- See Norma ISO 27002:2022 5.9 para obtener más información.
- See ISO 27001:2013 Anexo A 8.1.1 para obtener más información.
- See ISO 27001:2013 Anexo A 8.1.2 para obtener más información.
ISO 27001 Anexo A 5.9: Guía para la gestión de inventarios de activos de información
ISO 27001:2022 El Anexo A Control 5.9 se denomina Inventario de Información y Otros Activos Asociados.
Requiere que las organizaciones identifiquen y documenten los activos importantes para sus operaciones y los riesgos asociados, y tomen medidas para protegerlos. Esto garantiza que los activos se gestionen y supervisen de forma adecuada, lo que ayuda a garantizar que estén seguros.
El Anexo A de ISO 27001:2022 describe el Control 5.9, que explica cómo se debe crear y mantener actualizada una lista de información y activos relacionados, junto con sus respectivos propietarios.
Inventario de activos de información
La organización debe reconocer a qué tiene acceso para realizar sus operaciones. Debe ser consciente de sus activos de información.
Una IA integral es una parte crucial de la política de seguridad de datos de cualquier organización. Es un inventario de cada dato que se almacena, procesa o transmite, así como las ubicaciones y controles de seguridad de cada uno. Es esencialmente el equivalente en contabilidad financiera de protección de datos, permitiendo a las organizaciones identificar cada dato.
Se puede utilizar una IA para identificar debilidades en su programa de seguridad y proporcionar información para evaluar riesgos cibernéticos que podrían conducir a una infracción. También puede ser evidencia para demostrar que ha tomado medidas para identificar datos confidenciales. durante las auditorías de cumplimiento, que te ayuda a evadir multas y castigos.
El elemento inventario de activos de información Debe especificar quién posee y es responsable de cada activo, así como el valor y la importancia de cada elemento para las operaciones de la organización.
Es fundamental mantener los inventarios actualizados para garantizar que reflejen con precisión los cambios dentro de la organización.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Por qué necesito un inventario de activos de información?
La gestión de activos de información tiene una larga tradición en la planificación de la continuidad del negocio (BCP), la recuperación ante desastres (DR) y la preparación de respuesta a incidentes.
Identificar sistemas, redes, bases de datos, aplicaciones, flujos de datos y otros componentes críticos que requieren seguridad es el primer paso en cualquiera de estos procesos. Sin conocimiento de lo que se necesita proteger y dónde está ubicado, no se puede planificar cómo protegerlo.
¿Cuál es el propósito del control 27001 del Anexo A de ISO 2022:5.9?
El control tiene como objetivo reconocer la capacidad de la organización. información y activos asociados para garantizar la seguridad de la información y designar la propiedad adecuada.
El Anexo A de ISO 27001:2022 describe el Control 5.9, que describe el propósito y la guía de implementación para crear un inventario de información y otros activos en relación con el marco del SGSI.
Haga un inventario de toda la información y los activos asociados, clasifíquelos en categorías, identifique a los propietarios y documente los controles existentes/requeridos.
Este es un paso importante para garantizar que todos los activos de información estén adecuadamente protegidos.
Qué implica y cómo cumplir los requisitos
Para cumplir con los criterios de ISO 27001:2022, debe identificar la información y otros activos asociados dentro de su organización. Después de eso, debe evaluar la importancia de estos elementos con respecto a la seguridad de la información. Si es necesario, mantenga registros en inventarios dedicados o existentes.
El tamaño y la complejidad de una organización, los controles y políticas existentes y los tipos de información y activos que utiliza tendrán un efecto en el desarrollo de un inventario.
Garantizar que el inventario de información y otros activos asociados sea preciso, actualizado, consistente y en línea con otros inventarios es clave, según el Control 5.9. Para garantizar la precisión, se puede considerar lo siguiente:
- Realizar tasaciones sistemáticas de la información cotizada y de los activos relacionados de acuerdo con el catálogo de activos.
- Durante el proceso de instalación, cambio o eliminación de un activo, se aplicará automáticamente una actualización del inventario.
- Incluya el paradero de un activo en el inventario si es necesario.
Es posible que algunas organizaciones necesiten mantener varios inventarios para distintos fines. Por ejemplo, pueden tener inventarios especializados para licencias de software o dispositivos físicos como computadoras portátiles y tabletas.
Es esencial inspeccionar periódicamente todo el inventario físico, que incluye dispositivos de red como enrutadores y conmutadores, para mantener la precisión del inventario para fines de gestión de riesgos.
Para más información sobre el cumplimiento del control 5.9 se debe consultar el documento ISO 27001:2022.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Diferencias entre ISO 27001:2013 e ISO 27001:2022
En ISO 27001:2022, se han revisado 58 controles de ISO 27001:2013 y se han fusionado otros 24 controles. Se agregaron 11 controles nuevos y se eliminaron algunos.
Por lo tanto, no encontrarás Anexo A Control 5.9 – Inventario de Información y Otros Activos Asociados – en la versión 2013, ya que ahora es una combinación de ISO 27001:2013 Anexo A 8.1.1 – Inventario de Activos - y ISO 27001:2013 Anexo A 8.1.2 – Propiedad de los activos – en la versión 2022.
