- See Norma ISO 27002:2022 7.1 para obtener más información.
- See ISO 27001:2013 Anexo A 11.1.1 para obtener más información.
¿Qué es ISO 27001:2022 Anexo A 7.1?
ISO 27001:2022 El Anexo A 7.1 requiere que las organizaciones establezcan perímetros de seguridad y los utilicen para salvaguardar la información y los activos asociados.
Información y activos de seguridad de la información explicados
La información puede describirse como cualquier dato, conocimiento o percepción que tenga valor para una organización o empresa. Esto incluye cualquier detalle obtenido sobre individuos, clientes, socios, empleados y otras partes interesadas.
Los activos de seguridad de la información se pueden clasificar en términos generales en:
Data
Los datos y la información a menudo se confunden entre sí, pero existe una clara diferencia. Los datos son brutos, no procesados y generalmente no sirven de nada en su forma actual. Por otro lado, la información son datos que se han organizado en un formato utilizable, como un correo electrónico o un número de teléfono.
Infraestructura
La infraestructura abarca todos los componentes de una red (servidores, impresoras, enrutadores y más) para crear un sistema cohesivo.
Infraestructura de software, como sistemas operativos y las aplicaciones, deben protegerse de las ciberamenazas, al igual que lo hace el hardware. Para evitar la explotación por parte de piratas informáticos malintencionados que buscan acceso a datos confidenciales, ambos deben actualizarse periódicamente con parches y correcciones para cualquier vulnerabilidad expuesta por los piratas informáticos.
Perímetros de seguridad física explicados
La seguridad física se refiere a las medidas físicas que salvaguardan los recursos y las instalaciones de una organización. Es una parte fundamental e indispensable de la seguridad de la información. Implica algo más que simplemente cerrar la puerta; también implica ser consciente de quién tiene acceso a qué, cuándo, dónde y cómo.
Los perímetros de seguridad física identifican los límites físicos de un edificio o área y controlan el acceso a él. Se pueden emplear vallas, muros, puertas y otras barreras para impedir la entrada no autorizada de personas o vehículos. Además, se pueden utilizar equipos de vigilancia electrónica, como cámaras CCTV, para controlar la actividad fuera de las instalaciones.
Los perímetros de seguridad física ofrecen la capa inicial de protección contra personas externas que intentan acceder a su sistema informático a través de una conexión por cable o inalámbrica en una empresa. Con frecuencia se combinan con controles de seguridad de la información adicionales, como gestión de identidad, control de acceso y sistemas de detección de intrusos.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación sobre ISO 27001:2022 Anexo A 7.1
ISO 27001:2022 Anexo A 7.1 garantiza que una organización puede demostrar que cuenta con límites de seguridad física adecuados para detener el acceso físico no autorizado a la información y otros activos relacionados.
Esto implica tomar medidas para impedir:
- Está prohibida la entrada no autorizada a edificios, salas o áreas que contengan activos de información.
- La retirada de bienes sin permiso del local es inaceptable.
- No se permite la utilización no autorizada de los activos de las instalaciones, como computadoras y dispositivos relacionados.
- No se permite la manipulación no autorizada de equipos de comunicación electrónicos, como teléfonos, faxes y terminales de computadora.
Es posible implementar perímetros de seguridad física de dos formas diferentes:
Control de acceso físico – salvaguarda la entrada a instalaciones y edificios y el movimiento dentro de ellos. Esto incluye cerrar puertas, alarmas, vallas y barreras.
Seguridad de hardware – proporciona control sobre equipos físicos, como computadoras, impresoras y escáneres, que procesan datos que contienen información confidencial.
Este control ayuda salvaguardar la información y otros activos relacionados, como documentos, registros y equipos confidenciales, evitando el uso no autorizado del espacio, los equipos y los suministros de las instalaciones.
Qué implica y cómo cumplir con los requisitos
Cuando sea posible, se deberían adoptar directrices que se tengan en cuenta para los perímetros de seguridad física:
- Establecer barreras de seguridad y señalar la ubicación exacta y la fuerza de cada una de ellas de acuerdo con las normas de seguridad de la información relativas a los recursos dentro del límite.
- Garantizar la seguridad física de un edificio o sitio que alberga sistemas de procesamiento de información es vital, sin espacios ni puntos débiles en el perímetro donde se pueda facilitar un robo.
- Las superficies exteriores del sitio, incluidos techos, paredes, techos y pisos, deben ser de construcción resistente y todas las puertas externas deben estar equipadas con mecanismos de control como barras, alarmas y cerraduras para evitar la entrada no autorizada.
- Asegúrese de que las ventanas y puertas estén cerradas con llave cuando no estén ocupadas y considere la seguridad externa para las ventanas, especialmente en la planta baja; También hay que tener en cuenta la ventilación.
