- See Norma ISO 27002:2022 7.5 para obtener más información.
- See ISO 27001:2013 Anexo A 11.1.4 para obtener más información.
ISO 27001 Anexo A 7.5: Fortalecimiento de la seguridad frente a amenazas físicas y ambientales
Las organizaciones deben tener en cuenta los riesgos que plantean las amenazas físicas a sus activos de información.
Dichas amenazas pueden incluir daños ambientales, robo, destrucción y compromiso de los datos. Todos estos problemas pueden provocar una pérdida de información y la posibilidad de que queden expuestos datos confidenciales.
Los fenómenos naturales como terremotos, inundaciones e incendios forestales, así como los desastres provocados por el hombre, como disturbios civiles y actos criminales, plantean amenazas.
ISO 27001:2022 El Anexo A 7.5 requiere que las organizaciones evalúen, reconozcan y reduzcan los riesgos para la infraestructura física vital debido a peligros físicos y ambientales.
Propósito de ISO 27001:2022 Anexo A 7.5
ISO 27001:2022 Anexo A 7.5 permite a las organizaciones evaluar los riesgos potenciales que plantean las amenazas ambientales y físicas, y reducir o eliminar estos riesgos mediante la implementación de medidas adecuadas.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Anexo A 7.5
ISO 27001:2022 anexo A 7.5 requiere que las organizaciones realicen una evaluación integral de riesgos antes de realizar cualquier operación en las instalaciones físicas y que implementen medidas apropiadas proporcionales al riesgo identificado.
Jefes de seguridad son responsables de crear, gestionar, implementar y evaluar todo el proceso.
Orientación sobre ISO 27001:2022 Anexo A 7.5 Cumplimiento
ISO 27001:2022 Anexo A 7.5 describe una estrategia de tres partes para reconocer y eliminar peligros potenciales de fuentes físicas y ambientales.
Paso 1: completar una evaluación de riesgos
Las organizaciones deben llevar a cabo una evaluación de riesgos para identificar cualquier peligro físico y ambiental potencial que pueda ocurrir en sus instalaciones, luego evaluar los posibles impactos de estos riesgos físicos y ambientales identificados.
Teniendo en cuenta la variedad de condiciones ambientales y riesgos físicos que cada instalación e infraestructura puede enfrentar, el tipo de amenaza y el nivel de riesgo identificado diferirán según la ubicación.
Una propiedad puede ser particularmente vulnerable a los incendios forestales, mientras que otra puede estar ubicada en un área propensa a los terremotos.
Es esencial que se realice una evaluación de riesgos antes de iniciar actividades en el sitio, según el Anexo A 7.5.
Paso 2: establecer y emplear controles
Dado el tipo de amenaza y el riesgo asociado identificado inicialmente, las organizaciones deben implementar los controles correctos teniendo en cuenta las posibles consecuencias de las amenazas ambientales y físicas.
ISO 27001:2022 Anexo A 7.5 ofrece ejemplos de controles que se pueden implementar para combatir diferentes amenazas:
- Las organizaciones deben instalar sistemas que puedan alertarlas sobre incendios y activar sistemas de extinción de incendios para proteger los medios digitales y los sistemas de información de la destrucción.
- Se deben implementar y configurar sistemas para identificar inundaciones en los lugares donde se almacenan los datos. Además, las bombas de agua deben estar preparadas para ser utilizadas en caso de inundaciones.
- Los servidores y los sistemas de manejo de datos deben protegerse contra sobretensiones eléctricas. El mantenimiento y la protección regulares son esenciales para un rendimiento óptimo.
- Las organizaciones deberían auditar periódicamente e inspeccionar personas, artículos y vehículos que ingresan a sitios de infraestructura crítica.
Paso 3 – Monitoreo
Realice un seguimiento del progreso y haga los ajustes necesarios. Evalúe periódicamente los resultados y realice cambios para garantizar que se cumplan los objetivos. Asegúrese de documentar cualquier cambio para referencia futura.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Orientación complementaria sobre el Anexo A 7.5
ISO 27001:2022 Anexo A 7.5 describe cuatro consideraciones que las organizaciones deben tener en cuenta.
Consulta con expertos
Cada amenaza ambiental y física, como los desechos tóxicos, los terremotos y los incendios, es distinta en términos de sus características, el peligro que plantea y las medidas que deben tomarse.
Las organizaciones deben consultar asesoramiento especializado sobre cómo detectar, reducir y/o gestionar los riesgos que plantean estas amenazas.
Elección de la ubicación del local
Tener en cuenta el terreno local, los niveles de agua y la actividad tectónica de un sitio potencial para un edificio puede ayudar a identificar y eliminar riesgos potenciales de manera temprana.
Las organizaciones deben contemplar los peligros de los desastres inducidos por el hombre en el área urbana seleccionada, por ejemplo, agitación política y comportamiento criminal.
Capa adicional de seguridad
El uso de métodos de almacenamiento seguros, como cajas fuertes, proporciona una capa adicional de protección contra desastres como incendios e inundaciones, además de las medidas de seguridad existentes.
Prevención del delito a través del diseño ambiental
ISO 27001:2022 Anexo A 7.5 sugiere que las organizaciones contemplen este concepto al introducir controles para fortalecer la seguridad de las instalaciones. Este enfoque puede emplearse para combatir amenazas urbanas como actividades criminales, disturbios civiles y terrorismo.
Cambios y diferencias con respecto a ISO 27001:2013
ISO 27001:2022 Anexo A 7.5 reemplaza a ISO 27001:2013 Anexo A 11.1.4 de la norma revisada.
La versión 2013 se centró en cómo las organizaciones deberían implementar medidas preventivas contra amenazas físicas y ambientales, mientras que la versión 2022 es más completa y describe los pasos específicos que las organizaciones deben tomar para cumplir.
En conclusión, destacan dos distinciones principales.
La versión 2022 ofrece asesoramiento sobre reglamento de reuniones
La edición de 2013 no proporcionó orientación sobre cómo las organizaciones podrían reconocer y reducir los riesgos causados por peligros ambientales y físicos.
La versión 2022 describe un proceso de tres pasos que las organizaciones deben implementar, comenzando con una evaluación de riesgos.
La revisión de 2022 alienta a las organizaciones a introducir una capa adicional de medidas
La orientación complementaria para 2022 incluye el uso de cajas fuertes y la prevención del delito mediante el diseño ambiental como formas de aumentar la seguridad contra las amenazas.
En 2013, sin embargo, no se tomaron medidas adicionales.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
Cómo ayuda ISMS.online
La plataforma ISMS.online ofrece una variedad de herramientas potentes para facilitar la documentación, implementación, preservación y mejora de su sistema de gestión de seguridad de la información (SGSI) y cumplir con la norma ISO 27001:2022 más fácilmente.
Esta colección integral de herramientas proporciona una ubicación única donde puede personalizar un conjunto de políticas y procedimientos para que coincidan con los riesgos y necesidades particulares de su organización.
Contáctenos hoy para organizar una demostración.