ISO 27001:2022 Anexo A Control 5.10

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Uso aceptable de la información y otros activos asociados

See Norma ISO 27002:2022 5.10 para obtener más información.

See ISO 27001:2013 Anexo A 8.1.3 para obtener más información.

See ISO 27001:2013 Anexo A 8.2.3 para obtener más información.

ISO 27001:2022 Anexo A 5.10 describe las reglas para el uso aceptable y los procedimientos para el manejo de información y otros activos.

Estos deben ser identificados, documentados e implementados.

El objetivo de estas políticas es establecer instrucciones claras sobre cómo debe actuar el personal cuando trate con activos de información, garantizando la confidencialidad, fiabilidad y accesibilidad de los activos de seguridad de los datos de la organización.

¿Qué es el Anexo A 27001 de ISO 2022:5.10, Uso aceptable de la información y otros activos asociados?

El uso aceptable de Activos de información La Política (AUA) se aplica a todos los miembros de la organización y a todos los activos que poseen o son operados por ellos. Esta política es aplicable a cualquier uso, incluidos fines comerciales, de los Activos de Información.

Ejemplos de activos de información incluyen:

El hardware incluye computadoras, dispositivos móviles, teléfonos y máquinas de fax.

El software incluye sistemas operativos, aplicaciones (incluidas las basadas en web), utilidades, firmware y lenguajes de programación.

Esta sección trata de datos estructurados en bases de datos relacionales, archivos planos, datos NoSQL, así como datos no estructurados, por ejemplo, documentos de texto, hojas de cálculo, imágenes, archivos de vídeo y audio.

Las redes abarcan sistemas cableados e inalámbricos, telecomunicaciones y servicios de Voz sobre Protocolo de Internet (VoIP).

Servicios en la nube, cuentas de correo electrónico y otros servicios alojados.

La utilización de información y otros activos relacionados requiere aplicarlos de manera que no pongan en peligro la disponibilidad, confiabilidad o solidez de los datos, servicios o recursos. También implica utilizarlos de manera que no vayan en contra de las leyes o las políticas de la empresa.

Saltar al tema

¿Qué es el Anexo A 5.10?
Propósito del Anexo A 5.10
Cómo cumplir con los requisitos
Cambios y diferencias con respecto a ISO 27001:2013
¿Quién está a cargo de este proceso?
Qué significan estos cambios para usted
Cómo ayuda ISMS.online

Actualizado para ISO 27001 2022

81% del trabajo hecho para ti
Método de Resultados Garantizados para el éxito de la certificación
Ahorre tiempo, dinero y molestias

Reserva tu demostración

¿Cuál es el propósito del control 27001 del Anexo A de ISO 2022:5.10?

El objetivo principal de este control es garantizar que la información y los activos relacionados se salvaguarden, utilicen y gestionen correctamente.

El Control 27001 del Anexo A de ISO 2022:5.10 garantiza que existan políticas, procedimientos y controles técnicos para impedir que los usuarios manejen mal los activos de información.

Este control busca establecer una estructura para que las organizaciones garanticen que la información y otros recursos sean adecuadamente salvaguardados, empleados y gestionados. Implica asegurarse de que existan políticas y procedimientos adecuados en todos los niveles de la organización, así como implementarlos periódicamente.

Implementación del Control 5.10 forma parte de su SGSI y garantiza que su empresa cuente con los requisitos necesarios para proteger sus activos de TI, tales como:

Garantizar la seguridad de los datos durante el almacenamiento, procesamiento y tránsito es primordial.

La salvaguardia y utilización adecuada de los equipos informáticos es fundamental. Es vital garantizar su seguridad y utilizarlo adecuadamente.

Unos servicios de autenticación adecuados son esenciales para la regulación del acceso a los sistemas de información.

El procesamiento de información dentro de una organización se limita únicamente a aquellos que tienen la autorización adecuada.

La asignación de funciones relacionadas con los datos a determinadas personas o roles.

Educar y capacitar a los usuarios sobre sus obligaciones de seguridad es esencial. Asegurarse de que comprendan sus funciones y responsabilidades ayuda a garantizar la seguridad del sistema.

Qué implica y cómo cumplir los requisitos

Para cumplir con las necesidades de Control 27001 de ISO 2022:5.10, es imperativo que el personal, tanto interno como externo, que utiliza o tiene acceso a los datos y recursos adicionales de la organización, sea consciente de las necesidades de la empresa. requisitos previos de seguridad de la información.

