- See Norma ISO 27002:2022 5.19 para obtener más información. Línea cuenta con opciones en español.
- See ISO 27001:2013 Anexo A 15.1.1 para obtener más información. Línea cuenta con opciones en español.
Fortalecimiento de la seguridad de los proveedores: una mirada en profundidad al Anexo A 27001 de la norma ISO 5.19
ISO 27001:2022 Anexo A Control 5.19 trata sobre seguridad de la información en las relaciones con proveedores. El objetivo aquí es la protección de los activos valiosos de la organización que son accesibles o afectados por los proveedores.
También le recomendamos que considere otras relaciones clave, por ejemplo, socios si no son proveedores pero también tienen un impacto en sus activos que podría no estar cubierto simplemente por un contrato.
Esta es una parte importante de la sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001. Ahora comprendamos esos requisitos y lo que significan con un poco más de profundidad.
Los proveedores se utilizan por dos razones principales; uno: quieres que hagan un trabajo que has elegido no hacer internamente, o; Dos: no es fácil hacer el trabajo tan bien o tan rentablemente como los proveedores.
Hay muchas cosas importantes a considerar al abordar la selección y gestión de proveedores, pero una solución única no sirve para todos y algunos proveedores serán más importantes que otros. Como tal, sus controles y políticas también deberían reflejar eso y una segmentación de la cadena de suministro es sensato; Abogamos por cuatro categorías de proveedores según el valor y el riesgo de la relación. Estos van desde aquellos que son críticos para el negocio hasta otros proveedores que no tienen ningún impacto material en su organización.
Propósito de ISO 27001:2022 Anexo A 5.19
ISO 27001:2002 Anexo A Control 5.19 se ocupa de la obligación de una organización de garantizar que, al utilizar productos y servicios del lado del proveedor (incluidos los proveedores de servicios en la nube), se dé la consideración adecuada al nivel de riesgo inherente al uso de sistemas externos, y a la impacto consecuente que pueda tener en su propio cumplimiento de la seguridad de la información.
Una buena política describe la segmentación, selección, gestión, salida de proveedores, cómo activos de información alrededor de los proveedores se controlan para mitigar los riesgos asociados y, al mismo tiempo, permitir que se alcancen las metas y objetivos comerciales. Las organizaciones inteligentes envolverán sus política de seguridad de la información para los proveedores en un marco de relación más amplio y evitar concentrarse sólo en la seguridad per se, examinando también los demás aspectos.
El Control 5.19 del Anexo A es un control preventivo que modifica el riesgo manteniendo procedimientos que abordan los riesgos de seguridad inherentes asociados con el uso de productos y servicios proporcionados por terceros.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Quién es propietario del Anexo A 5.19?
Mientras controlas ISO 27001, El Anexo A 5.19 contiene mucha orientación sobre el uso de servicios TIC, el alcance más amplio del control abarca muchos otros aspectos de la relación de una organización con su base de proveedores, incluidos los tipos de proveedores, logística, servicios públicos, servicios financieros y componentes de infraestructura).
Como tal, la propiedad del Control 5.19 del Anexo A debe recaer en un miembro de la alta dirección que supervise las operaciones comerciales de una organización y mantenga una relación directa con los proveedores de una organización, como un Jefa de Operaciones.
Orientación general sobre ISO 27001:2022 Anexo A 5.19
El cumplimiento del Control 5.19 del Anexo A implica adherirse a lo que se conoce como enfoque 'temático específico' a la seguridad de la información en las relaciones con proveedores.
Una organización puede querer que los proveedores accedan y contribuyan a ciertos activos de información de alto valor (por ejemplo, desarrollo de códigos de software, información contable de nómina). Por lo tanto, necesitarían tener acuerdos claros sobre exactamente qué acceso les permiten, para poder controlar la seguridad a su alrededor.
Esto es especialmente importante dado que cada vez se subcontratan más servicios de gestión, procesamiento y tecnología de la información. Eso significa tener un lugar para mostrar que se está gestionando la relación; contratos, contactos, incidencias, actividad relacional y Gestión sistemática del riesgo, etc. Cuando el proveedor también está íntimamente involucrado en la organización, pero puede no tener su propio SGSI certificado, entonces también vale la pena demostrar el cumplimiento para asegurarse de que el personal del proveedor esté capacitado y sea consciente de la seguridad, capacitado en sus políticas, etc.
Los enfoques temáticos específicos alientan a las organizaciones a crear políticas relacionadas con los proveedores que se adapten a funciones comerciales individuales, en lugar de adherirse a una política general de gestión de proveedores que se aplique a todas y cada una de las relaciones con terceros en todas las operaciones comerciales de una organización.
Es importante tener en cuenta que el Control 27001 del Anexo A de ISO 5.19 solicita a la organización que implemente políticas y procedimientos que no solo rijan el uso de los recursos de los proveedores y las plataformas en la nube por parte de la organización, sino que también formen la base de cómo esperan que sus proveedores se comporten antes y durante toda la vigencia de la relación comercial.
