ISO 27001:2022 Anexo A Control 8.6

Gestión de capacidad

Reserve una demostración

moderna,arquitectura,banco,financiero,oficina,torre,edificio

Propósito de ISO 27001:2022 Anexo A 8.6

La gestión de la capacidad en TIC es más que simplemente asegurarse de que las organizaciones tengan suficiente espacio para el acceso a los datos y la copia de seguridad y recuperación ante desastres (BUDR). Requiere garantizar que haya potencia informática y recursos adecuados para satisfacer las demandas de los usuarios. También implica diseñar y gestionar redes, centros de datos y otras infraestructuras de TIC para satisfacer las necesidades de la organización.

Las organizaciones deben garantizar que pueden operar de manera efectiva con un conjunto de recursos que aborden una variedad de necesidades comerciales, incluidas Recursos Humanos, manejo de datos, administración de oficinas físicas y amenidades relacionadas.

Estas funciones pueden dañar el control de una organización sobre su información.

ISO 27001:2022 Anexo A 8.6 es una combinación de preventivo y controles de detección a mantener el riesgo niveles. Este control garantiza que la organización tenga capacidad suficiente para procesar la información.

Propiedad del Anexo A 8.6

El Anexo A 27001 de ISO 2022:8.6 aborda la capacidad de una organización para seguir siendo un negocio viable a largo plazo.

La propiedad debe recaer en el Director de Operaciones o equivalente, asumiendo la responsabilidad de mantener la integridad y eficacia de las operaciones comerciales diariamente.

Saltar al tema

Orientación general sobre ISO 27001:2022 Anexo A 8.6

ISO 27001:2022 Anexo A Control 8.6 proporciona 7 consejos generales:

  1. Las organizaciones deben considerar la continuidad del negocio como una preocupación principal al implementar controles de gestión de capacidad, como la implementación completa de controles de detección que identifiquen posibles problemas antes de que surjan.

  2. La gestión de la capacidad debe basarse en funciones proactivas de ajuste y monitoreo, trabajando juntas para garantizar que los sistemas y las operaciones comerciales no se vean afectados.

  3. Las organizaciones deben ejecutar regularmente pruebas de estrés para determinar su capacidad para satisfacer sus necesidades comerciales generales. Estas pruebas deben realizarse a medida para cada caso y guardar relación con el área de operación a la que están destinadas.

  4. La gestión de la capacidad no debería simplemente considerar los datos existentes y las necesidades operativas de una organización; también deben planificar el crecimiento comercial y técnico potencial (tanto físico como digital) para que esté lo más preparado posible para el futuro.

  5. Las organizaciones deben tener en cuenta los diferentes tiempos de entrega y costos al ampliar los recursos. Los recursos que son costosos y difíciles de aumentar deben someterse a una evaluación más exhaustiva para garantizar que las operaciones comerciales continúen.

  6. La Alta Dirección debe ser consciente de cualquier riesgo de dependencia de personal clave o recursos individuales, ya que cualquier problema que surja de esto puede generar problemas complejos.

  7. Construir una estrategia de planificación de capacidad que aborde específicamente los sistemas y procesos comerciales clave.

Orientación sobre la gestión de la demanda

El Anexo A 27001 de ISO 2022:8.6 fomenta una estrategia doble para la gestión de la capacidad: aumentar la capacidad o reducir la demanda de un conjunto determinado de recursos.

Al intentar aumentar la capacidad, las organizaciones deberían:

  • Piense en contratar personal nuevo para realizar una tarea laboral.

  • Obtener nuevas instalaciones o espacio de oficina mediante compra, arrendamiento o alquiler.

  • Obtenga procesamiento, almacenamiento de datos y RAM adicionales (en el sitio o en la nube), ya sea mediante compra, arrendamiento o alquiler.

  • Piense en utilizar recursos de la nube 'elásticos' y 'escalables' que se expandan de acuerdo con las necesidades computacionales de la organización, sin apenas participación.

Las organizaciones deben esforzarse por reducir la demanda mediante:

  • Elimine información desactualizada para liberar capacidad de almacenamiento en servidores y medios asociados.

  • Deseche de forma segura cualquier copia impresa de la información que la organización no necesite y que no esté obligada a conservar mediante legislación o regulación.

  • Retire todos los recursos, aplicaciones o configuraciones virtuales de TIC que ya no sean necesarios.

