¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:5.22?
El control 5.22 del Anexo A tiene como objetivo garantizar que se cumpla un acuerdo nivel de seguridad de la información y se mantiene la prestación de servicios. Esto está de acuerdo con los contratos de proveedores con respecto al desarrollo de servicios de proveedores.
Los servicios de los proveedores son monitoreados y revisados
En el Anexo A 5.22, se describe que las organizaciones monitorean, revisan y auditan periódicamente los procesos de prestación de servicios de sus proveedores. Es mejor realizar revisiones y monitoreo de acuerdo con la información en riesgo, ya que una talla única no se adapta a todas las situaciones.
Al realizar sus revisiones de acuerdo con la segmentación de proveedores propuesta, la organización puede optimizar sus recursos y asegurar que sus esfuerzos se concentren en monitorear y revisar dónde se puede lograr el impacto más significativo.
Al igual que con el Anexo A 5.19, a veces es necesario el pragmatismo: las organizaciones pequeñas no necesariamente recibirán una auditoría, una revisión de recursos humanos o mejoras de servicios específicas al utilizar AWS. Para asegurarse de que sigan siendo adecuados para su propósito, puede consultar (por ejemplo) sus informes SOC II y certificaciones de seguridad que se publican anualmente.
El seguimiento debe documentarse en función de su poder, riesgos y valor, para que su auditor pueda confirmar que se ha completado. Esto se debe a que todos los cambios necesarios se han gestionado mediante un procedimiento formal de control de cambios.
Gestión de cambios en el servicio de proveedores
Los proveedores deben mantener y mejorar las políticas, procedimientos y controles de seguridad de la información existentes para gestionar cualquier cambio en la prestación de servicios por parte de los proveedores. El proceso considera la criticidad de la información comercial, la naturaleza del cambio, los tipos de proveedores afectados, los procesos y sistemas involucrados y una reevaluación de riesgos.
Al realizar cambios en los servicios de los proveedores, también es importante considerar la intimidad de la relación. Esto se suma a la capacidad de la organización para influir o controlar un cambio dentro del proveedor.
El Control 5.22 especifica cómo las organizaciones deben monitorear, revisar y Gestionar cambios en las prácticas y servicios de seguridad de un proveedor. estándares de entrega. También evalúa cómo impactan las propias prácticas de seguridad de la organización.
Al gestionar las relaciones con sus proveedores, una organización debe esforzarse por mantener un nivel básico de seguridad de la información que cumpla con los acuerdos que haya firmado.
De acuerdo con la norma ISO 27001:2022, el Anexo A 5.22 es un control preventivo diseñado para minimizar el riesgo ayudando al proveedor a mantener un “nivel acordado de seguridad de la información y prestación de servicios.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del control del Anexo A 5.22
Un miembro de la alta dirección que supervise las operaciones comerciales de una organización y mantenga una relación directa con los proveedores de la organización debería ser responsable del Control 5.22.
ISO 27001:2022 Anexo A 5.22 Orientación general
Según ISO 27001:2022 Anexo A Control 5.22, se deben considerar 13 áreas clave al gestionar las relaciones con los proveedores y cómo estos factores afectan sus propias medidas de seguridad de la información.
Una organización debe garantizar que los empleados responsables de gestionar los acuerdos de nivel de servicio y las relaciones con los proveedores posean las habilidades y los recursos técnicos necesarios. Esto es para garantizar que puedan evaluar adecuadamente el desempeño de los proveedores y que no se viole el estándar de seguridad de la información.
Las políticas y procedimientos de una organización deben ser redactados por:
- Supervise continuamente los niveles de servicio de acuerdo con los acuerdos de nivel de servicio publicados y aborde cualquier deficiencia tan pronto como surja.
- El proveedor debe ser monitoreado para detectar cualquier cambio en su propia operación, incluidos (pero no limitados a): (1) Mejoras del servicio (2) Nuevas aplicaciones, sistemas o procesos de software (3) Revisiones relevantes y significativas de los documentos de gobierno interno del proveedor, y (4) cualquier cambio en los procedimientos de gestión de incidentes o intentos de mejorar el nivel de seguridad de la información.
