- See Norma ISO 27002:2022 6.7 para obtener más información.
- See ISO 27001:2013 Anexo A 6.2.2 para obtener más información.
¿Qué es ISO 27001:2022 Anexo A 6.7?
ISO 27001:2022 Anexo A 6.7, Trabajo remoto proporciona orientación sobre cómo las organizaciones deben tener una política implementada para garantizar el acceso seguro a los sistemas y redes de información cuando trabajan de forma remota. Recomienda además la implementación de un sistema de gestión de seguridad de la información que incluye procedimientos para proteger el acceso remoto.
Implicaciones del trabajo remoto para la seguridad de la información
El trabajo remoto se ha convertido en una tendencia más extendida a medida que la tecnología ha avanzado para permitir a los empleados trabajar de forma remota sin afectar la productividad y la eficiencia. No obstante, esto conlleva la posibilidad de que surjan problemas de seguridad de los datos.
Como propietario de una empresa, es necesario proteger la propiedad intelectual de los ciberdelincuentes y garantizar la seguridad de los datos contra los piratas informáticos. Al tomar medidas se puede protegerse contra el ciberdelito y garantizar la seguridad de la información.
El trabajo remoto puede presentar una variedad de riesgos de seguridad que deben abordarse, como por ejemplo:
Control de Acceso
El trabajo remoto puede resultar beneficioso, ya que proporciona un mayor acceso a datos y sistemas confidenciales. Sin embargo, conlleva varias consideraciones de seguridad.
El trabajo remoto, si no se supervisa correctamente, puede ser vulnerable a problemas de seguridad como piratería informática, malware, acceso no autorizado y más. Este es particularmente el caso si los empleados no están presentes en un entorno seguro.
Pérdida de seguridad física
El trabajo remoto también puede afectar el rendimiento de una empresa. la seguridad física. Como el personal ya no está presente en la oficina o en el edificio, es posible que no puedan detectar ninguna actividad sospechosa.
Confidencialidad
El trabajo remoto puede suponer un riesgo para la confidencialidad. Por ejemplo, los empleados pueden acceder a información confidencial sin el permiso de la empresa.
Los empleados pueden acceder fácilmente a datos corporativos confidenciales desde la web pública. Además, existen incluso sitios donde el personal puede cargar datos confidenciales para que el público los vea.
Política de
El trabajo remoto puede tener un efecto en la privacidad de una organización. Por ejemplo, si el personal trabaja desde casa, podría ser más propenso a no guardar sus pertenencias personales.
Esta propiedad podría contener datos confidenciales que podrían poner en peligro la privacidad de una empresa.
Protección de Datos
El trabajo remoto puede presentar un peligro para los datos de una empresa. Los empleados pueden, por ejemplo, acceder a la información de la empresa de forma remota y estos datos pueden almacenarse en varias ubicaciones.
En el caso de que los empleados abandonen el lugar de trabajo y se lleven su dispositivo, la recuperación de los datos almacenados en computadoras, servidores y dispositivos móviles puede resultar más desafiante.
El trabajador puede equivocarse o actuar de mala fe con el dispositivo, poniendo en riesgo la seguridad de los datos.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:6.7?
El objetivo de ISO 27001:2022 Anexo A 6.7 es garantizar que el personal remoto tenga implementados los controles de acceso necesarios para salvaguardar la confidencialidad, integridad y disponibilidad de información, procedimientos y sistemas confidenciales o propietarios frente al acceso o divulgación no autorizados por parte de personas no autorizadas.
Las organizaciones deben garantizar la seguridad de la información cuando el personal opera de forma remota. Por lo tanto, deberían emitir una política personalizada sobre el trabajo remoto que establezca las condiciones y límites aplicables para la seguridad de los datos. Esta política debe difundirse a todo el personal, incluida la instrucción sobre cómo utilizar tecnologías de acceso remoto de forma segura.
Es probable que esta política aborde:
- Las condiciones bajo las cuales se permite el trabajo remoto.
- Procesos para garantizar que los trabajadores remotos tengan acceso a información confidencial.
- Garantizar que la información esté salvaguardada cuando se transmite entre diferentes ubicaciones físicas implica cumplir con ciertos procedimientos.
Es esencial establecer una clara sistema de reporte de incidencias, incluida la información de contacto correcta. Esto puede ayudar a prevenir violaciones de seguridad u otros incidentes.
La política también debe cubrir cifrado, firewalls, actualizaciones de software antivirus e instrucción a los empleados sobre cómo utilizar conexiones remotas de forma segura.