  • Examine las actividades de TIC planificadas (incluidas cuentas, mantenimiento automático y actividades por lotes) para maximizar las capacidades de la memoria y disminuir el área ocupada por los datos creados.

  • Maximice el código de la aplicación y las consultas a la base de datos que ocurren con suficiente frecuencia como para afectar la capacidad operativa de la empresa.

  • Limitar la cantidad de ancho de banda asignado a actividades no esenciales en la red de la empresa. Esto puede incluir restringir el acceso a Internet y bloquear la transmisión de video/audio desde dispositivos de trabajo.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 8.6 reemplaza a ISO 27001:2013 Anexo A 12.1.3 (Gestión de Capacidad).

ISO 27001:2022 Anexo A 8.6 proporciona un conjunto completo de instrucciones a las organizaciones sobre cómo pueden ampliar su capacidad o disminuir su demanda.

A diferencia del Anexo A 27001 de ISO 2013:12.1.3, no hay ninguna dirección particular sobre cómo aumentar la capacidad. Sin embargo, el Anexo A 27001 de la norma ISO 2022:8.6 proporciona pasos precisos para crear más margen operativo de maniobra.

ISO 27001:2013 Anexo A 12.1.3 no proporciona ninguna instrucción sobre cómo evaluar la capacidad operativa o auditar la capacidad de una organización para manejar la capacidad a largo plazo, aparte de recomendar tener un plan de gestión de la capacidad.

En línea con el espectacular aumento de la computación en la nube en los últimos diez años, el Anexo A 27001 de la norma ISO 2022:8.6 establece claramente que las organizaciones deben utilizar recursos basados ​​en la nube que se ajusten a sus necesidades comerciales.

ISO 27001:2013 Anexo A 12.1.3 no se refiere a instalaciones informáticas o de almacenamiento fuera del sitio.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control.

Controles organizacionales ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles organizacionalesAnexo A 5.1Anexo A 5.1.1
Anexo A 5.1.2		Políticas de Seguridad de la Información
Controles organizacionalesAnexo A 5.2Anexo A 6.1.1Funciones y responsabilidades de seguridad de la información
Controles organizacionalesAnexo A 5.3Anexo A 6.1.2Segregación de deberes
Controles organizacionalesAnexo A 5.4Anexo A 7.2.1Responsabilidades de gestión
Controles organizacionalesAnexo A 5.5Anexo A 6.1.3Contacto con autoridades
Controles organizacionalesAnexo A 5.6Anexo A 6.1.4Contacto con grupos de interés especial
Controles organizacionalesAnexo A 5.7NUEVOInteligencia de amenaza
Controles organizacionalesAnexo A 5.8Anexo A 6.1.5
Anexo A 14.1.1		Seguridad de la información en la gestión de proyectos
Controles organizacionalesAnexo A 5.9Anexo A 8.1.1
Anexo A 8.1.2		Inventario de Información y Otros Activos Asociados
Controles organizacionalesAnexo A 5.10Anexo A 8.1.3
Anexo A 8.2.3		Uso aceptable de la información y otros activos asociados
Controles organizacionalesAnexo A 5.11Anexo A 8.1.4Devolución de Activos
Controles organizacionalesAnexo A 5.12Anexo A 8.2.1Clasificación de la información
Controles organizacionalesAnexo A 5.13Anexo A 8.2.2Etiquetado de información
Controles organizacionalesAnexo A 5.14Anexo A 13.2.1
Anexo A 13.2.2
Anexo A 13.2.3		Transferencia de información
Controles organizacionalesAnexo A 5.15Anexo A 9.1.1
Anexo A 9.1.2		Control de Acceso
Controles organizacionalesAnexo A 5.16Anexo A 9.2.1Gestión de identidad
Controles organizacionalesAnexo A 5.17Anexo A 9.2.4
Anexo A 9.3.1
Anexo A 9.4.3		Información de autenticación
Controles organizacionalesAnexo A 5.18Anexo A 9.2.2
Anexo A 9.2.5
Anexo A 9.2.6		Derechos de acceso
Controles organizacionalesAnexo A 5.19Anexo A 15.1.1Seguridad de la Información en las Relaciones con Proveedores
Controles organizacionalesAnexo A 5.20Anexo A 15.1.2Abordar la seguridad de la información en los acuerdos con proveedores
Controles organizacionalesAnexo A 5.21Anexo A 15.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
Controles organizacionalesAnexo A 5.22Anexo A 15.2.1
Anexo A 15.2.2		Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores
Controles organizacionalesAnexo A 5.23NUEVOSeguridad de la información para el uso de servicios en la nube
Controles organizacionalesAnexo A 5.24Anexo A 16.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.25Anexo A 16.1.4Evaluación y Decisión sobre Eventos de Seguridad de la Información
Controles organizacionalesAnexo A 5.26Anexo A 16.1.5Respuesta a Incidentes de Seguridad de la Información
Controles organizacionalesAnexo A 5.27Anexo A 16.1.6Aprender de los incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.28Anexo A 16.1.7Recolección de evidencia
Controles organizacionalesAnexo A 5.29Anexo A 17.1.1
Anexo A 17.1.2
Anexo A 17.1.3		Seguridad de la información durante la disrupción
Controles organizacionalesAnexo A 5.30NUEVOPreparación de las TIC para la continuidad del negocio
Controles organizacionalesAnexo A 5.31Anexo A 18.1.1
Anexo A 18.1.5		Requisitos legales, estatutarios, reglamentarios y contractuales
Controles organizacionalesAnexo A 5.32Anexo A 18.1.2DERECHOS DE PROPIEDAD INTELECTUAL
Controles organizacionalesAnexo A 5.33Anexo A 18.1.3Protección de registros
Controles organizacionalesAnexo A 5.34 Anexo A 18.1.4Privacidad y protección de la PII
Controles organizacionalesAnexo A 5.35Anexo A 18.2.1Revisión independiente de la seguridad de la información
Controles organizacionalesAnexo A 5.36Anexo A 18.2.2
Anexo A 18.2.3		Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información
Controles organizacionalesAnexo A 5.37Anexo A 12.1.1Procedimientos operativos documentados