- Cualquier cambio que involucre el servicio, incluidos (pero no limitados a): a) Cambios en la infraestructura b) Aplicaciones de tecnologías emergentes c) Actualizaciones de productos y mejoras de versión d) Cambios en el entorno de desarrollo e) Cambios logísticos y físicos en las instalaciones del proveedor, incluidas nuevas ubicaciones f) Cambios de socios de subcontratación o subcontratistas g) Intenciones de subcontratar, cuando tal práctica no se haya practicado anteriormente.
- Asegúrese de que los informes de servicio se entreguen periódicamente, que los datos se analicen y que las reuniones de revisión se lleven a cabo de acuerdo con los niveles de servicio acordados.
- Asegúrese de que los socios de subcontratación y subcontratistas sean auditados y aborden cualquier área de preocupación.
- Realizar una revisión de los incidentes de seguridad con base en el estándar y prácticas acordadas por el proveedor y de acuerdo con los estándares de gestión de incidentes.
- Se deben mantener registros de todos los incidentes de seguridad de la información, problemas operativos tangibles, registros de fallas y barreras generales para cumplir con los estándares de prestación de servicios acordados.
- Tomar medidas proactivas en respuesta a incidentes relacionados con la seguridad de la información.
- Identificar cualquier vulnerabilidad en la seguridad de la información y mitigarla en la mayor medida posible.
- Realizar un análisis de cualquier factor de seguridad de la información relevante asociado a la relación del proveedor con sus proveedores y subcontratistas.
- En caso de una interrupción significativa por parte del proveedor, incluido un esfuerzo de recuperación ante desastres, asegúrese de que la prestación del servicio se entregue a niveles aceptables.
- Proporcione una lista del personal clave en la operación del proveedor responsable de mantener el cumplimiento y apegarse a los términos del contrato.
- Asegúrese de que un proveedor mantenga periódicamente un estándar básico de seguridad de la información.
Controles de apoyo del Anexo A
- ISO 27001:2022 Anexo A 5.29
- ISO 27001:2022 Anexo A 5.30
- ISO 27001:2022 Anexo A 5.35
- ISO 27001:2022 Anexo A 5.36
- ISO 27001:2022 Anexo A 8.14
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
¿Cuál es el beneficio de utilizar ISMS.online para gestionar las relaciones con los proveedores?
ISMS.online ha simplificado mucho este objetivo de control del Anexo A. Esto se debe a que ISMS.online proporciona evidencia de que sus relaciones son cuidadosamente seleccionadas, bien administradas, monitoreadas y revisadas. Esto se hace en nuestra área de Relaciones de cuentas (por ejemplo, proveedores) fácil de usar. Los espacios de trabajo de proyectos de colaboración permiten al auditor ver fácilmente la incorporación de proveedores importantes, iniciativas conjuntas, bajas, etc.
Además de ayudar a su organización con este objetivo de control del Anexo A, ISMS.online también le proporciona la posibilidad para proporcionar evidencia de que el proveedor ha aceptado formalmente los requisitos y ha comprendido sus responsabilidades en materia de seguridad de la información a través de nuestros Paquetes de Políticas. Como resultado de sus políticas y controles específicos, Los paquetes de políticas garantizan a los proveedores que su personal ha leído y se ha comprometido a cumplir las políticas y controles de la organización.
Puede haber un requisito más amplio para alinearse con el Anexo A.5.8 Seguridad de la información en la gestión de proyectos., dependiendo de la naturaleza del cambio (por ejemplo, para cambios más importantes).
Implementar ISO 27001 es más fácil con nuestra lista de verificación paso a paso, que lo guía desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación de controles.
ISMS.online ofrece los siguientes beneficios:
- La plataforma le permite crear un SGSI compatible con ISO 27001 • Requisitos.
- Los usuarios pueden completar tareas y enviar pruebas para demostrar el cumplimiento del estándar.
- El proceso de delegar responsabilidades y monitorear el progreso del cumplimiento es sencillo.
- Como resultado de la integral evaluación de riesgos conjunto de herramientas, el proceso se acelera y ahorra tiempo.
- Un equipo dedicado de consultores puede ayudarle durante todo el proceso de cumplimiento.
Póngase en contacto con nosotros hoy para programa una demostración.
