- See Norma ISO 27002:2022 5.15 para obtener más información.
- See ISO 27001:2013 Anexo A 9.1.1 para obtener más información.
- See ISO 27001:2013 Anexo A 9.1.2 para obtener más información.
ISO 27001:2022 Anexo A 5.15 – Una guía completa sobre políticas de control de acceso
Anexo A 5.15 de la Norma ISO 27001:2022; Tu guía paso a paso para entenderlo y afrontarlo.
El Anexo A 5.15 se refiere a los procedimientos de control de acceso. El objetivo del Anexo A.9 es salvaguardar el acceso a la información y garantizar que los empleados solo tengan acceso a la información que necesitan para desempeñar sus funciones.
Es uno de los elementos esenciales de una sistema de gestión de la seguridad de la información (SGSI), especialmente si planea obtener la certificación ISO 27001.
Hacer bien esta parte es un componente crítico de ISO 27001, certificación y donde muchas empresas requieren asistencia. Para comprender mejor estos requisitos, echemos un vistazo más de cerca a lo que implican.
Política de control de acceso
Para gestionar el acceso a los activos dentro del alcance de una organización, se debe desarrollar, documentar y revisar periódicamente una política de control de acceso.
El control de acceso gobierna cómo las entidades humanas y no humanas en una red acceden a los datos, los recursos de TI y las aplicaciones.
Los riesgos de seguridad de la información asociados con la información y el apetito de la organización por gestionarlos deben reflejarse en las reglas, derechos y restricciones y en la profundidad de los controles utilizados. Se trata simplemente de decidir quién tiene acceso a qué, cuánto y quién no.
Es posible configurar controles de acceso físico y digital, como limitar los permisos de las cuentas de usuario o restringir el acceso a ubicaciones físicas específicas (alineado con el Anexo A.7 Seguridad física y ambiental). La política debe tener en cuenta las siguientes consideraciones:
- Es esencial alinear los requisitos de seguridad de las aplicaciones comerciales con el esquema de clasificación de información en uso según el Anexo A 5.9, 5.10, 5.11, 5.12, 5.13 y 7.10 relacionados con la Gestión de Activos.
- Identifique quién requiere acceso, conocimiento y uso de la información, acompañado de procedimientos y responsabilidades claramente definidos.
- Se aseguran que los derechos de acceso y privilegios Los derechos de acceso (más poder, ver más abajo) se gestionan de manera efectiva, incluida la adición de cambios en la vida (por ejemplo, controles para superusuarios/administradores) y revisiones periódicas (por ejemplo, controles periódicos). auditorías internas según el requisito Anexo A 5.15, 5.16, 5.17, 5.18 y 8.2).
- Un procedimiento formal y responsabilidades definidas deberían respaldar las reglas de control de acceso.
Es vital revisar el control de acceso a medida que cambian los roles, especialmente durante las salidas, para cumplir con el Anexo A.7 Seguridad de los recursos humanos.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Las redes y los servicios de red están disponibles para los usuarios
Un enfoque general de protección es el de acceso mínimo en lugar de acceso ilimitado y derechos de superusuario sin una consideración cuidadosa.
En consecuencia, los usuarios sólo deberían tener acceso a redes y servicios de red requeridos para cumplir con sus responsabilidades. La política debe abordar; Las redes y servicios de red en el ámbito de acceso; Procedimientos de autorización para mostrar quién (basado en roles) tiene permiso para acceder a qué y cuándo; y Controles y procedimientos de gestión para impedir el acceso y monitorizarlo en caso de incidente.
La incorporación y la baja también deben tener en cuenta esta cuestión, que está estrechamente relacionada con la política de control de acceso.
Propósito de ISO 27001:2022 Anexo A 5.15
Como control preventivo, el Anexo A 5.15 mejora la capacidad subyacente de una organización para controlar el acceso a datos y activos.
un conjunto concreto de seguridad comercial e informativa Se deben satisfacer las necesidades antes de que se pueda otorgar y modificar el acceso a los recursos según el Anexo A Control 5.15.
ISO 27001 Anexo A 5.15 proporciona pautas para facilitar el acceso seguro a los datos y minimizar el riesgo de acceso no autorizado a redes físicas y virtuales.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Propiedad del Anexo A 5.15
Como se muestra en el Anexo A 5.15, el personal de gestión en varias partes de una La organización debe mantener un conocimiento profundo. a qué recursos es necesario acceder (por ejemplo, además de que RR.HH. informe a los empleados sobre sus funciones laborales, que dictan sus parámetros RBAC, los derechos de acceso son, en última instancia, una función de mantenimiento controlada por los administradores de red).
La propiedad del Anexo A 5.15 de una organización debe recaer en un miembro de la alta dirección que tenga autoridad técnica general sobre los dominios, subdominios, aplicaciones, recursos y activos de la empresa. Este podría ser el jefe de TI.
Orientación general sobre ISO 27001:2022 Anexo 5.15
Se requiere un enfoque de tema específico para el control de acceso para cumplir con el Control 27001 del Anexo A de ISO 2022:5.15 (más comúnmente conocido como enfoque de tema específico).
