ISO 27001:2022 El Anexo A Control 5.9 se denomina Inventario de Información y Otros Activos Asociados.
Requiere que las organizaciones identifiquen y documenten los activos importantes para sus operaciones y los riesgos asociados, y tomen medidas para protegerlos. Esto garantiza que los activos se gestionen y supervisen de forma adecuada, lo que ayuda a garantizar que estén seguros.
El Anexo A de ISO 27001:2022 describe el Control 5.9, que explica cómo se debe crear y mantener actualizada una lista de información y activos relacionados, junto con sus respectivos propietarios.
La organización debe reconocer a qué tiene acceso para realizar sus operaciones. Debe ser consciente de sus activos de información.
Una IA integral es una parte crucial de la política de seguridad de datos de cualquier organización. Es un inventario de cada dato que se almacena, procesa o transmite, así como las ubicaciones y controles de seguridad de cada uno. Es esencialmente el equivalente en contabilidad financiera de protección de datos, permitiendo a las organizaciones identificar cada dato.
Se puede utilizar una IA para identificar debilidades en su programa de seguridad y proporcionar información para evaluar riesgos cibernéticos que podrían conducir a una infracción. También puede ser evidencia para demostrar que ha tomado medidas para identificar datos confidenciales. durante las auditorías de cumplimiento, que te ayuda a evadir multas y castigos.
El inventario de activos de información Debe especificar quién posee y es responsable de cada activo, así como el valor y la importancia de cada elemento para las operaciones de la organización.
Es fundamental mantener los inventarios actualizados para garantizar que reflejen con precisión los cambios dentro de la organización.
La gestión de activos de información tiene una larga tradición en la planificación de la continuidad del negocio (BCP), la recuperación ante desastres (DR) y la preparación de respuesta a incidentes.
Identificar sistemas, redes, bases de datos, aplicaciones, flujos de datos y otros componentes críticos que requieren seguridad es el primer paso en cualquiera de estos procesos. Sin conocimiento de lo que se necesita proteger y dónde está ubicado, no se puede planificar cómo protegerlo.
Solicite un presupuesto
El control tiene como objetivo reconocer la capacidad de la organización. información y activos asociados para garantizar la seguridad de la información y designar la propiedad adecuada.
El Anexo A de ISO 27001:2022 describe el Control 5.9, que describe el propósito y la guía de implementación para crear un inventario de información y otros activos en relación con el marco del SGSI.
Haga un inventario de toda la información y los activos asociados, clasifíquelos en categorías, identifique a los propietarios y documente los controles existentes/requeridos.
Este es un paso importante para garantizar que todos los activos de información estén adecuadamente protegidos.
Para cumplir con los criterios de ISO 27001:2022, debe identificar la información y otros activos asociados dentro de su organización. Después de eso, debe evaluar la importancia de estos elementos con respecto a la seguridad de la información. Si es necesario, mantenga registros en inventarios dedicados o existentes.
El tamaño y la complejidad de una organización, los controles y políticas existentes y los tipos de información y activos que utiliza tendrán un efecto en el desarrollo de un inventario.
Garantizar que el inventario de información y otros activos asociados sea preciso, actualizado, consistente y en línea con otros inventarios es clave, según el Control 5.9. Para garantizar la precisión, se puede considerar lo siguiente:
Es posible que algunas organizaciones necesiten mantener varios inventarios para distintos fines. Por ejemplo, pueden tener inventarios especializados para licencias de software o dispositivos físicos como computadoras portátiles y tabletas.
Es esencial inspeccionar periódicamente todo el inventario físico, que incluye dispositivos de red como enrutadores y conmutadores, para mantener la precisión del inventario para fines de gestión de riesgos.
Para más información sobre el cumplimiento del control 5.9 se debe consultar el documento ISO 27001:2022.
En ISO 27001:2022, se han revisado 58 controles de ISO 27001:2013 y se han fusionado otros 24 controles. Se agregaron 11 controles nuevos y se eliminaron algunos.
Por lo tanto, no encontrarás Anexo A Control 5.9 – Inventario de Información y Otros Activos Asociados – en la versión 2013, ya que ahora es una combinación de ISO 27001:2013 Anexo A 8.1.1 – Inventario de Activos - y ISO 27001:2013 Anexo A 8.1.2 – Propiedad de los activos – en la versión 2022.
