ISO 27001:2022 Anexo A Control 7.1

Perímetros de seguridad física

Reserve una demostración

negocios,comunicación,conexión,trabajo,concepto

¿Qué es ISO 27001:2022 Anexo A 7.1?

ISO 27001:2022 El Anexo A 7.1 requiere que las organizaciones establezcan perímetros de seguridad y los utilicen para salvaguardar la información y los activos asociados.

Información y activos de seguridad de la información explicados

La información puede describirse como cualquier dato, conocimiento o percepción que tenga valor para una organización o empresa. Esto incluye cualquier detalle obtenido sobre individuos, clientes, socios, empleados y otras partes interesadas.

Los activos de seguridad de la información se pueden clasificar en términos generales en:

Datos

Los datos y la información a menudo se confunden entre sí, pero existe una clara diferencia. Los datos son brutos, no procesados ​​y generalmente no sirven de nada en su forma actual. Por otro lado, la información son datos que se han organizado en un formato utilizable, como un correo electrónico o un número de teléfono.

EN LA MINA

La infraestructura abarca todos los componentes de una red (servidores, impresoras, enrutadores y más) para crear un sistema cohesivo.

Infraestructura de software, como sistemas operativos y las aplicaciones, deben protegerse de las ciberamenazas, al igual que lo hace el hardware. Para evitar la explotación por parte de piratas informáticos malintencionados que buscan acceso a datos confidenciales, ambos deben actualizarse periódicamente con parches y correcciones para cualquier vulnerabilidad expuesta por los piratas informáticos.

Perímetros de seguridad física explicados

La seguridad física se refiere a las medidas físicas que salvaguardan los recursos y las instalaciones de una organización. Es una parte fundamental e indispensable de la seguridad de la información. Implica algo más que simplemente cerrar la puerta; también implica ser consciente de quién tiene acceso a qué, cuándo, dónde y cómo.

Los perímetros de seguridad física identifican los límites físicos de un edificio o área y controlan el acceso a él. Se pueden emplear vallas, muros, puertas y otras barreras para impedir la entrada no autorizada de personas o vehículos. Además, se pueden utilizar equipos de vigilancia electrónica, como cámaras CCTV, para controlar la actividad fuera de las instalaciones.

Los perímetros de seguridad física ofrecen la capa inicial de protección contra personas externas que intentan acceder a su sistema informático a través de una conexión por cable o inalámbrica en una empresa. Con frecuencia se combinan con controles de seguridad de la información adicionales, como gestión de identidad, control de acceso y sistemas de detección de intrusos.

Saltar al tema

Orientación sobre ISO 27001:2022 Anexo A 7.1

ISO 27001:2022 Anexo A 7.1 garantiza que una organización puede demostrar que cuenta con límites de seguridad física adecuados para detener el acceso físico no autorizado a la información y otros activos relacionados.

Esto implica tomar medidas para impedir:

  • Está prohibida la entrada no autorizada a edificios, salas o áreas que contengan activos de información.

  • La retirada de bienes sin permiso del local es inaceptable.

  • No se permite la utilización no autorizada de los activos de las instalaciones, como computadoras y dispositivos relacionados.

  • No se permite la manipulación no autorizada de equipos de comunicación electrónicos, como teléfonos, faxes y terminales de computadora.

Es posible implementar perímetros de seguridad física de dos formas diferentes:

Control de acceso físico – salvaguarda la entrada a instalaciones y edificios y el movimiento dentro de ellos. Esto incluye cerrar puertas, alarmas, vallas y barreras.

Seguridad de hardware – proporciona control sobre equipos físicos, como computadoras, impresoras y escáneres, que procesan datos que contienen información confidencial.

Este control ayuda salvaguardar la información y otros activos relacionados, como documentos, registros y equipos confidenciales, evitando el uso no autorizado del espacio, los equipos y los suministros de las instalaciones.

Qué implica y cómo cumplir con los requisitos

Cuando sea posible, se deberían adoptar directrices que se tengan en cuenta para los perímetros de seguridad física:

  • Establecer barreras de seguridad y señalar la ubicación exacta y la fuerza de cada una de ellas de acuerdo con las normas de seguridad de la información relativas a los recursos dentro del límite.

  • Garantizar la seguridad física de un edificio o sitio que alberga sistemas de procesamiento de información es vital, sin espacios ni puntos débiles en el perímetro donde se pueda facilitar un robo.

  • Las superficies exteriores del sitio, incluidos techos, paredes, techos y pisos, deben ser de construcción resistente y todas las puertas externas deben estar equipadas con mecanismos de control como barras, alarmas y cerraduras para evitar la entrada no autorizada.