Qué implica y cómo cumplir los requisitos
Para cumplir con el Anexo A 6.7, las organizaciones que ofrecen trabajo remoto deben emitir una política con respecto al trabajo remoto que especifique las regulaciones y límites relacionados.
La política debe evaluarse periódicamente, especialmente cuando se modifica la tecnología o la legislación.
Todo el personal, contratistas y entidades involucradas en actividades de trabajo remoto deben ser informados de la política.
La política debe documentarse, hacerse accesible a las partes interesadas, como reguladores y auditores, y mantenerse actualizada.
Las organizaciones deben asegurarse de contar con las medidas de seguridad necesarias para proteger la información sensible o confidencial transmitida o almacenada electrónicamente durante las operaciones remotas.
De acuerdo con el Anexo A 6.7, se deberá tener en cuenta lo siguiente:
- Considere la seguridad física del sitio de trabajo remoto, tanto existente como propuesto, que abarque la seguridad del lugar, el área circundante y los sistemas legales de las regiones en las que se encuentra el personal.
- Reglas de entorno físico seguro, como archivadores con cerradura, transporte seguro entre sitios, regulaciones de acceso remoto, escritorio despejado, impresión y eliminación de datos y activos relacionados, así como informar sobre eventos de seguridad, debe implementarse.
- Los entornos físicos previstos para el trabajo remoto.
- Deben garantizarse comunicaciones seguras, teniendo en cuenta las necesidades de acceso remoto de la organización, la sensibilidad de los datos transferidos y la vulnerabilidad de los sistemas y aplicaciones.
- El acceso remoto, como el acceso al escritorio virtual, permite el procesamiento y almacenamiento de información en dispositivos personales.
- El peligro del acceso no autorizado a datos o activos por parte de personas fuera del espacio de trabajo remoto (como familiares y amigos) es real.
- El riesgo de acceso no autorizado a datos o activos por parte de personas en áreas públicas es motivo de preocupación.
- Es necesario el empleo de redes tanto domésticas como públicas, así como reglas o prohibiciones relacionadas con la instalación de servicios de redes inalámbricas.
- Es esencial emplear medidas de seguridad, como firewalls y protección antimalware.
- Asegúrese de que los sistemas se puedan implementar e iniciar de forma remota con protocolos seguros.
- Se deben habilitar mecanismos de autenticación seguros para otorgar privilegios de acceso, teniendo en cuenta la susceptibilidad de los mecanismos de autenticación de un solo factor cuando se autoriza el acceso remoto a la red de la organización.
Las directrices y medidas a tener en cuenta deberían incluir:
- La organización deberá proporcionar equipos y mobiliario de almacenamiento adecuados para las actividades de trabajo a distancia, prohibiendo el uso de equipos de propiedad privada que no estén bajo su control.
- Este trabajo implica lo siguiente: definir el trabajo permitido, clasificar la información que se puede conservar y autorizar a los trabajadores remotos a acceder a los sistemas y servicios internos.
- Se debe brindar capacitación a quienes trabajan de forma remota y a quienes ofrecen apoyo. Esto debería cubrir cómo realizar negocios de forma segura fuera de la oficina.
- Es esencial garantizar que se proporcione el equipo de comunicación adecuado, como requerir bloqueos de pantalla del dispositivo y temporizadores de inactividad para el acceso remoto.
- Es posible habilitar el seguimiento de la ubicación del dispositivo.
- La instalación de capacidades de borrado remoto es imprescindible.
- Seguridad física.
- Se deben seguir las pautas y reglas con respecto al acceso de familiares y visitantes a equipos y datos.
- La empresa proporciona soporte y mantenimiento de hardware y software.
- La provisión de seguros.
- El protocolo para respaldo de datos y continuidad de operaciones.
- Auditoría y monitoreo de seguridad..
- Al finalizar las actividades de trabajo remoto, se deben revocar la autoridad y los derechos de acceso y se deben devolver todos los equipos.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Cambios y diferencias con respecto a ISO 27001:2013
ISO 27001:2022 Anexo A 6.7 es una adaptación del Anexo A 6.2.2 de ISO 27001:2013 y no un elemento nuevo.
ISO 27001:2022 Anexo A 6.7 y 6.2.2 comparten muchas similitudes, aunque la nomenclatura y la redacción difieren. En ISO 27001:2013, 6.2.2 se denomina teletrabajo, mientras que 6.7 se conoce como trabajo remoto. Este cambio se refleja en la nueva versión de la norma, que sustituye el teletrabajo por el trabajo a distancia.
En el Anexo A 6.7 de la norma ISO 27001:2022, la norma describe lo que se considera trabajo remoto, incluido el teletrabajo (el nombre de control inicial en la versión ISO 27001:2013).