En lugar de adherirse a una política general de control de acceso que se aplique al acceso a recursos y datos en toda la organización, los enfoques temáticos específicos alientan a las organizaciones a crear políticas de control de acceso dirigidas a funciones comerciales individuales.
En todas las áreas temáticas específicas, el Anexo A Control 5.15 requiere que las políticas relacionadas con el control de acceso consideren los 11 puntos siguientes. Algunas de estas directrices se superponen con otras políticas.
Como pauta, las organizaciones deben consultar los controles adjuntos para obtener más información caso por caso:
- Identificar qué entidades requieren acceso a ciertos activos e información.
- Mantener un registro de las funciones laborales y los requisitos de acceso a los datos de acuerdo con la estructura organizativa de su organización es la forma más sencilla de garantizar el cumplimiento.
- Seguridad e integridad de todas las aplicaciones relevantes (vinculadas al Control 8.2).
- Se podría realizar una evaluación de riesgos formal para evaluar las características de seguridad de aplicaciones individuales.
- El control del acceso físico a un sitio (enlaces con los Controles 7.2, 7.3 y 7.4).
- Como parte de su programa de cumplimiento, su organización debe demostrar un conjunto sólido de controles de acceso a edificios y salas, incluidos sistemas de entrada administrados, perímetros de seguridad y procedimientos para visitantes, cuando corresponda.
- Cuando se trata de distribución, seguridad y categorización de la información, el principio de “necesidad de saber” debe aplicarse en toda la organización (vinculado a 5.10, 5.12 y 5.13).
- Las empresas deben adherirse a estrictas políticas de mejores prácticas que no proporcionen acceso generalizado a los datos en toda la jerarquía de una organización.
- Asegúrese de que los derechos de acceso privilegiado estén restringidos (relacionado con 8.2).
- Los privilegios de acceso de los usuarios a los que se les da acceso a datos superiores a los de un usuario estándar deben ser monitoreados y auditados.
- Garantizar el cumplimiento de cualquier legislación vigente, directrices regulatorias específicas del sector u obligaciones contractuales relacionadas con el acceso a datos (ver 5.31, 5.32, 5.33, 5.34 y 8.3).
- Las políticas de control de acceso de una organización se personalizan de acuerdo con las obligaciones externas con respecto al acceso a datos, activos y recursos.
- Estar atento a posibles conflictos de intereses.
- Las políticas deben incluir controles para evitar que un individuo comprometa una función de control de acceso más amplia en función de sus niveles de acceso (es decir, un empleado que puede solicitar, autorizar e implementar cambios en una red).
- Una Política de Control de Acceso debe abordar las tres funciones principales (solicitudes, autorizaciones y administración) de forma independiente.
- Una política de control de acceso debe reconocer que, a pesar de su naturaleza autónoma, comprende varios pasos individuales, cada uno de los cuales contiene sus requisitos.
- Para garantizar el cumplimiento de los requisitos de 5.16 y 5.18, las solicitudes de acceso deben realizarse de manera estructurada y formal.
- Las organizaciones deben implementar procesos de autorización formales que requieran la aprobación formal y documentada del personal adecuado.
- Gestionar los derechos de acceso de forma continua (vinculado al 5.18).
- Para mantener la integridad de los datos y los perímetros de seguridad, se requieren auditorías periódicas, supervisión de recursos humanos (abandonos, etc.) y cambios específicos del trabajo (por ejemplo, movimientos departamentales y cambios de roles).
- Mantener registros adecuados y controlar el acceso a ellos. Cumplimiento: las organizaciones deben recopilar y almacenar datos sobre eventos de acceso (por ejemplo, actividad de archivos), protegerse contra el acceso no autorizado a los registros de eventos de seguridad y seguir un gestión integral de incidencias estrategia.
Orientación complementaria sobre el Anexo 5.15
Según la guía complementaria, ISO 27001:2022 Anexo A Control 5.15 menciona (sin limitarse a) cuatro tipos diferentes de control de acceso, que se pueden clasificar en términos generales de la siguiente manera:
- Control de acceso obligatorio (MAC): el acceso lo gestiona centralmente una única autoridad de seguridad.
- Una alternativa a MAC es el control de acceso discrecional (DAC), en el que el propietario del objeto puede otorgar privilegios a otros dentro del objeto.
- Un sistema de control de acceso basado en funciones y privilegios laborales predefinidos se denomina control de acceso basado en roles (RBAC).
- Al utilizar el control de acceso basado en atributos (ABAC), los derechos de acceso de los usuarios se otorgan en función de políticas que combinan atributos.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Directrices para implementar reglas de control de acceso
Hemos discutido que las reglas de control de acceso se otorgan a varias entidades (humanas y no humanas) que operan dentro de una red, a las que se les asignan roles que definen su función general.
Al definir y promulgar las políticas de control de acceso de su organización, el Anexo A 5.15 le pide que considere los siguientes cuatro factores:
- Debe mantenerse la coherencia entre los datos a los que se aplica el derecho de acceso y el tipo de derecho de acceso.
- Es esencial garantizar la coherencia entre los derechos de acceso de su organización y los requisitos de seguridad física (perímetros, etc.).