  • Asegúrese de que las ventanas y puertas estén cerradas con llave cuando no estén ocupadas y considere la seguridad externa para las ventanas, especialmente en la planta baja; También hay que tener en cuenta la ventilación.

Para obtener más información sobre lo que se espera del cumplimiento de la norma ISO 27001:2022, consulte la documentación asociada.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 7.1 reemplaza a ISO 27001:2013 Anexo A 11.1.1; el contexto y el significado siguen siendo en gran medida similares, aunque expresados ​​de manera diferente.

La versión 2022 experimentó una reducción en los requisitos de implementación en comparación con el control anterior.

El Anexo A 7.1 carece de los requisitos detallados en el Anexo A 11.1.1, los cuales son los siguientes:

  • Debería haber una zona de recepción con personal u otra forma de gestionar entrada fisica al sitio o edificio.

  • Sólo se debe permitir la entrada a los sitios y edificios al personal autorizado.

  • Construir barreras físicas, cuando corresponda, para impedir el acceso físico no autorizado y evitar la contaminación ambiental.

  • Es necesario instalar sistemas de detección de intrusos que cumplan con los estándares nacionales, regionales o internacionales y probarlos periódicamente para asegurar todas las puertas externas y ventanas accesibles.

  • Todas las áreas desocupadas deben estar equipadas con un sistema de alarma en todo momento.

  • Deberíamos garantizar la cobertura de otras áreas, como las salas de informática y comunicaciones.

  • La organización debe mantener sus instalaciones de procesamiento de información físicamente separadas de aquellas administradas por fuentes externas.

Ninguna omisión reduce la eficacia de la nueva norma ISO 27001:2022; en cambio, se eliminaron para que el control fuera más fácil de usar y comprender.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.

Controles organizacionales ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles organizacionalesAnexo A 5.1Anexo A 5.1.1
Anexo A 5.1.2		Políticas de Seguridad de la Información
Controles organizacionalesAnexo A 5.2Anexo A 6.1.1Funciones y responsabilidades de seguridad de la información
Controles organizacionalesAnexo A 5.3Anexo A 6.1.2Segregación de deberes
Controles organizacionalesAnexo A 5.4Anexo A 7.2.1Responsabilidades de gestión
Controles organizacionalesAnexo A 5.5Anexo A 6.1.3Contacto con autoridades
Controles organizacionalesAnexo A 5.6Anexo A 6.1.4Contacto con grupos de interés especial
Controles organizacionalesAnexo A 5.7NUEVOInteligencia de amenaza
Controles organizacionalesAnexo A 5.8Anexo A 6.1.5
Anexo A 14.1.1		Seguridad de la información en la gestión de proyectos
Controles organizacionalesAnexo A 5.9Anexo A 8.1.1
Anexo A 8.1.2		Inventario de Información y Otros Activos Asociados
Controles organizacionalesAnexo A 5.10Anexo A 8.1.3
Anexo A 8.2.3		Uso aceptable de la información y otros activos asociados
Controles organizacionalesAnexo A 5.11Anexo A 8.1.4Devolución de Activos
Controles organizacionalesAnexo A 5.12Anexo A 8.2.1Clasificación de la información
Controles organizacionalesAnexo A 5.13Anexo A 8.2.2Etiquetado de información
Controles organizacionalesAnexo A 5.14Anexo A 13.2.1
Anexo A 13.2.2
Anexo A 13.2.3		Transferencia de información
Controles organizacionalesAnexo A 5.15Anexo A 9.1.1
Anexo A 9.1.2		Control de Acceso
Controles organizacionalesAnexo A 5.16Anexo A 9.2.1Gestión de identidad
Controles organizacionalesAnexo A 5.17Anexo A 9.2.4
Anexo A 9.3.1
Anexo A 9.4.3		Información de autenticación
Controles organizacionalesAnexo A 5.18Anexo A 9.2.2
Anexo A 9.2.5
Anexo A 9.2.6		Derechos de acceso
Controles organizacionalesAnexo A 5.19Anexo A 15.1.1Seguridad de la Información en las Relaciones con Proveedores
Controles organizacionalesAnexo A 5.20Anexo A 15.1.2Abordar la seguridad de la información en los acuerdos con proveedores
Controles organizacionalesAnexo A 5.21Anexo A 15.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
Controles organizacionalesAnexo A 5.22Anexo A 15.2.1
Anexo A 15.2.2		Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores
Controles organizacionalesAnexo A 5.23NUEVOSeguridad de la información para el uso de servicios en la nube
Controles organizacionalesAnexo A 5.24Anexo A 16.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.25Anexo A 16.1.4Evaluación y Decisión sobre Eventos de Seguridad de la Información
Controles organizacionalesAnexo A 5.26Anexo A 16.1.5Respuesta a Incidentes de Seguridad de la Información
Controles organizacionalesAnexo A 5.27Anexo A 16.1.6Aprender de los incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.28Anexo A 16.1.7Recolección de evidencia
Controles organizacionalesAnexo A 5.29Anexo A 17.1.1
Anexo A 17.1.2
Anexo A 17.1.3		Seguridad de la información durante la disrupción
Controles organizacionalesAnexo A 5.30NUEVOPreparación de las TIC para la continuidad del negocio
Controles organizacionalesAnexo A 5.31Anexo A 18.1.1
Anexo A 18.1.5		Requisitos legales, estatutarios, reglamentarios y contractuales
Controles organizacionalesAnexo A 5.32Anexo A 18.1.2DERECHOS DE PROPIEDAD INTELECTUAL
Controles organizacionalesAnexo A 5.33Anexo A 18.1.3Protección de registros
Controles organizacionalesAnexo A 5.34 Anexo A 18.1.4Privacidad y protección de la PII
Controles organizacionalesAnexo A 5.35Anexo A 18.2.1Revisión independiente de la seguridad de la información
Controles organizacionalesAnexo A 5.36Anexo A 18.2.2
Anexo A 18.2.3		Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información
Controles organizacionalesAnexo A 5.37Anexo A 12.1.1Procedimientos operativos documentados