ISO 27001:2022 Controles de personas

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles de personasAnexo A 6.1Anexo A 7.1.1examen en línea.
Controles de personasAnexo A 6.2Anexo A 7.1.2Términos y condiciones de empleo
Controles de personasAnexo A 6.3Anexo A 7.2.2Concientización, educación y capacitación sobre seguridad de la información
Controles de personasAnexo A 6.4Anexo A 7.2.3Proceso Disciplinario
Controles de personasAnexo A 6.5Anexo A 7.3.1Responsabilidades después de la terminación o cambio de empleo
Controles de personasAnexo A 6.6Anexo A 13.2.4Acuerdos de confidencialidad o no divulgación
Controles de personasAnexo A 6.7Anexo A 6.2.2Trabajo remoto
Controles de personasAnexo A 6.8Anexo A 16.1.2
Anexo A 16.1.3		Informes de eventos de seguridad de la información

Controles físicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles físicosAnexo A 7.1Anexo A 11.1.1Perímetros de seguridad física
Controles físicosAnexo A 7.2Anexo A 11.1.2
Anexo A 11.1.6		Entrada Física
Controles físicosAnexo A 7.3Anexo A 11.1.3Seguridad de oficinas, habitaciones e instalaciones
Controles físicosAnexo A 7.4NUEVOMonitoreo de seguridad física
Controles físicosAnexo A 7.5Anexo A 11.1.4Protección contra amenazas físicas y ambientales
Controles físicosAnexo A 7.6Anexo A 11.1.5Trabajar en áreas seguras
Controles físicosAnexo A 7.7Anexo A 11.2.9Limpiar escritorio y limpiar pantalla
Controles físicosAnexo A 7.8Anexo A 11.2.1Ubicación y protección de equipos
Controles físicosAnexo A 7.9Anexo A 11.2.6Seguridad de los activos fuera de las instalaciones
Controles físicosAnexo A 7.10Anexo A 8.3.1
Anexo A 8.3.2
Anexo A 8.3.3
 Anexo A 11.2.5		Medios de almacenamiento
Controles físicosAnexo A 7.11Anexo A 11.2.2Servicios públicos de apoyo
Controles físicosAnexo A 7.12Anexo A 11.2.3Seguridad del cableado
Controles físicosAnexo A 7.13Anexo A 11.2.4Mantenimiento De Equipo
Controles físicosAnexo A 7.14Anexo A 11.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles TecnológicosAnexo A 8.1Anexo A 6.2.1
Anexo A 11.2.8		Dispositivos terminales de usuario
Controles TecnológicosAnexo A 8.2Anexo A 9.2.3Derechos de acceso privilegiados
Controles TecnológicosAnexo A 8.3Anexo A 9.4.1Restricción de acceso a la información
Controles TecnológicosAnexo A 8.4Anexo A 9.4.5Acceso al código fuente
Controles TecnológicosAnexo A 8.5Anexo A 9.4.2Autenticación Segura
Controles TecnológicosAnexo A 8.6Anexo A 12.1.3Gestión de capacidad
Controles TecnológicosAnexo A 8.7Anexo A 12.2.1Protección contra malware
Controles TecnológicosAnexo A 8.8Anexo A 12.6.1
Anexo A 18.2.3		Gestión de Vulnerabilidades Técnicas
Controles TecnológicosAnexo A 8.9NUEVOConfiguration Management