- Los derechos de acceso en un entorno informático distribuido (como un entorno basado en la nube) consideran las implicaciones de los datos que residen en un amplio espectro de redes.
- Considere las implicaciones de los controles de acceso dinámico (un método granular de acceder a un conjunto detallado de variables implementado por un administrador del sistema).
Definir responsabilidades y documentar el proceso
Según ISO 27001:2022 Anexo A Control 5.15, las organizaciones deben desarrollar y mantener una lista estructurada de responsabilidades y documentación. Existen numerosas similitudes entre la lista completa de controles de ISO 27001:2022, y el Anexo A 5.15 contiene los requisitos más relevantes:
Documentación
- ISO 27001:2022 Anexo A 5.16
- ISO 27001:2022 Anexo A 5.17
- ISO 27001:2022 Anexo A 5.18
- ISO 27001:2022 Anexo A 8.2
- ISO 27001:2022 Anexo A 8.3
- ISO 27001:2022 Anexo A 8.4
- ISO 27001:2022 Anexo A 8.5
- ISO 27001:2022 Anexo A 8.18
Responsabilidades
- ISO 27001:2022 Anexo A 5.2
- ISO 27001:2022 Anexo A 5.17
granularidad
El Control 5.15 del Anexo A brinda a las organizaciones una libertad significativa para especificar la granularidad de sus políticas de control de acceso.
En general, ISO aconseja a las empresas que utilicen su criterio respecto de qué tan detallado debe ser un determinado conjunto de reglas, empleado por empleado, y cuántas variables deben aplicarse a una determinada información.
Específicamente, el Anexo A 5.15 reconoce que cuanto más detalladas sean las políticas de control de acceso de una empresa, mayor será el costo y más desafiante se vuelve el concepto de control de acceso en múltiples ubicaciones, tipos de redes y variables de aplicación.
El control de acceso, a menos que se administre con cuidado, puede salirse de control muy rápidamente. Es aconsejable simplificar las reglas de control de acceso para garantizar que sean más fáciles de gestionar y más rentables.
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
¿Cuáles son los cambios con respecto a ISO 27001:2013?
El Anexo A 5.15 en 27001:2022 es una fusión de dos controles similares en 27001:2013 – Anexo A 9.1.1 (Política de control de acceso) y Anexo A 9.1.2 (Acceso a redes y servicios de red.).
Los temas subyacentes de A.9.1.1 y A.9.1.2 son similares a los del Anexo A 5.15, excepto por algunas diferencias operativas sutiles.
Al igual que en 2022, ambos controles se relacionan con la administración del acceso a la información, los activos y los recursos y operan según el principio de “necesidad de saber”, en el que los datos corporativos se tratan como un bien que requiere una gestión y protección cuidadosas.
Hay 11 pautas que rigen en 27001:2013 Anexo A 9.1.1, todas las cuales siguen los mismos principios generales que 27001:2022 Anexo A Control 5.15 con un énfasis ligeramente mayor en la seguridad perimetral y la seguridad física.
Generalmente existen las mismas pautas de implementación para el control de acceso, pero el control 2022 proporciona una guía mucho más concisa y práctica en sus cuatro pautas de implementación.
Los tipos de controles de acceso utilizados en ISO 27001:2013 Anexo A 9.1.1 han cambiado
Como se indica en el Anexo A 27001 de ISO 5.15, han surgido varias formas de control de acceso en los últimos nueve años (MAC, DAC, ABAC), mientras que en 27001:2013 Anexo A Control 9.1.1, el método principal de control de acceso comercial en ese El tiempo era RBAC.
Nivel de granularidad
Los controles de 2013 deben contener pautas significativas sobre cómo una organización debe abordar los controles de acceso granulares a la luz de los cambios tecnológicos que brindan a las organizaciones un mayor control sobre sus datos.
Por el contrario, el Anexo A 5.15 de 27001:2022 proporciona a las organizaciones una flexibilidad considerable.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control:
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
¿Cómo puede ayudar ISMS.online?
El Anexo A 5.15 de ISO 27001:2022 es probablemente la cláusula de la que más se habla dentro del Anexo A, y algunos argumentan que es la más importante.
Su Sistema de Gestión de Seguridad de la Información (SGSI) tiene como objetivo garantizar que las personas adecuadas tengan acceso a la información correcta en el momento adecuado. Una de las claves del éxito es hacerlo bien, pero hacerlo mal puede afectar negativamente a su negocio.
Considere el escenario en el que accidentalmente reveló información confidencial de sus empleados a las personas equivocadas, como lo que se les paga a todos en la organización.
Si no tienes cuidado, las consecuencias de equivocarte en esta parte pueden ser graves. Por lo tanto, es imperativo tomarse el tiempo para considerar cuidadosamente todos los aspectos antes de continuar.
A este respecto, our platform puede ser un verdadero activo. Esto se debe a que sigue toda la estructura de ISO 27001 y le permite adoptar, adaptar y enriquecer el contenido que le brindamos, brindándole una ventaja considerable.
Obtén un Demostración gratuita de ISMS.online hoy.
