Ir al contenido
SGSI.online

ISO 27002:2022 – Control 5.10 – Uso Aceptable de la Información y Otros Activos Asociados

El Control 5.10 establece que las reglas para el uso aceptable y los procedimientos para el manejo de la información y otros activos asociados deben identificarse, documentarse e implementarse. El objetivo de dichas políticas es establecer pautas claras sobre cómo deben comportarse los usuarios cuando trabajan con activos de información, para garantizar la confidencialidad, integridad y disponibilidad de los activos de seguridad de la información de la organización.

Autor
Sam Peters
Actualizado julio 25, 2025
Estrellas 4 / 5

¿Qué es el Control 5.10, Uso Aceptable de la Información y Otros Activos Asociados?

La Política de uso aceptable de activos de información (AUA) se aplica a todos los miembros de una organización y a los activos que la organización posee o opera. La AUA se aplica a todos los usos de los Activos de información para cualquier fin, incluido el comercial.

Los siguientes son ejemplos de activos de información:

  • Ferretería: ordenadores, dispositivos móviles, teléfonos y máquinas de fax.
  • Software: sistemas operativos, aplicaciones (incluidas aplicaciones basadas en web), utilidades, firmware y lenguajes de programación.
  • Fecha: datos estructurados en bases de datos relacionales, archivos planos y datos NoSQL; datos no estructurados como documentos de texto, hojas de cálculo, imágenes, archivos de vídeo y audio; registros en cualquier formato.
  • Redes: redes cableadas e inalámbricas; sistemas de telecomunicaciones; Servicios de voz sobre IP.
  • Servicios: servicios en la nube, cuentas de correo electrónico y otros servicios alojados.

El uso aceptable de la información y otros activos asociados significa utilizar los activos de información de manera que no pongan en riesgo la disponibilidad, confiabilidad o integridad de los datos, servicios o recursos. También significa usarlos de manera que no violen las leyes o las políticas de la organización.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Comenzar


Atributos de Control 5.10

El nuevo edificio corporativo de Norma ISO 27002: 2022 viene con tablas de atributos que no se encuentran en la versión 2013. Los atributos son una forma de clasificar los controles.

También le permiten hacer coincidir su selección de controles con términos y especificaciones de uso común en la industria. Los siguientes controles están disponibles en el control 5:10.

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridad Capacidades operativas Dominios de seguridad
#Preventivo #Confidencialidad #Proteger #Gestión de activos #Gobernanza y Ecosistema
#Integridad #Protección de la información #Proteccion
#Disponibilidad

¿Cuál es el propósito del Control 5.10?

El objetivo general de este El control es asegurar que la información y otros activos asociados están adecuadamente protegidos, utilizados y manipulados.

El Control 5.10 fue diseñado para garantizar que existan políticas, procedimientos y controles técnicos para evitar que los usuarios accedan, utilicen o divulguen activos de información de manera inapropiada.

Este control tiene como objetivo proporcionar un marco para que las organizaciones garanticen que información y otros activos están adecuadamente protegidos, utilizados y manipulados. Esto incluye garantizar que las políticas y procedimientos existan en todos los niveles dentro de la organización, así como garantizar que esas políticas y procedimientos se apliquen de manera consistente.

Implementar el control 5.10 como parte de su SGSI significa que ha implementado los diversos requisitos relacionados con cómo su empresa protege los activos de TI, incluidos:

  • La protección de la información en almacenamiento, procesamiento y tránsito.
  • La protección y uso adecuado de los equipos informáticos.
  • El uso de servicios de autenticación adecuados para controlar el acceso a los sistemas de información.
  • El procesamiento de información dentro de una organización únicamente por parte de usuarios con la autorización adecuada.
  • La asignación de información relacionada Responsabilidades para individuos o roles específicos..
  • La educación y capacitación de los usuarios sobre sus responsabilidades de seguridad.


subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Qué implica y cómo cumplir los requisitos

Para cumplir con los requisitos de control 5.10 en ISO 27002:2022, es importante que los empleados y partes externas que utilizan o tienen acceso a la información de la organización y otros activos asociados sean conscientes de los requisitos de seguridad de la información de la organización.

Estas personas deben ser responsables de cualquier instalación de procesamiento de información que utilicen.