El Anexo A de ISO 27001:2022 describe el Control 8.1.2, Propiedad de los activos. Esto garantiza que todos los activos de información estén claramente identificados y sean propietarios. Saber quién posee qué ayuda a establecer qué activos necesitan protección y quién requiere responsabilidad.
ISO 27001:2013 e ISO 27001:2022 tienen controles similares, sin embargo, el Anexo A Control 5.9 de este último se ha ampliado para proporcionar una interpretación más sencilla. Por ejemplo, la guía de implementación sobre propiedad de activos en control 8.1.2 dicta que el propietario de activos debe:
La sección de propiedad del control 5.9 se ha ampliado para incluir nueve puntos, en lugar de los cuatro originales. Se han realizado correcciones de ortografía y gramática y se ha cambiado el tono a un estilo profesional y amigable. Se han eliminado la redundancia y la repetición y ahora la escritura tiene un estilo activo.
El propietario del activo debe asumir la responsabilidad de la adecuada supervisión de un activo a lo largo de su ciclo de vida, asegurándose de que:
Fusionar estos dos controles en uno facilita la comprensión del usuario.
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 | Anexo A 5.1.1 Anexo A 5.1.2 | Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 | Anexo A 6.1.5 Anexo A 14.1.1 | Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 | Anexo A 8.1.1 Anexo A 8.1.2 | Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 | Anexo A 8.1.3 Anexo A 8.2.3 | Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 | Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 | Transferencia de información |
| Controles organizacionales | Anexo A 5.15 | Anexo A 9.1.1 Anexo A 9.1.2 | Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 | Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 | Información de autenticación |
| Controles organizacionales | Anexo A 5.18 | Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 | Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 | Anexo A 15.2.1 Anexo A 15.2.2 | Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 | Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 | Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 | Anexo A 18.1.1 Anexo A 18.1.5 | Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 | Anexo A 18.2.2 Anexo A 18.2.3 | Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 | Anexo A 16.1.2 Anexo A 16.1.3 | Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 | Anexo A 11.1.2 Anexo A 11.1.6 | Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 | Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 | Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 | Anexo A 6.2.1 Anexo A 11.2.8 | Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 | Anexo A 12.6.1 Anexo A 18.2.3 | Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 | Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 | Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados |
| Controles Tecnológicos | Anexo A 8.19 | Anexo A 12.5.1 Anexo A 12.6.2 | Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 | Anexo A 10.1.1 Anexo A 10.1.2 | Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 | Anexo A 14.1.2 Anexo A 14.1.3 | Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Principios de ingeniería y arquitectura de sistemas seguros |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 | Anexo A 14.2.8 Anexo A 14.2.9 | Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 | Anexo A 12.1.4 Anexo A 14.2.6 | Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 | Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 | Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
Los últimos cambios de ISO 27001 no afectan su certificación actual según las normas ISO 27001. Sólo actualizaciones a ISO 27001 puede tener un efecto en las certificaciones existentes. Los organismos de acreditación trabajarán con los organismos de certificación para diseñar un período de transición que brinde a las organizaciones con Los certificados ISO 27001 tienen tiempo suficiente para pasar de una versión a la siguiente.
Se deben seguir estos pasos para cumplir con la versión revisada:
Durante la transición al nuevo estándar, tendremos acceso a nuevas mejores prácticas y cualidades para la selección de controles, lo que permitirá un proceso de selección más efectivo y eficiente.
Debe persistir en un método basado en riesgos para garantizar que solo se seleccionen los controles más pertinentes y eficientes para su empresa.
ISMS.online es ideal para implementar su sistema de gestión de seguridad de la información ISO 27001. Ha sido diseñado específicamente para ayudar a las empresas a cumplir los requisitos de la norma.
El La plataforma aplica un método orientado al riesgo. junto con las mejores prácticas y plantillas líderes de la industria para ayudarlo a determinar los riesgos que enfrenta su organización y los controles necesarios para gestionarlos. Esto le permite reducir sistemáticamente tanto su exposición al riesgo como los costos de cumplimiento.
Puede aprovechar ISMS.online para crear un SGSI, crear un conjunto personalizado de políticas y procesos, cumplir con los criterios ISO 27001 y obtener ayuda de asesores experimentados.
La plataforma ISMS.online se basa en Planificar-Hacer-Verificar-Actuar (PDCA), un procedimiento iterativo de cuatro etapas para la mejora continua, que cumple con todas las demandas de la norma ISO 27001:2022. Es sencillo. Contáctenos ahora para organiza tu demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
