El control 5.1 de la norma ISO 27002:2022 cubre la necesidad de que las organizaciones cuenten con un documento de política de seguridad de la información para protegerse contra problemas de seguridad de la información.
Una política de seguridad de la información proporciona a los empleados, la gerencia y partes externas (por ejemplo, clientes y proveedores) un marco para la gestión de la información electrónica, incluidas las redes informáticas.
El propósito de una política de seguridad de la información es reducir el riesgo de pérdida o robo de datos debido a amenazas internas y externas. Una política de seguridad de la información también garantiza que todos los empleados sean conscientes de sus responsabilidades para proteger los datos que conservan sus organizaciones.
Una política de seguridad de la información también se puede utilizar para demostrar el cumplimiento de las leyes y regulaciones, y ayuda a cumplir estándares como ISO 27001.
Las amenazas a la seguridad cibernética son cualquier posible ataque malicioso que busque acceder ilegalmente a datos, interrumpir operaciones digitales o dañar información. Las amenazas cibernéticas pueden provenir de diversos actores, incluidos espías corporativos y hacktivistas, grupos terroristas, Estados-nación hostiles y organizaciones criminales.
Algunas de las amenazas a la seguridad cibernética y de la información más populares son:
El propósito de la política de seguridad de la información es garantizar el apoyo de la gestión para la protección de la información sensible de su empresa contra robos y accesos no autorizados.
El Control 5.1 cubre el control, el propósito y la guía de implementación para establecer una política de seguridad de la información en una organización de acuerdo con el marco definido por la norma ISO 27001.
El Control 5.1 establece que las organizaciones deben tener políticas de alto y bajo nivel sobre cómo administran la seguridad de su información. La alta dirección de la organización debe aprobar las políticas, que deben revisarse periódicamente y también si se producen cambios en el entorno de seguridad de la información.
El mejor enfoque es reunirse periódicamente al menos una vez al mes y programar reuniones adicionales según sea necesario. Si se realizan cambios en las políticas, la gerencia debe aprobarlos antes de implementarlas. Las políticas también deben compartirse con las partes interesadas internas y externas.
Los atributos son un medio para categorizar los controles. Estos le permiten alinear rápidamente su selección de controles con el lenguaje y los estándares comunes de la industria. En control 5.1 estos son.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Gobernancia | #Gobernanza y Ecosistema #Resiliencia |
La política de seguridad de la información debe proporcionar la base y estar respaldada por procedimientos operativos detallados que describan cómo se gestionará la seguridad de la información en la práctica.
La política debe ser aprobada por la alta dirección, quien debe garantizar que se comunique al personal y se ponga a disposición de las partes interesadas.
La política brinda orientación sobre el enfoque de la organización para gestionar la seguridad de la información y puede usarse como marco para desarrollar procedimientos operativos más detallados.
La política es un elemento esencial para establecer y mantener un sistema de gestión de seguridad de la información (SGSI), según lo exige la familia de normas ISO/IEC 27000, pero incluso si la organización no tiene intención de implementar una certificación formal según ISO 27001 o cualquier otra norma , una política bien definida sigue siendo importante.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
En ISO 27002:2022, el control 5.1 Políticas de Seguridad de la Información no es un control nuevo, sino que es el resultado de la fusión de controles 5.1.1 Políticas de Seguridad de la Información y 5.1.2 Revisión de Políticas de Seguridad de la Información de ISO 27002 revisión 2013.
En ISO 27002:2022, el control 5.1 se actualizó para incluir una descripción de su propósito y una guía de implementación ampliada. También viene con una tabla de atributos que permite a los usuarios conciliar controles con terminologías de la industria.
En ISO 27002:2022, el control 5.1 establece que las políticas de seguridad de la información y de temas específicos deben ser definidas, aprobadas por la dirección, publicadas, comunicadas y reconocidas por el personal relevante y las partes interesadas relevantes.
La política de seguridad de la información de una organización debe reflejar el tamaño, el tipo y la sensibilidad de los activos de información de la organización. También debe ser coherente con los estándares de la industria y las regulaciones gubernamentales aplicables.
Si bien la esencia del control en sí es similar a la norma 5.1.1 de ISO 27002:2013, la versión 2022 establece específicamente que estas políticas de seguridad de la información deben revisarse periódicamente y también si se producen cambios en el entorno de seguridad de la información. Esta cláusula está cubierta en la cláusula 5.1.2 de la norma ISO 27002:2013.
ISO 27002:2013 e ISO 27002:2022 establecen que el nivel más alto de la organización debe definir una política de seguridad que la alta dirección apruebe y que establezca cómo supervisarán la protección de su información. Sin embargo, los requisitos cubiertos por las políticas para ambas versiones son diferentes.
En ISO 27002:2013, las políticas de seguridad de la información deben abordar los requisitos creados por:
La política de seguridad de la información debe contener declaraciones relativas a:
Pero los requisitos de la norma ISO 27002:2022 son un poco más completos.
La política de seguridad de la información debe tomar en consideración requisitos derivados de:
La política de seguridad de la información debe contener declaraciones relativas a:
Al mismo tiempo, se modificaron las políticas temáticas específicas en ISO 27002:2022 para incluir; gestión de incidentes de seguridad de la información, gestión de activos, seguridad de redes, gestión de incidentes de seguridad de la información y desarrollo seguro. Algunos de los de la norma ISO 27002:2013 fueron eliminados o fusionados para formar un marco más holístico.
En ISMS.online, nuestro sistema en la nube, fácil de usar pero potente, le proporcionará un conjunto completo de herramientas y recursos para ayudarle a administrar su propio Sistema de gestión de seguridad de la información (SGSI) ISO 27001/27002, ya sea que sea nuevo según ISO 27001/27002 o ya certificado.
Nuestro intuitivo flujo de trabajo paso a paso, herramientas, marcos, políticas y controles, documentación procesable y orientación lo guiarán a través del proceso de implementación de ISO 27002, simplificando la definición del alcance del SGSI, la identificación de riesgos y la implementación de controles utilizando nuestros algoritmos, ya sea desde cero o a partir de plantillas de mejores prácticas.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