ISO 27001:2022 Controles de personas

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles de personasAnexo A 6.1Anexo A 7.1.1examen en línea.
Controles de personasAnexo A 6.2Anexo A 7.1.2Términos y condiciones de empleo
Controles de personasAnexo A 6.3Anexo A 7.2.2Concientización, educación y capacitación sobre seguridad de la información
Controles de personasAnexo A 6.4Anexo A 7.2.3Proceso Disciplinario
Controles de personasAnexo A 6.5Anexo A 7.3.1Responsabilidades después de la terminación o cambio de empleo
Controles de personasAnexo A 6.6Anexo A 13.2.4Acuerdos de confidencialidad o no divulgación
Controles de personasAnexo A 6.7Anexo A 6.2.2Trabajo remoto
Controles de personasAnexo A 6.8Anexo A 16.1.2
Anexo A 16.1.3		Informes de eventos de seguridad de la información

Controles físicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles físicosAnexo A 7.1Anexo A 11.1.1Perímetros de seguridad física
Controles físicosAnexo A 7.2Anexo A 11.1.2
Anexo A 11.1.6		Entrada Física
Controles físicosAnexo A 7.3Anexo A 11.1.3Seguridad de oficinas, habitaciones e instalaciones
Controles físicosAnexo A 7.4NUEVOMonitoreo de seguridad física
Controles físicosAnexo A 7.5Anexo A 11.1.4Protección contra amenazas físicas y ambientales
Controles físicosAnexo A 7.6Anexo A 11.1.5Trabajar en áreas seguras
Controles físicosAnexo A 7.7Anexo A 11.2.9Limpiar escritorio y limpiar pantalla
Controles físicosAnexo A 7.8Anexo A 11.2.1Ubicación y protección de equipos
Controles físicosAnexo A 7.9Anexo A 11.2.6Seguridad de los activos fuera de las instalaciones
Controles físicosAnexo A 7.10Anexo A 8.3.1
Anexo A 8.3.2
Anexo A 8.3.3
 Anexo A 11.2.5		Medios de almacenamiento
Controles físicosAnexo A 7.11Anexo A 11.2.2Servicios públicos de apoyo
Controles físicosAnexo A 7.12Anexo A 11.2.3Seguridad del cableado
Controles físicosAnexo A 7.13Anexo A 11.2.4Mantenimiento De Equipo
Controles físicosAnexo A 7.14Anexo A 11.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles TecnológicosAnexo A 8.1Anexo A 6.2.1
Anexo A 11.2.8		Dispositivos terminales de usuario
Controles TecnológicosAnexo A 8.2Anexo A 9.2.3Derechos de acceso privilegiados
Controles TecnológicosAnexo A 8.3Anexo A 9.4.1Restricción de acceso a la información
Controles TecnológicosAnexo A 8.4Anexo A 9.4.5Acceso al código fuente
Controles TecnológicosAnexo A 8.5Anexo A 9.4.2Autenticación Segura
Controles TecnológicosAnexo A 8.6Anexo A 12.1.3Gestión de capacidad
Controles TecnológicosAnexo A 8.7Anexo A 12.2.1Protección contra malware
Controles TecnológicosAnexo A 8.8Anexo A 12.6.1
Anexo A 18.2.3		Gestión de Vulnerabilidades Técnicas
Controles TecnológicosAnexo A 8.9NUEVOConfiguration Management
Controles TecnológicosAnexo A 8.10NUEVOEliminación de información
Controles TecnológicosAnexo A 8.11NUEVOEnmascaramiento de datos
Controles TecnológicosAnexo A 8.12NUEVOPrevención de fuga de datos
Controles TecnológicosAnexo A 8.13Anexo A 12.3.1Copia de seguridad de la información
Controles TecnológicosAnexo A 8.14Anexo A 17.2.1Redundancia de instalaciones de procesamiento de información
Controles TecnológicosAnexo A 8.15Anexo A 12.4.1
Anexo A 12.4.2
Anexo A 12.4.3		Inicio de sesión
Controles TecnológicosAnexo A 8.16NUEVOActividades de seguimiento