Los responsables deben rendir cuentas de los recursos de procesamiento de datos que utilicen.

Todo el personal asociado con la gestión de la información y otros activos relacionados debe conocer la política de la organización sobre su uso adecuado. Es esencial que todos los involucrados estén informados de las pautas.

Todo el personal que trabaja con información y activos relacionados debe conocer la política de la empresa sobre el uso aceptable. Como parte de la política de uso específica, el personal debe comprender con precisión qué se espera de ellos con respecto a estos recursos.

La política debe dejar claro que:

Todos los empleados deben cumplir con las políticas y procedimientos de la empresa.

Ningún empleado podrá realizar ninguna actividad que sea contraria a los intereses de la empresa.

Cualquier empleado que no cumpla con las políticas y procedimientos de la empresa estará sujeto a medidas disciplinarias.

La política particular relacionada con el tema debe establecer que todo el personal debe adherirse a las directivas y protocolos de la firma:

Se deben aclarar a las personas las expectativas y acciones inaceptables en materia de seguridad de la información.

Uso permitido y prohibido de información y otros activos.

Vigilar las operaciones de la organización.

Elaborar procedimientos de uso aceptable a lo largo de todo el ciclo de vida de la información, en línea con sus categorización y riesgos identificados. Piensa en lo siguiente:

Se deben establecer restricciones de acceso para respaldar la protección de cada nivel de seguridad.

Mantener un registro de usuarios autorizados de la información y otros activos asociados.

Garantizar que la seguridad de las copias temporales o permanentes de la información sea consistente con los requisitos del contexto.

Garantizar la preservación de los datos iniciales es de suma importancia.

Almacenar activos relacionados con la información de acuerdo con los estándares de los fabricantes es esencial.

Marque todas las copias electrónicas o físicas. medios de almacenamiento claramente para la atención del destinatario.

La empresa autoriza la enajenación de información y otros activos, así como el(los) método(s) de eliminación que se admitan.

Diferencias entre ISO 27001:2013 e ISO 27001:2022

El La versión 2022 de ISO 27001 se publicó en octubre de 2022; es una versión mejorada de ISO 27001:2013.

El anexo A 5.10 de ISO 27001:2022 no es nuevo; es una combinación de los controles 8.1.3 y 8.2.3 de ISO 27001:2013.

La esencia y las pautas de implementación del Anexo A 5.10 son similares a las de los controles 8.1.3 y 8.2.3, pero el Anexo A 5.10 combina el uso aceptable y el manejo de los activos en un solo control para facilitar el uso.

El Anexo A 5.10 agregó adicionalmente un punto adicional al 8.2.3, que se refiere a la aprobación de la eliminación de información y cualquier activo relacionado, así como los métodos de eliminación recomendados.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control.