La versión 2022 de las pautas de implementación es muy similar, aunque el lenguaje y los términos difieren. Para garantizar que los usuarios comprendan el estándar, se emplea un lenguaje fácil de usar.
Se hicieron algunas adiciones en el Anexo A 6.7 y algunas eliminaciones en 6.2.2.
Agregado al Anexo A 27001 de ISO 2022:6.7 Trabajo remoto
- Garantice la seguridad física con archivadores con cerradura, proporcione transporte seguro e instrucciones de acceso, exija políticas de escritorio claras, describa protocolos de impresión/eliminación de información/activos e implemente un sistema de respuesta a incidentes.
- Se prevé que la gente trabajará de forma remota. Se esperan circunstancias físicas.
- El riesgo de acceso no autorizado a información o recursos por parte de extraños en áreas públicas.
- Métodos seguros para la implementación y configuración remota de sistemas.
- Existen mecanismos seguros para autenticar y permitir privilegios de acceso, teniendo en cuenta la susceptibilidad de los mecanismos de autenticación de un solo factor cuando se habilita el acceso remoto a la red de la organización.
Eliminado del Anexo A de ISO 27001:2013 6.2.2 Teletrabajo
- Es necesaria la implementación de redes domésticas y las regulaciones o limitaciones en la configuración de servicios de redes inalámbricas.
- Deben instituirse políticas y procedimientos para mitigar las disputas relativas a los derechos de propiedad intelectual desarrollados en equipos de propiedad privada.
- La ley puede prohibir el acceso a maquinaria de propiedad privada (para garantizar su seguridad o con fines de investigación).
- Las organizaciones pueden ser responsables de las licencias de software en estaciones de trabajo de propiedad privada de su personal o de usuarios externos.
ISO 27001:2022 proporciona declaraciones de propósito y tablas de atributos para cada control, lo que ayuda a los usuarios a comprender y poner en práctica los controles de manera más efectiva.
La versión ISO 27001:2013 carece de estos dos componentes.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control:
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
¿Quién está a cargo de este proceso?
El deber principal de diseñar un política de seguridad de la información para los empleados remotos recae en el responsable de seguridad de la información de la organización. Sin embargo, otras partes interesadas también deberían participar en el proceso.
Los gerentes de TI y recursos humanos son conjuntamente responsables de garantizar que la política se implemente y se mantenga, y que los empleados la comprendan y la cumplan.
Si tiene un programa de gestión de proveedores, es probable que la persona responsable de gestionar los contratistas y proveedores sea responsable de formular una política de seguridad para los trabajadores externos de ese departamento.
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
¿Qué significan estos cambios para usted?
ISO 27001:2022 permanece prácticamente sin cambios; por lo tanto, simplemente necesita asegurarse de que sus procesos de seguridad de la información cumplan con la nueva versión.
El principal cambio fue alterar algunos controles y aclarar ciertos requisitos. El Anexo A 6.7 tuvo el efecto más significativo: si subcontrata operaciones o emplea personas de forma remota, debe asegurarse de que tengan las medidas de seguridad adecuadas.
Si su organización ya posee una Certificación ISO 27001, el proceso que usted emplee para gestionar la seguridad de la información satisfará las nuevas regulaciones.
Si buscas renovar tu ISO 27001, certificación, no necesita realizar ninguna acción. Sólo asegúrese de que sus procedimientos sigan cumpliendo con el nuevo estándar.
Si estás empezando desde el principio, es necesario considerar cómo salvaguardar los datos y la información de tu empresa contra ciberataques y otros riesgos.
Es esencial tomarse en serio los riesgos cibernéticos y gestionarlos como parte del plan de negocios general, en lugar de considerarlos únicamente como un problema para los departamentos de TI o de seguridad.
Cómo ayuda ISMS.online
El Plataforma en línea ISMS ayuda con todas las facetas de la implementación de ISO 27001:2022, desde la realización de actividades de evaluación de riesgos hasta el diseño de políticas, procedimientos y directivas para satisfacer las especificaciones de la norma.
ISMS.online proporciona una plataforma para documentar y compartir hallazgos con colegas. Además, le permite generar y almacenar listas de verificación de todas las tareas necesarias para la implementación de ISO 27001, lo que le permite monitorear cómodamente las medidas de seguridad de su organización.
Proporcionamos a las organizaciones un conjunto de herramientas automatizadas para que la demostración del cumplimiento de la norma ISO 27001 sea sencilla.
Contáctenos ahora para reservar una demostración.