Controles TecnológicosAnexo A 8.17Anexo A 12.4.4Sincronización de reloj
Controles TecnológicosAnexo A 8.18Anexo A 9.4.4Uso de programas de utilidad privilegiados
Controles TecnológicosAnexo A 8.19Anexo A 12.5.1
Anexo A 12.6.2		Instalación de Software en Sistemas Operativos
Controles TecnológicosAnexo A 8.20Anexo A 13.1.1Seguridad de Redes
Controles TecnológicosAnexo A 8.21Anexo A 13.1.2Seguridad de los servicios de red
Controles TecnológicosAnexo A 8.22Anexo A 13.1.3Segregación de Redes
Controles TecnológicosAnexo A 8.23NUEVOFiltrado Web
Controles TecnológicosAnexo A 8.24Anexo A 10.1.1
Anexo A 10.1.2		Uso de criptografía
Controles TecnológicosAnexo A 8.25Anexo A 14.2.1Ciclo de vida de desarrollo seguro
Controles TecnológicosAnexo A 8.26Anexo A 14.1.2
Anexo A 14.1.3		Requisitos de seguridad de la aplicación
Controles TecnológicosAnexo A 8.27Anexo A 14.2.5Principios de ingeniería y arquitectura de sistemas seguros
Controles TecnológicosAnexo A 8.28NUEVOCodificación segura
Controles TecnológicosAnexo A 8.29Anexo A 14.2.8
Anexo A 14.2.9		Pruebas de seguridad en desarrollo y aceptación
Controles TecnológicosAnexo A 8.30Anexo A 14.2.7Desarrollo subcontratado
Controles TecnológicosAnexo A 8.31Anexo A 12.1.4
Anexo A 14.2.6		Separación de entornos de desarrollo, prueba y producción.
Controles TecnológicosAnexo A 8.32Anexo A 12.1.2
Anexo A 14.2.2
Anexo A 14.2.3
Anexo A 14.2.4		Gestión del cambio
Controles TecnológicosAnexo A 8.33Anexo A 14.3.1Información de prueba
Controles TecnológicosAnexo A 8.34Anexo A 12.7.1Protección de los sistemas de información durante las pruebas de auditoría

¿Quién está a cargo de este proceso?

El Jefe de Información (CIO) es el líder responsable de salvaguardar los datos y sistemas de la empresa. Trabajan con otros ejecutivos para considerar la seguridad al tomar decisiones comerciales, como el director financiero y el director ejecutivo. Implementar políticas y procedimientos para proteger la información de la empresa es una parte clave del papel del CIO.

El Director Financiero tiene la función de decidir sobre los perímetros de seguridad física. En colaboración con otros ejecutivos de la alta dirección, incluido el CIO, deciden cuánto invertir en medidas de seguridad física, como cámaras de vigilancia, controles de acceso y alarmas.

¿Qué significan estos cambios para usted?

ISO 27001:2022 no es una revisión importante, por lo que no son necesarias modificaciones significativas para su cumplimiento.

Vale la pena examinar su implementación actual para garantizar que esté en línea con los nuevos requisitos. En particular, si se realizaron cambios desde la versión de 2013. Vale la pena reevaluar esos cambios para determinar si siguen siendo válidos o si es necesario modificarlos.

Cómo ayuda ISMS.Online

ISMS.online puede ayudar a demostrar el cumplimiento de la norma ISO 27001 proporcionando un sistema en línea que permite el almacenamiento de documentos en una ubicación única y accesible. También facilita el desarrollo de listas de verificación para cada documento, facilitando así la revisión y modificación de los documentos.

¿Quieres experimentar cómo funciona?

Contáctenos hoy para reservar una demostración.

Ver ISMS.online
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más