- See Norma ISO 27002:2022 5.8 para obtener más información.
- See ISO 27001:2013 Anexo A 6.1.5 para obtener más información.
- See ISO 27001:2013 Anexo A 14.1.1 para obtener más información.
¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:5.8?
El objetivo de la publicidad de ISO 27001:2022 Anexo A El Control 5.8 es asegurar que la gestión del proyecto incorpore medidas de seguridad de la información.
Según ISO 27001:2022, este control del Anexo A tiene como objetivo garantizar que los riesgos de seguridad de la información relacionados con los proyectos y los entregables se gestionen eficazmente durante la gestión del proyecto.
La gestión y la seguridad del proyecto son consideraciones clave.
Debido a que muchos proyectos implican actualizaciones de procesos y sistemas de negocio que impacto en la seguridad de la información, el Anexo A Control 5.8 documenta los requisitos de gestión del proyecto.
Como los proyectos pueden abarcar varios departamentos y organizaciones, los objetivos de control del Anexo A 5.8 deben coordinarse entre las partes interesadas internas y externas.
Como guía, los controles del Anexo A identifican preocupaciones de seguridad de la información en proyectos y asegurar su resolución durante todo el ciclo de vida del proyecto.
Gestión de la seguridad de la información en proyectos
Un aspecto clave de la gestión de proyectos es la seguridad de la información, independientemente del tipo de proyecto. La seguridad de la información debe estar arraigada en el tejido de una organización, y la gestión de proyectos desempeña un papel clave en ello. Para proyectos que utilizan marcos de plantillas, se recomienda una lista de verificación simple y repetible que muestre que se está considerando la seguridad de la información.
Los auditores buscan conciencia sobre la seguridad de la información en todas las etapas del ciclo de vida del proyecto. Esto también debería ser parte de la educación y concientización alineada con la Seguridad de Recursos Humanos para A.6.6.
Para demostrar el cumplimiento del Reglamento General de Protección de Datos (GDPR) y la Ley de Protección de Datos de 2018, las organizaciones innovadoras incorporarán el A.5.8 con obligaciones relacionadas para los datos personales y considerarán la seguridad desde el diseño, las Evaluaciones de Impacto de la Protección de Datos (DPIA) y procesos similares.
Análisis y especificación de requisitos de seguridad de la información
Se deben incluir requisitos de seguridad de la información si se están desarrollando nuevos sistemas de información o si se están actualizando los sistemas de información existentes.
A.5.6 podría usarse junto con A.5.8 como medida de seguridad de la información. También consideraría el valor de la información en riesgo, lo que podría alinearse con el esquema de clasificación de información del A.5.12.
Se debe realizar una evaluación de riesgos cada vez que se desarrolla un sistema nuevo o se realiza un cambio en un sistema existente. Esto es para determinar los requisitos comerciales para los controles de seguridad.
Como resultado, se deben abordar consideraciones de seguridad antes de seleccionar una solución o iniciar su desarrollo. Se deben identificar los requisitos correctos antes de seleccionar una respuesta.
Los requisitos de seguridad deben describirse y acordarse durante el proceso de adquisición o desarrollo para que sirvan como puntos de referencia.
No es una buena práctica seleccionar o crear una solución y luego evaluar su nivel de capacidad de seguridad. El resultado suele ser mayores riesgos y mayores costos. También puede dar lugar a problemas con la legislación aplicable, como GDPR, que fomenta una filosofía de diseño seguro y técnicas como las evaluaciones de impacto en la privacidad de la protección de datos (DPIA). El Centro Nacional de Seguridad Cibernética (NCSC) también ha respaldado ciertas prácticas de desarrollo y principios críticos como pautas a considerar. ISO 27001 también incluye guía de implementación. Es necesaria la documentación de cualquier normativa seguida.
Será responsabilidad del auditor garantizar que se consideren las consideraciones de seguridad en todas las etapas del ciclo de vida del proyecto. Esto es independiente de si el proyecto es para un sistema desarrollado recientemente o para modificar un sistema existente.
Además, esperarán que se considere la confidencialidad, la integridad y la disponibilidad antes de que comience el proceso de selección o desarrollo.
Puede encontrar más información sobre los requisitos de ISO 27001 y los controles del Anexo A en el Entrenador virtual en línea de ISMS.online, que complementa nuestros marcos, herramientas y material de políticas.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
La importancia de la seguridad de la información en la gestión de proyectos
El creciente número de empresas que realizan sus actividades en línea ha elevado la importancia de la seguridad de la información en la gestión de proyectos. Como resultado, los directores de proyectos se enfrentan a un número cada vez mayor de empleados que trabajan fuera de la oficina y utilizan sus dispositivos personales para trabajar.
Crear una política de seguridad para su negocio le permitirá minimizar el riesgo de violación o pérdida de datos. Además, podrá generar informes precisos sobre el estado y las finanzas del proyecto en cualquier momento.
Como parte del proceso de planificación y ejecución del proyecto, la seguridad de la información debe incluirse de las siguientes maneras:
- Definir los requisitos de seguridad de la información para el proyecto, teniendo en cuenta las necesidades del negocio y los requisitos legales.
- Las amenazas a la seguridad de la información deben ser evaluados en términos de su impacto en el riesgo.