El Anexo A de ISO 27001:2022 describe el Control 8.1.2, Propiedad de los activos. Esto garantiza que todos los activos de información estén claramente identificados y sean propietarios. Saber quién posee qué ayuda a establecer qué activos necesitan protección y quién requiere responsabilidad.
ISO 27001:2013 e ISO 27001:2022 tienen controles similares, sin embargo, el Anexo A Control 5.9 de este último se ha ampliado para proporcionar una interpretación más sencilla. Por ejemplo, la guía de implementación sobre propiedad de activos en control 8.1.2 dicta que el propietario de activos debe:
- Asegúrese de que todos los activos estén registrados con precisión en el inventario.
- Velar por que los activos estén clasificados y salvaguardados adecuadamente.
- Revisar periódicamente y definir restricciones de acceso y clasificaciones de activos clave, teniendo en cuenta las políticas de control de acceso aplicables.
- Asegúrese de que se tomen las medidas adecuadas cuando el activo sea eliminado o destruido.
La sección de propiedad del control 5.9 se ha ampliado para incluir nueve puntos, en lugar de los cuatro originales. Se han realizado correcciones de ortografía y gramática y se ha cambiado el tono a un estilo profesional y amigable. Se han eliminado la redundancia y la repetición y ahora la escritura tiene un estilo activo.
El propietario del activo debe asumir la responsabilidad de la adecuada supervisión de un activo a lo largo de su ciclo de vida, asegurándose de que:
- Todos los datos y recursos relacionados están enumerados y documentados.
- Asegúrese de que todos los datos, activos relacionados y otros recursos relacionados estén clasificados y salvaguardados con precisión.
- La clasificación se revisa periódicamente para garantizar su exactitud.
- Los componentes que sustentan los activos tecnológicos se registran y se interrelacionan, incluidas las bases de datos, el almacenamiento, los componentes y subcomponentes de software.
- Los requisitos para el uso aceptable de la información y otros activos asociados se establecen en 5.10.
- Las restricciones de acceso corresponden a la clasificación y resultan efectivas, revisándose periódicamente para garantizar una protección continua.
- La información y otros activos asociados se manejan de forma segura cuando se eliminan o eliminan del inventario.
- Son responsables de identificar y gestionar los riesgos relacionados con sus activos.
- Brindan apoyo al personal que administra su información, asumiendo los roles y responsabilidades asociados a la misma.
Fusionar estos dos controles en uno facilita la comprensión del usuario.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control:
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
¿Qué significan estos cambios para usted?
Los últimos cambios de ISO 27001 no afectan su certificación actual según las normas ISO 27001. Sólo actualizaciones a ISO 27001 puede tener un efecto en las certificaciones existentes. Los organismos de acreditación trabajarán con los organismos de certificación para diseñar un período de transición que brinde a las organizaciones con Los certificados ISO 27001 tienen tiempo suficiente para pasar de una versión a la siguiente.
Se deben seguir estos pasos para cumplir con la versión revisada:
- Asegúrese de que su empresa cumpla con las regulaciones más recientes examinando el registro de riesgos y los procedimientos de gestión de riesgos.
- El Anexo A debe modificarse para reflejar cualquier modificación de la Declaración de Aplicabilidad.
- Asegúrese de que sus políticas y procedimientos estén actualizados para cumplir con las nuevas regulaciones.
Durante la transición al nuevo estándar, tendremos acceso a nuevas mejores prácticas y cualidades para la selección de controles, lo que permitirá un proceso de selección más efectivo y eficiente.
Debe persistir en un método basado en riesgos para garantizar que solo se seleccionen los controles más pertinentes y eficientes para su empresa.
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
Cómo ayuda ISMS.online
ISMS.online es ideal para implementar su sistema de gestión de seguridad de la información ISO 27001. Ha sido diseñado específicamente para ayudar a las empresas a cumplir los requisitos de la norma.
El elemento La plataforma aplica un método orientado al riesgo. junto con las mejores prácticas y plantillas líderes de la industria para ayudarlo a determinar los riesgos que enfrenta su organización y los controles necesarios para gestionarlos. Esto le permite reducir sistemáticamente tanto su exposición al riesgo como los costos de cumplimiento.
ISMS.online le permite:
- Desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI).
- Construir un conjunto personalizado de políticas y procedimientos.
- Implementar un SGSI para cumplir con los estándares ISO 27001.
- Reciba asistencia de consultores experimentados.
Puede aprovechar ISMS.online para crear un SGSI, crear un conjunto personalizado de políticas y procesos, cumplir con los criterios ISO 27001 y obtener ayuda de asesores experimentados.
La plataforma ISMS.online se basa en Planificar-Hacer-Verificar-Actuar (PDCA), un procedimiento iterativo de cuatro etapas para la mejora continua, que cumple con todas las demandas de la norma ISO 27001:2022. Es sencillo. Contáctenos ahora para organiza tu demostración.