Como tal, el Control 5.19 del Anexo A puede verse como el documento de calificación esencial que dicta cómo se maneja la gobernanza de la seguridad de la información durante el transcurso de un contrato con un proveedor.
ISO 27001 Anexo A Control 5.19 contiene 14 puntos de orientación principales que se deben seguir:
1) Mantener un registro preciso de los tipos de proveedores (por ejemplo, servicios financieros, hardware de TIC, telefonía) que tienen el potencial de afectar la integridad de la seguridad de la información.
Cumplimiento – Redacte una lista de todos y cada uno de los proveedores con los que trabaja su organización, clasifíquelos según su función comercial y agregue categorías a dichos tipos de proveedores cuando sea necesario.
2) Comprender cómo examinar a los proveedores, según el nivel de riesgo inherente a su tipo de proveedor.
Cumplimiento – Los diferentes tipos de proveedores requerirán diferentes controles de diligencia debida. Considere el uso de métodos de verificación proveedor por proveedor (por ejemplo, referencias de la industria, estados financieros, evaluaciones in situ, certificaciones específicas del sector, como asociaciones con Microsoft).
3) Identificar proveedores que cuenten con controles de seguridad de la información preexistentes.
Cumplimiento – Solicite ver copias de los procedimientos de gobierno de seguridad de la información relevantes de los proveedores, para evaluar el riesgo para su propia organización. Si no tienen ninguno, no es buena señal.
4) Identifique y defina las áreas específicas de la infraestructura TIC de su organización a las que sus proveedores podrán acceder, monitorear o utilizar ellos mismos.
Cumplimiento – Es importante establecer desde el principio con precisión cómo van a interactuar sus proveedores con sus activos TIC (ya sean físicos o virtuales) y qué niveles de acceso se les conceden de acuerdo con sus obligaciones contractuales.
5) Defina cómo la propia infraestructura TIC de los proveedores puede afectar sus propios datos y los de sus clientes.
Cumplimiento – La primera obligación de una organización es cumplir con su propio conjunto de estándares de seguridad de la información. Los activos de TIC de los proveedores deben revisarse de acuerdo con su potencial para afectar el tiempo de actividad y la integridad en toda su organización.
6) Identificar y gestionar los diversos riesgos de seguridad de la información asociados a:
a. Uso por parte del proveedor de información confidencial o activos protegidos (por ejemplo, limitado a uso malicioso y/o intención delictiva).
b. Hardware del proveedor defectuoso o plataforma de software que no funciona correctamente asociada con servicios locales o basados en la nube.
Cumplimiento – Las organizaciones deben estar continuamente conscientes de los riesgos de seguridad de la información asociados con eventos catastróficos, como actividades nefastas de los usuarios del lado del proveedor o incidentes de software importantes e imprevistos, y su impacto en la seguridad de la información de la organización.
7) Supervisar el cumplimiento de la seguridad de la información por tema específico o tipo de proveedor.
Cumplimiento – La necesidad de la organización de apreciar la seguridad de la información implicaciones inherentes a cada tipo de proveedor y ajustar su actividad de seguimiento para adaptarse a los distintos niveles de riesgo.
8) Limitar la cantidad de daños y/o perturbaciones causadas por el incumplimiento.
Cumplimiento – La actividad del proveedor debe ser monitoreada de manera adecuada, y en distintos grados, de acuerdo con su nivel de riesgo. Cuando se descubre un incumplimiento, ya sea de forma proactiva o reactiva, se deben tomar medidas inmediatas.
9) Mantener una sólida la gestión de incidencias procedimiento que aborde una cantidad razonable de contingencias.
Cumplimiento – Las organizaciones deben entender con precisión cómo reaccionar cuando se enfrentan a una amplia gama de eventos relacionados con el suministro de productos y servicios de terceros, y delinear acciones correctivas que incluyan tanto al proveedor como a la organización.
10) Adoptar medidas que atiendan la disponibilidad y el procesamiento de la información del proveedor, dondequiera que se utilice, garantizando así la integridad de la propia información de la organización.
Cumplimiento – Se deben tomar medidas para garantizar que los sistemas y datos de los proveedores se manejen de una manera que no comprometa la disponibilidad y seguridad de los propios sistemas e información de la organización.
11) Redactar un plan de capacitación exhaustivo que ofrezca orientación sobre cómo el personal debe interactuar con el personal del proveedor e información proveedor por proveedor o tipo por tipo.
Cumplimiento – La capacitación debe cubrir todo el espectro de la gobernanza entre una organización y sus proveedores, incluido el compromiso, los controles granulares de gestión de riesgos y los procedimientos temáticos específicos.
12) Comprender y gestionar el nivel de riesgo inherente al transferir información y activos físicos y virtuales entre la organización y sus proveedores.
Cumplimiento – Las organizaciones deben trazar cada etapa del proceso de transferencia y educar al personal sobre los riesgos asociados con el traslado de activos e información de una fuente a otra.
13) Garantizar que las relaciones con los proveedores finalicen teniendo en cuenta la seguridad de la información, incluida la eliminación de los derechos de acceso y la capacidad de acceder a la información de la organización.