- Para gestionar los impactos de los riesgos, implementar controles y procesos adecuados.
- Asegúrese de que estos controles sean monitoreados y reportados periódicamente.
La clave para mantener seguros sus proyectos comerciales es garantizar que sus gerentes de proyecto comprendan la importancia de la seguridad de la información y la respeten en sus funciones.
Cómo cumplir con los requisitos y qué implica
Integración de la seguridad de la información. en la gestión de proyectos es esencial ya que permite a las organizaciones identificar, evaluar y abordar los riesgos de seguridad.
Considere el ejemplo de una organización que implementa un sistema de desarrollo de productos más sofisticado.
Se puede evaluar un sistema de desarrollo de productos recientemente desarrollado para detectar riesgos de seguridad de la información, incluida la divulgación no autorizada de información patentada de la empresa. Se pueden tomar medidas para mitigar estos riesgos.
Para cumplir con la ISO 27001:2022 revisada, el gerente de seguridad de la información debe colaborar con el gerente del proyecto para identificar, evaluar y abordar los riesgos de seguridad de la información como parte del proceso de gestión del proyecto para cumplir con los requisitos de la norma ISO 27001:2022 revisada. La gestión de proyectos debe integrar la seguridad de la información para que no sea algo que se haga "para" el proyecto sino algo que sea "parte del proyecto".
Según el Anexo, A control 5.8, el sistema de gestión de proyectos debe requerir lo siguiente:
- Los riesgos de seguridad de la información se evalúan y abordan temprana y periódicamente durante todo el ciclo de vida del proyecto.
- Los requisitos de seguridad deben abordarse tempranamente en el proceso de desarrollo del proyecto, por ejemplo, requisitos de seguridad de las aplicaciones (8.26), requisitos para cumplir con los derechos de propiedad intelectual (5.32), etc.
- Como parte del ciclo de vida del proyecto, se consideran y abordan los riesgos de seguridad de la información asociados con la ejecución del proyecto. Estos incluyen la seguridad de los canales de comunicación internos y externos.
- Se realiza una evaluación y pruebas de la efectividad del tratamiento de los riesgos de seguridad de la información.
Todos los proyectos, independientemente de su complejidad, tamaño, duración, disciplina o área de aplicación, incluidos los proyectos de desarrollo de TIC, deben ser evaluados por el Gerente de Proyecto (PM) para determinar los requisitos de seguridad de la información. Los administradores de seguridad de la información deben entender la Política de Seguridad de la Información y procedimientos relacionados y la importancia de la seguridad de la información.
La ISO 27001:2022 revisada contiene más detalles sobre las directrices de implementación.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Cuáles son los cambios y diferencias con respecto a ISO 27001:2013?
In ISO 27001:2022, la guía de implementación para la seguridad de la información en la gestión de proyectos se ha revisado para reflejar más aclaraciones que en ISO 27001:2013. Según ISO 27001:2013, todo director de proyecto debe conocer tres puntos relacionados con la seguridad de la información. Sin embargo, esto se ha ampliado a cuatro puntos en la norma ISO 27001:2022.
El control 5.8 del Anexo A de ISO 27001:2022 no es nuevo, sino una combinación de los controles 6.1.5 y 14.1.1 de ISO 27001:2013.
Los requisitos relacionados con la seguridad de la información para sistemas de información recientemente desarrollados o mejorados se analizan en el Anexo A Control 14.1.1 de ISO 27001:2013.
Las pautas de implementación del control 14.1.1 del Anexo A son similares al control 5.8, que trata de garantizar que la arquitectura y el diseño de los sistemas de información estén protegidos contra amenazas conocidas dentro del entorno operativo.
A pesar de no ser un control nuevo, el Control 5.8 del Anexo A trae algunos cambios significativos a la norma. Además, la combinación de los dos controles hace que el estándar sea más fácil de usar.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
¿Quién está a cargo del Anexo A 27001 de ISO 2022:5.8?
Para garantizar que la seguridad de la información se implemente durante todo el ciclo de vida de cada proyecto, el Gerente de Proyecto es responsable.
Sin embargo, al PM puede resultarle útil consultar con un Oficial de Seguridad de la Información (ISO) para determinar qué requisitos de seguridad de la información son necesarios para cada proyecto.
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
Cómo ayuda ISMS.online
Con ISMS.online, puede gestionar sus procesos de gestión de riesgos de seguridad de la información de manera eficiente y efectiva.
A través de los Plataforma en línea ISMS, puede acceder a varias herramientas poderosas diseñadas para simplificar el proceso de documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27001.
Es posible crear un conjunto personalizado de políticas y procedimientos utilizando el paquete integral de herramientas proporcionado por la empresa. Estas políticas y prácticas se adaptarán para satisfacer los riesgos y necesidades específicos de su organización. Además, our platform permite la colaboración entre colegas y socios externos, incluidos proveedores y auditores externos.
Además de la DPIA y otras evaluaciones de datos personales relacionadas, por ejemplo, evaluaciones de interés legítimo (LIA), ISMS.online proporciona marcos y plantillas simples y prácticos para la seguridad de la información en la gestión de proyectos.
A programa una demostración, póngase en contacto con nosotros hoy.