Controles organizacionales ISO 27001:2022

Anexo A Tipo de control	Identificador del Anexo A de ISO/IEC 27001:2022	Identificador del Anexo A de ISO/IEC 27001:2013	Anexo A Nombre
Controles organizacionales	Anexo A 5.1	Anexo A 5.1.1 Anexo A 5.1.2	Políticas de Seguridad de la Información
Controles organizacionales	Anexo A 5.2	Anexo A 6.1.1	Funciones y responsabilidades de seguridad de la información
Controles organizacionales	Anexo A 5.3	Anexo A 6.1.2	Segregación de deberes
Controles organizacionales	Anexo A 5.4	Anexo A 7.2.1	Responsabilidades de gestión
Controles organizacionales	Anexo A 5.5	Anexo A 6.1.3	Contacto con autoridades
Controles organizacionales	Anexo A 5.6	Anexo A 6.1.4	Contacto con grupos de interés especial
Controles organizacionales	Anexo A 5.7	NUEVO	Inteligencia de amenaza
Controles organizacionales	Anexo A 5.8	Anexo A 6.1.5 Anexo A 14.1.1	Seguridad de la información en la gestión de proyectos
Controles organizacionales	Anexo A 5.9	Anexo A 8.1.1 Anexo A 8.1.2	Inventario de Información y Otros Activos Asociados
Controles organizacionales	Anexo A 5.10	Anexo A 8.1.3 Anexo A 8.2.3	Uso aceptable de la información y otros activos asociados
Controles organizacionales	Anexo A 5.11	Anexo A 8.1.4	Devolución de Activos
Controles organizacionales	Anexo A 5.12	Anexo A 8.2.1	Clasificación de la información
Controles organizacionales	Anexo A 5.13	Anexo A 8.2.2	Etiquetado de información
Controles organizacionales	Anexo A 5.14	Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3	Transferencia de información
Controles organizacionales	Anexo A 5.15	Anexo A 9.1.1 Anexo A 9.1.2	Control de Acceso
Controles organizacionales	Anexo A 5.16	Anexo A 9.2.1	Gestión de identidad
Controles organizacionales	Anexo A 5.17	Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3	Información de autenticación
Controles organizacionales	Anexo A 5.18	Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6	Derechos de acceso
Controles organizacionales	Anexo A 5.19	Anexo A 15.1.1	Seguridad de la Información en las Relaciones con Proveedores
Controles organizacionales	Anexo A 5.20	Anexo A 15.1.2	Abordar la seguridad de la información en los acuerdos con proveedores
Controles organizacionales	Anexo A 5.21	Anexo A 15.1.3	Gestión de la seguridad de la información en la cadena de suministro de TIC
Controles organizacionales	Anexo A 5.22	Anexo A 15.2.1 Anexo A 15.2.2	Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores
Controles organizacionales	Anexo A 5.23	NUEVO	Seguridad de la información para el uso de servicios en la nube
Controles organizacionales	Anexo A 5.24	Anexo A 16.1.1	Planificación y preparación de la gestión de incidentes de seguridad de la información
Controles organizacionales	Anexo A 5.25	Anexo A 16.1.4	Evaluación y Decisión sobre Eventos de Seguridad de la Información
Controles organizacionales	Anexo A 5.26	Anexo A 16.1.5	Respuesta a Incidentes de Seguridad de la Información
Controles organizacionales	Anexo A 5.27	Anexo A 16.1.6	Aprender de los incidentes de seguridad de la información
Controles organizacionales	Anexo A 5.28	Anexo A 16.1.7	Recolección de evidencia
Controles organizacionales	Anexo A 5.29	Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3	Seguridad de la información durante la disrupción
Controles organizacionales	Anexo A 5.30	NUEVO	Preparación de las TIC para la continuidad del negocio
Controles organizacionales	Anexo A 5.31	Anexo A 18.1.1 Anexo A 18.1.5	Requisitos legales, estatutarios, reglamentarios y contractuales
Controles organizacionales	Anexo A 5.32	Anexo A 18.1.2	DERECHOS DE PROPIEDAD INTELECTUAL
Controles organizacionales	Anexo A 5.33	Anexo A 18.1.3	Protección de registros
Controles organizacionales	Anexo A 5.34	Anexo A 18.1.4	Privacidad y protección de la PII
Controles organizacionales	Anexo A 5.35	Anexo A 18.2.1	Revisión independiente de la seguridad de la información
Controles organizacionales	Anexo A 5.36	Anexo A 18.2.2 Anexo A 18.2.3	Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información
Controles organizacionales	Anexo A 5.37	Anexo A 12.1.1	Procedimientos operativos documentados

ISO 27001:2022 Controles de personas

Anexo A Tipo de control	Identificador del Anexo A de ISO/IEC 27001:2022	Identificador del Anexo A de ISO/IEC 27001:2013	Anexo A Nombre
Controles de personas	Anexo A 6.1	Anexo A 7.1.1	examen en línea.
Controles de personas	Anexo A 6.2	Anexo A 7.1.2	Términos y condiciones de empleo
Controles de personas	Anexo A 6.3	Anexo A 7.2.2	Concientización, educación y capacitación sobre seguridad de la información
Controles de personas	Anexo A 6.4	Anexo A 7.2.3	Proceso Disciplinario
Controles de personas	Anexo A 6.5	Anexo A 7.3.1	Responsabilidades después de la terminación o cambio de empleo
Controles de personas	Anexo A 6.6	Anexo A 13.2.4	Acuerdos de confidencialidad o no divulgación
Controles de personas	Anexo A 6.7	Anexo A 6.2.2	Trabajo remoto
Controles de personas	Anexo A 6.8	Anexo A 16.1.2 Anexo A 16.1.3	Informes de eventos de seguridad de la información