Controles TecnológicosAnexo A 8.10NUEVOEliminación de información
Controles TecnológicosAnexo A 8.11NUEVOEnmascaramiento de datos
Controles TecnológicosAnexo A 8.12NUEVOPrevención de fuga de datos
Controles TecnológicosAnexo A 8.13Anexo A 12.3.1Copia de seguridad de la información
Controles TecnológicosAnexo A 8.14Anexo A 17.2.1Redundancia de instalaciones de procesamiento de información
Controles TecnológicosAnexo A 8.15Anexo A 12.4.1
Anexo A 12.4.2
Anexo A 12.4.3		Inicio de sesión
Controles TecnológicosAnexo A 8.16NUEVOActividades de seguimiento
Controles TecnológicosAnexo A 8.17Anexo A 12.4.4Sincronización de reloj
Controles TecnológicosAnexo A 8.18Anexo A 9.4.4Uso de programas de utilidad privilegiados
Controles TecnológicosAnexo A 8.19Anexo A 12.5.1
Anexo A 12.6.2		Instalación de Software en Sistemas Operativos
Controles TecnológicosAnexo A 8.20Anexo A 13.1.1Seguridad de Redes
Controles TecnológicosAnexo A 8.21Anexo A 13.1.2Seguridad de los servicios de red
Controles TecnológicosAnexo A 8.22Anexo A 13.1.3Segregación de Redes
Controles TecnológicosAnexo A 8.23NUEVOFiltrado Web
Controles TecnológicosAnexo A 8.24Anexo A 10.1.1
Anexo A 10.1.2		Uso de criptografía
Controles TecnológicosAnexo A 8.25Anexo A 14.2.1Ciclo de vida de desarrollo seguro
Controles TecnológicosAnexo A 8.26Anexo A 14.1.2
Anexo A 14.1.3		Requisitos de seguridad de la aplicación
Controles TecnológicosAnexo A 8.27Anexo A 14.2.5Principios de ingeniería y arquitectura de sistemas seguros
Controles TecnológicosAnexo A 8.28NUEVOCodificación segura
Controles TecnológicosAnexo A 8.29Anexo A 14.2.8
Anexo A 14.2.9		Pruebas de seguridad en desarrollo y aceptación
Controles TecnológicosAnexo A 8.30Anexo A 14.2.7Desarrollo subcontratado
Controles TecnológicosAnexo A 8.31Anexo A 12.1.4
Anexo A 14.2.6		Separación de entornos de desarrollo, prueba y producción.
Controles TecnológicosAnexo A 8.32Anexo A 12.1.2
Anexo A 14.2.2
Anexo A 14.2.3
Anexo A 14.2.4		Gestión del cambio
Controles TecnológicosAnexo A 8.33Anexo A 14.3.1Información de prueba
Controles TecnológicosAnexo A 8.34Anexo A 12.7.1Protección de los sistemas de información durante las pruebas de auditoría

Cómo ayuda ISMS.online

Nuestra lista de verificación ayuda a simplificar la implementación de ISO 27001:2022, guiándole durante todo el proceso. Nuestro Solución integral garantiza su cumplimiento con ISO/IEC 27001:2022.

Una vez que inicies sesión, lograrás hasta un 81% de progreso.

Se proporciona una solución integral y sencilla para el cumplimiento total.

Contáctenos ahora para programar una demostración.

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más