de Control 27001 de ISO 2022:5.10, es imperativo que el personal, tanto interno como externo, que utiliza o tiene acceso a los datos y recursos adicionales de la organización, sea consciente de las necesidades de la empresa. requisitos previos de seguridad de la información.
Los responsables deben rendir cuentas de los recursos de procesamiento de datos que utilicen.
Todo el personal asociado con la gestión de la información y otros activos relacionados debe conocer la política de la organización sobre su uso adecuado. Es esencial que todos los involucrados estén informados de las pautas.
Todo el personal que trabaja con información y activos relacionados debe conocer la política de la empresa sobre el uso aceptable. Como parte de la política de uso específica, el personal debe comprender con precisión qué se espera de ellos con respecto a estos recursos.
La política debe dejar claro que:
- Todos los empleados deben cumplir con las políticas y procedimientos de la empresa.
- Ningún empleado podrá realizar ninguna actividad que sea contraria a los intereses de la empresa.
- Cualquier empleado que no cumpla con las políticas y procedimientos de la empresa estará sujeto a medidas disciplinarias.
La política particular relacionada con el tema debe establecer que todo el personal debe adherirse a las directivas y protocolos de la firma:
- Se deben aclarar a las personas las expectativas y acciones inaceptables en materia de seguridad de la información.
- Uso permitido y prohibido de información y otros activos.
- Vigilar las operaciones de la organización.
Elaborar procedimientos de uso aceptable a lo largo de todo el ciclo de vida de la información, en línea con sus categorización y riesgos identificados. Piensa en lo siguiente:
- Se deben establecer restricciones de acceso para respaldar la protección de cada nivel de seguridad.
- Mantener un registro de usuarios autorizados de la información y otros activos asociados.
- Garantizar que la seguridad de las copias temporales o permanentes de la información sea consistente con los requisitos del contexto.
- Garantizar la preservación de los datos iniciales es de suma importancia.
- Almacenar activos relacionados con la información de acuerdo con los estándares de los fabricantes es esencial.
- Marque todas las copias electrónicas o físicas. medios de almacenamiento claramente para la atención del destinatario.
- La empresa autoriza la enajenación de información y otros activos, así como el(los) método(s) de eliminación que se admitan.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Diferencias entre ISO 27001:2013 e ISO 27001:2022
El elemento La versión 2022 de ISO 27001 se publicó en octubre de 2022; es una versión mejorada de ISO 27001:2013.
El anexo A 5.10 de ISO 27001:2022 no es nuevo; es una combinación de los controles 8.1.3 y 8.2.3 de ISO 27001:2013.
La esencia y las pautas de implementación del Anexo A 5.10 son similares a las de los controles 8.1.3 y 8.2.3, pero el Anexo A 5.10 combina el uso aceptable y el manejo de los activos en un solo control para facilitar el uso.
El Anexo A 5.10 agregó adicionalmente un punto adicional al 8.2.3, que se refiere a la aprobación de la eliminación de información y cualquier activo relacionado, así como los métodos de eliminación recomendados.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
¿Quién está a cargo de este proceso?
Esta política establece las reglas para el uso adecuado de los recursos de la empresa. información y activos asociados, como computadoras, redes y sistemas, correo electrónico, archivos y medios de almacenamiento. Todos los empleados y contratistas deben cumplirlo.
Esta política sirve para:
- Proporcionar pautas para un comportamiento apropiado en todo momento.
- Describa las consecuencias de cualquier incumplimiento de conducta.
- Garantizar un entorno seguro y respetuoso para todos.
El objetivo de esta política es establecer directivas para un comportamiento apropiado y detallar las ramificaciones de violarlas, con el fin de crear una atmósfera segura y respetuosa para todos.
Garantizar que los datos de la empresa y otros activos relacionados se utilicen únicamente por motivos comerciales válidos. Garantizar que los miembros del personal cumplan con todas las leyes y regulaciones relativas a la seguridad de la información y defender la información de la empresa y otros activos relacionados de riesgos provenientes del interior o exterior de la empresa.
El elemento Oficial de seguridad de la información (ISO) tiene la tarea de diseñar, ejecutar y sostener los recursos de Uso Aceptable de la Información.
La ISO estará a cargo de supervisar la utilización de los recursos de información en toda la organización para garantizar que los datos se utilicen de una manera que salvaguarde la seguridad y la precisión de los datos, preserve la confidencialidad de la información privada o delicada, evite el abuso y el acceso no autorizado a los recursos informáticos. y elimina cualquier exposición o responsabilidad innecesaria para la organización.
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
¿Qué significan estos cambios para usted?
La nueva norma ISO 27001:2022 es una revisión, por lo que no necesitará realizar muchas modificaciones para cumplirla.
Consulte nuestra guía sobre ISO 27001:2022 para obtener más información sobre las implicaciones del Anexo A 5.10 en su negocio y cómo demostrar su cumplimiento.
Cómo ayuda ISMS.online
ISMS.online hace Implementación de ISO 27001 sencillo, con una lista de verificación completa paso a paso. Esta guía lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación de controles.
Este modelo crea un marco para establecer, utilizar, operar, observar, evaluar, sostener y desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI).
Implementando el norma ISO 27001 Puede ser un esfuerzo extenso, sin embargo, ISMS.online proporciona una solución integral e integral para hacer el proceso mucho más fácil.
Nuestro de primera software del sistema de gestión de seguridad de la información Ofrece una manera sencilla de comprender lo que se debe lograr y cómo proceder.
Hacemos que sea fácil gestionar sus necesidades de cumplimiento. Eliminamos la molestia y el estrés de cumplir con sus requisitos.
Comuníquese hoy con reservar una demostración.