Controles físicos ISO 27001:2022

Anexo A Tipo de control	Identificador del Anexo A de ISO/IEC 27001:2022	Identificador del Anexo A de ISO/IEC 27001:2013	Anexo A Nombre
Controles físicos	Anexo A 7.1	Anexo A 11.1.1	Perímetros de seguridad física
Controles físicos	Anexo A 7.2	Anexo A 11.1.2 Anexo A 11.1.6	Entrada Física
Controles físicos	Anexo A 7.3	Anexo A 11.1.3	Seguridad de oficinas, habitaciones e instalaciones
Controles físicos	Anexo A 7.4	NUEVO	Monitoreo de seguridad física
Controles físicos	Anexo A 7.5	Anexo A 11.1.4	Protección contra amenazas físicas y ambientales
Controles físicos	Anexo A 7.6	Anexo A 11.1.5	Trabajar en áreas seguras
Controles físicos	Anexo A 7.7	Anexo A 11.2.9	Limpiar escritorio y limpiar pantalla
Controles físicos	Anexo A 7.8	Anexo A 11.2.1	Ubicación y protección de equipos
Controles físicos	Anexo A 7.9	Anexo A 11.2.6	Seguridad de los activos fuera de las instalaciones
Controles físicos	Anexo A 7.10	Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5	Medios de almacenamiento
Controles físicos	Anexo A 7.11	Anexo A 11.2.2	Servicios públicos de apoyo
Controles físicos	Anexo A 7.12	Anexo A 11.2.3	Seguridad del cableado
Controles físicos	Anexo A 7.13	Anexo A 11.2.4	Mantenimiento De Equipo
Controles físicos	Anexo A 7.14	Anexo A 11.2.7	Eliminación segura o reutilización del equipo

Controles Tecnológicos ISO 27001:2022

Anexo A Tipo de control	Identificador del Anexo A de ISO/IEC 27001:2022	Identificador del Anexo A de ISO/IEC 27001:2013	Anexo A Nombre
Controles Tecnológicos	Anexo A 8.1	Anexo A 6.2.1 Anexo A 11.2.8	Dispositivos terminales de usuario
Controles Tecnológicos	Anexo A 8.2	Anexo A 9.2.3	Derechos de acceso privilegiados
Controles Tecnológicos	Anexo A 8.3	Anexo A 9.4.1	Restricción de acceso a la información
Controles Tecnológicos	Anexo A 8.4	Anexo A 9.4.5	Acceso al código fuente
Controles Tecnológicos	Anexo A 8.5	Anexo A 9.4.2	Autenticación Segura
Controles Tecnológicos	Anexo A 8.6	Anexo A 12.1.3	Gestión de capacidad
Controles Tecnológicos	Anexo A 8.7	Anexo A 12.2.1	Protección contra malware
Controles Tecnológicos	Anexo A 8.8	Anexo A 12.6.1 Anexo A 18.2.3	Gestión de Vulnerabilidades Técnicas
Controles Tecnológicos	Anexo A 8.9	NUEVO	Configuration Management
Controles Tecnológicos	Anexo A 8.10	NUEVO	Eliminación de información
Controles Tecnológicos	Anexo A 8.11	NUEVO	Enmascaramiento de datos
Controles Tecnológicos	Anexo A 8.12	NUEVO	Prevención de fuga de datos
Controles Tecnológicos	Anexo A 8.13	Anexo A 12.3.1	Copia de seguridad de la información
Controles Tecnológicos	Anexo A 8.14	Anexo A 17.2.1	Redundancia de instalaciones de procesamiento de información
Controles Tecnológicos	Anexo A 8.15	Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3	Inicio de sesión
Controles Tecnológicos	Anexo A 8.16	NUEVO	Actividades de seguimiento
Controles Tecnológicos	Anexo A 8.17	Anexo A 12.4.4	Sincronización de reloj
Controles Tecnológicos	Anexo A 8.18	Anexo A 9.4.4	Uso de programas de utilidad privilegiados
Controles Tecnológicos	Anexo A 8.19	Anexo A 12.5.1 Anexo A 12.6.2	Instalación de Software en Sistemas Operativos
Controles Tecnológicos	Anexo A 8.20	Anexo A 13.1.1	Seguridad de Redes
Controles Tecnológicos	Anexo A 8.21	Anexo A 13.1.2	Seguridad de los servicios de red
Controles Tecnológicos	Anexo A 8.22	Anexo A 13.1.3	Segregación de Redes
Controles Tecnológicos	Anexo A 8.23	NUEVO	Filtrado Web
Controles Tecnológicos	Anexo A 8.24	Anexo A 10.1.1 Anexo A 10.1.2	Uso de criptografía
Controles Tecnológicos	Anexo A 8.25	Anexo A 14.2.1	Ciclo de vida de desarrollo seguro
Controles Tecnológicos	Anexo A 8.26	Anexo A 14.1.2 Anexo A 14.1.3	Requisitos de seguridad de la aplicación
Controles Tecnológicos	Anexo A 8.27	Anexo A 14.2.5	Principios de ingeniería y arquitectura de sistemas seguros
Controles Tecnológicos	Anexo A 8.28	NUEVO	Codificación segura
Controles Tecnológicos	Anexo A 8.29	Anexo A 14.2.8 Anexo A 14.2.9	Pruebas de seguridad en desarrollo y aceptación
Controles Tecnológicos	Anexo A 8.30	Anexo A 14.2.7	Desarrollo subcontratado
Controles Tecnológicos	Anexo A 8.31	Anexo A 12.1.4 Anexo A 14.2.6	Separación de entornos de desarrollo, prueba y producción.
Controles Tecnológicos	Anexo A 8.32	Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4	Gestión del cambio
Controles Tecnológicos	Anexo A 8.33	Anexo A 14.3.1	Información de prueba
Controles Tecnológicos	Anexo A 8.34	Anexo A 12.7.1	Protección de los sistemas de información durante las pruebas de auditoría