Para obtener más información sobre lo que se espera del cumplimiento de la norma ISO 27001:2022, consulte la documentación asociada.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Cambios y diferencias con respecto a ISO 27001:2013
ISO 27001:2022 Anexo A 7.1 reemplaza a ISO 27001:2013 Anexo A 11.1.1; el contexto y el significado siguen siendo en gran medida similares, aunque expresados de manera diferente.
La versión 2022 experimentó una reducción en los requisitos de implementación en comparación con el control anterior.
El Anexo A 7.1 carece de los requisitos detallados en el Anexo A 11.1.1, los cuales son los siguientes:
- Debería haber una zona de recepción con personal u otra forma de gestionar entrada fisica al sitio o edificio.
- Sólo se debe permitir la entrada a los sitios y edificios al personal autorizado.
- Construir barreras físicas, cuando corresponda, para impedir el acceso físico no autorizado y evitar la contaminación ambiental.
- Es necesario instalar sistemas de detección de intrusos que cumplan con los estándares nacionales, regionales o internacionales y probarlos periódicamente para asegurar todas las puertas externas y ventanas accesibles.
- Todas las áreas desocupadas deben estar equipadas con un sistema de alarma en todo momento.
- Deberíamos garantizar la cobertura de otras áreas, como las salas de informática y comunicaciones.
- La organización debe mantener sus instalaciones de procesamiento de información físicamente separadas de aquellas administradas por fuentes externas.
Ninguna omisión reduce la eficacia de la nueva norma ISO 27001:2022; en cambio, se eliminaron para que el control fuera más fácil de usar y comprender.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control:
Controles organizacionales ISO 27001:2022
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 | Anexo A 5.1.1 Anexo A 5.1.2 | Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 | Anexo A 6.1.5 Anexo A 14.1.1 | Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 | Anexo A 8.1.1 Anexo A 8.1.2 | Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 | Anexo A 8.1.3 Anexo A 8.2.3 | Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 | Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 | Transferencia de información |
| Controles organizacionales | Anexo A 5.15 | Anexo A 9.1.1 Anexo A 9.1.2 | Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 | Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 | Información de autenticación |
| Controles organizacionales | Anexo A 5.18 | Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 | Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 | Anexo A 15.2.1 Anexo A 15.2.2 | Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 | Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 | Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 | Anexo A 18.1.1 Anexo A 18.1.5 | Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 | Anexo A 18.2.2 Anexo A 18.2.3 | Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
ISO 27001:2022 Controles de personas
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 | Anexo A 16.1.2 Anexo A 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos ISO 27001:2022
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 | Anexo A 11.1.2 Anexo A 11.1.6 | Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 | Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 | Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos ISO 27001:2022
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 | Anexo A 6.2.1 Anexo A 11.2.8 | Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 | Anexo A 12.6.1 Anexo A 18.2.3 | Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 | Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 | Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados |
| Controles Tecnológicos | Anexo A 8.19 | Anexo A 12.5.1 Anexo A 12.6.2 | Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 | Anexo A 10.1.1 Anexo A 10.1.2 | Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 | Anexo A 14.1.2 Anexo A 14.1.3 | Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Principios de ingeniería y arquitectura de sistemas seguros |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 | Anexo A 14.2.8 Anexo A 14.2.9 | Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 | Anexo A 12.1.4 Anexo A 14.2.6 | Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 | Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 | Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
¿Quién está a cargo de este proceso?
Los Jefe de Información (CIO) es el líder responsable de salvaguardar los datos y sistemas de la empresa. Trabajan con otros ejecutivos para considerar la seguridad al tomar decisiones comerciales, como el director financiero y el director ejecutivo. Implementar políticas y procedimientos para proteger la información de la empresa es una parte clave del papel del CIO.
El Director Financiero tiene la función de decidir sobre los perímetros de seguridad física. En colaboración con otros ejecutivos de la alta dirección, incluido el CIO, deciden cuánto invertir en medidas de seguridad física, como cámaras de vigilancia, controles de acceso y alarmas.
Casos prácticos
MIRACL convierte la confianza en ventaja competitiva con la certificación ISO 27001
Leer caso de estudio
Casos prácticos
La herramienta Proteus de Xergy genera crecimiento mediante el cumplimiento de la norma ISO 27001 utilizando ISMS.online
Leer caso de estudio¿Qué significan estos cambios para usted?
ISO 27001:2022 no es una revisión importante, por lo que no son necesarias modificaciones significativas para su cumplimiento.
Vale la pena examinar su implementación actual para garantizar que esté en línea con los nuevos requisitos. En particular, si se realizaron cambios desde la versión de 2013. Vale la pena reevaluar esos cambios para determinar si siguen siendo válidos o si es necesario modificarlos.
Cómo ayuda ISMS.Online
ISMS.online puede ayudar a demostrar el cumplimiento de la norma ISO 27001 proporcionando un sistema en línea que permite el almacenamiento de documentos en una ubicación única y accesible. También facilita el desarrollo de listas de verificación para cada documento, facilitando así la revisión y modificación de los documentos.
¿Quieres experimentar cómo funciona?
Contáctenos hoy para reservar una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