Cumplimiento – Sus equipos de TIC deben tener una comprensión clara de cómo revocar el acceso de un proveedor a la información, incluyendo:
- Análisis granular de cualquier dominio asociado y/o cuentas basadas en la nube.
- Distribución de la propiedad intelectual.
- La transferencia de información entre proveedores o de regreso a su organización.
- Gestión de registros.
- Devolver los bienes a su propietario original.
- Disposición adecuada de los activos físicos y virtuales, incluida la información.
- Cumplimiento de cualquier requisito contractual, incluidas cláusulas de confidencialidad y/o acuerdos externos.
14) Describa con precisión cómo espera que se comporte el proveedor con respecto a las medidas de seguridad físicas y virtuales.
Cumplimiento – Las organizaciones deben establecer expectativas claras desde el inicio de cualquier relación comercial, que especifiquen cómo se espera que se comporte el personal del proveedor al interactuar con su personal o cualquier activo relevante.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Orientación complementaria sobre el Anexo A 5.19
ISO reconoce que no siempre es posible imponer un conjunto completo de políticas a un proveedor que cumpla con todos y cada uno de los requisitos de la lista anterior, como pretende ISO 27001 Anexo A Control 5.19, especialmente cuando se trata de organizaciones rígidas del sector público.
Dicho esto, el Control 5.19 del Anexo A establece claramente que las organizaciones deben utilizar la guía anterior al establecer relaciones con proveedores y considerar el incumplimiento caso por caso.
Cuando no se puede lograr el cumplimiento total, el Control 5.19 del Anexo A brinda a las organizaciones margen de maniobra al recomendar “controles compensatorios” que logran niveles adecuados de gestión de riesgos, en función de las circunstancias únicas de una organización.
¿Cuáles son los cambios con respecto a ISO 27001:2013?
ISO 27001:2022 Anexo A 5.19 reemplaza a ISO 27001:2013 Anexo A 15.1.1 (Política de seguridad de la información para las relaciones con proveedores).
ISO 27001:2022 Anexo A 5.19 se adhiere en términos generales a los mismos conceptos subyacentes contenidos en el control de 2013, pero contiene varias áreas de orientación adicionales que se omiten en ISO 27001:2013 Anexo A 5.1.1, o al menos no están cubiertas en tantos detalles, incluyendo:
- La investigación de proveedores en función de su tipo de proveedor y nivel de riesgo.
- La necesidad de garantizar la integridad de la información de los proveedores para proteger sus propios datos y garantizar la continuidad del negocio.
- Los diversos pasos necesarios para finalizar una relación con un proveedor, incluido el desmantelamiento de los derechos de acceso, la distribución de propiedad intelectual, acuerdos contractuales, etc.
El Anexo A 27001 de ISO 2022:5.19 también es explícito al reconocer la naturaleza altamente variable de las relaciones con los proveedores (según el tipo, sector y nivel de riesgo) y brinda a las organizaciones un cierto grado de margen de maniobra al considerar la posibilidad de incumplimiento de cualquier guía determinada. punto, según la naturaleza de la relación (consulte la 'Orientación complementaria' más arriba).
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada ISO 27001:2022 individual. anexo A Control:
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
¿Cómo ayuda ISMS.online con las relaciones con los proveedores?
ISMS.online ha hecho que este objetivo de control sea muy fácil al proporcionar evidencia de que sus relaciones se eligen cuidadosamente y se administran bien en la vida, incluido el seguimiento y la revisión. Nuestra área de relaciones de cuentas (por ejemplo, proveedores), fácil de usar, hace precisamente eso. Los espacios de trabajo de proyectos colaborativos son ideales para la incorporación de proveedores importantes, iniciativas conjuntas, bajas, etc., todo lo cual el auditor también puede ver con facilidad cuando sea necesario.
ISMS.online también ha facilitado este objetivo de control para su organización al permitirle proporcionar evidencia de que el proveedor se ha comprometido formalmente a cumplir con los requisitos y ha comprendido sus responsabilidades en materia de seguridad de la información a través de nuestros Paquetes de Políticas. Paquetes de pólizas son ideales cuando la organización tiene políticas y controles específicos que quiere que el personal del proveedor siga y confía en que los ha leído y se ha comprometido a cumplirlos, más allá de los acuerdos más amplios entre el cliente y el proveedor.
Dependiendo de la naturaleza del cambio (es decir, para cambios más importantes), puede haber un requisito más amplio para alinearse con A.6.1.5 Seguridad de la información en la Gestión de Proyectos.
Usando ISMS.online usted puede:
- Implementar rápidamente un Sistema de Gestión de Seguridad de la Información (SGSI).
- Gestiona fácilmente la documentación de tu SGSI.
- Agilizar el cumplimiento de todos los estándares relevantes.
- Administre todos los aspectos de la seguridad de la información, desde la gestión de riesgos hasta la capacitación en concientización sobre seguridad.
- Comuníquese de manera efectiva en toda su organización utilizando nuestra funcionalidad de comunicación incorporada.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