¿Quién está a cargo de este proceso?

Esta política establece las reglas para el uso adecuado de los recursos de la empresa. información y activos asociados, como computadoras, redes y sistemas, correo electrónico, archivos y medios de almacenamiento. Todos los empleados y contratistas deben cumplirlo.

Esta política sirve para:

Proporcionar pautas para un comportamiento apropiado en todo momento.

Describa las consecuencias de cualquier incumplimiento de conducta.

Garantizar un entorno seguro y respetuoso para todos.

El objetivo de esta política es establecer directivas para un comportamiento apropiado y detallar las ramificaciones de violarlas, con el fin de crear una atmósfera segura y respetuosa para todos.

Garantizar que los datos de la empresa y otros activos relacionados se utilicen únicamente por motivos comerciales válidos. Garantizar que los miembros del personal cumplan con todas las leyes y regulaciones relativas a la seguridad de la información y defender la información de la empresa y otros activos relacionados de riesgos provenientes del interior o exterior de la empresa.

El Oficial de seguridad de la información (ISO) tiene la tarea de diseñar, ejecutar y sostener los recursos de Uso Aceptable de la Información.

La ISO estará a cargo de supervisar la utilización de los recursos de información en toda la organización para garantizar que los datos se utilicen de una manera que salvaguarde la seguridad y la precisión de los datos, preserve la confidencialidad de la información privada o delicada, evite el abuso y el acceso no autorizado a los recursos informáticos. y elimina cualquier exposición o responsabilidad innecesaria para la organización.

¿Qué significan estos cambios para usted?

La nueva norma ISO 27001:2022 es una revisión, por lo que no necesitará realizar muchas modificaciones para cumplirla.

Consulte nuestra guía sobre ISO 27001:2022 para obtener más información sobre las implicaciones del Anexo A 5.10 en su negocio y cómo demostrar su cumplimiento.

Cómo ayuda ISMS.online

ISMS.online hace Implementación de ISO 27001 sencillo, con una lista de verificación completa paso a paso. Esta guía lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación de controles.

Este modelo crea un marco para establecer, utilizar, operar, observar, evaluar, sostener y desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI).

Implementando el norma ISO 27001 Puede ser un esfuerzo extenso, sin embargo, ISMS.online proporciona una solución integral e integral para hacer el proceso mucho más fácil.

Nuestro de primera software del sistema de gestión de seguridad de la información Ofrece una manera sencilla de comprender lo que se debe lograr y cómo proceder.

Hacemos que sea fácil gestionar sus necesidades de cumplimiento. Eliminamos la molestia y el estrés de cumplir con sus requisitos.

Comuníquese hoy con reservar una demostración.