Todos los involucrados en el uso o manejo de la información y otros activos asociados deben conocer la política de la organización sobre el uso aceptable de la información y otros activos relacionados.

Todos los involucrados en el uso o manejo de información y otros activos asociados Se debe informar sobre la política de la organización sobre el uso permitido de la información y otros activos asociados. Como parte de una política de uso aceptable específica de un tema, el personal debe saber exactamente qué se espera que haga con la información y otros activos.

En particular, la política sobre temas específicos debería establecer que:

a) comportamientos esperados e inaceptables de las personas desde una perspectiva de seguridad de la información;

b) uso permitido y prohibido de información y otros activos asociados;

c) Seguimiento de las actividades realizadas por la organización.

Se deberán elaborar procedimientos de uso aceptable para todo el ciclo de vida de la información de acuerdo con su clasificación y riesgos determinados. Se deben considerar los siguientes elementos:

a) restricciones de acceso que respaldan los requisitos de protección para cada nivel de clasificación;

b) mantenimiento de un registro de los usuarios autorizados de información y otros activos asociados;

c) protección de copias temporales o permanentes de información a un nivel consistente con la
protección de la información original;

d) almacenamiento de activos asociados con información de acuerdo con las especificaciones de los fabricantes;

e) marcado claro de todas las copias de los medios de almacenamiento (electrónicos o físicos) para la atención del
recipiente autorizado;

f) autorización de disposición de información y otros activos asociados y método(s) de eliminación admitidos.

Diferencias entre ISO 27002:2013 e ISO 27002:2022

La nueva revisión 2022 de ISO 27002 se publicó el 15 de febrero de 2022 y es una actualización de ISO 27002:2013.

El control 5.10 en ISO 27002:2022 no es un control nuevo, sino que es una combinación de los controles 8.1.3 – uso aceptable de activos y 8.2.3 – manejo de activos en ISO 27002:2013.

Si bien la esencia y las pautas de implementación del control 5.10 son relativamente las mismas que las de los controles 8.1.3 y 8.2.3, el control 5.10 fusionó tanto el uso aceptable de los activos como el manejo de los activos en un solo control para permitir una mejor facilidad de uso.

Sin embargo, el control 5.10 también añadió un punto extra al control 8.2.3. Esto cubre la autorización de eliminación de información y otros activos asociados y los métodos de eliminación admitidos.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Quién está a cargo de este proceso?

El Uso Aceptable de la Información y otros Activos Asociados es una política que establece reglas para asegurar el uso adecuado de la información de la empresa y otros activos asociados, incluyendo computadoras, redes y sistemas, correo electrónico, archivos y medios de almacenamiento. Esta política es vinculante para todos los empleados y contratistas.

El propósito de esta política es:

  • Asegúrese de que la información de la empresa y otros activos asociados se utilicen únicamente para fines comerciales legítimos.
  • Asegúrese de que los empleados cumplan con todas las leyes y regulaciones relacionadas con la seguridad de la información.
  • Proteger la información de la empresa y otros activos asociados de amenazas provenientes del interior o exterior de la empresa.

El Oficial de Seguridad de la Información (ISO) es responsable de desarrollar, implementar y mantener los activos de Uso Aceptable de la Información.

La ISO será responsable de gestionar el uso de los recursos de información en toda la organización para garantizar que la información se utilice de una manera que proteja la seguridad y la integridad de los datos, preserve la confidencialidad de la información confidencial o de propiedad exclusiva, proteja contra el abuso y el acceso no autorizado a la informática. recursos y elimina la exposición o responsabilidad innecesaria para la organización.

¿Qué significan estos cambios para usted?

La nueva norma ISO 27002:2022 no supone una mejora sustancial. Como resultado, es posible que no necesite realizar ningún cambio significativo con respecto al cumplimiento de la versión más reciente de ISO 27002.

Sin embargo, consulte nuestra guía sobre ISO 27002:2022, donde podrá descubrir más sobre cómo estos cambios en el control 5.10 afectarán su negocio.

Nuevos controles ISO 27002

Nuevos controles
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.7 NUEVO Inteligencia de amenazas
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.30 NUEVO Preparación de las TIC para la continuidad del negocio
7.4 NUEVO Monitoreo de seguridad física
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.16 NUEVO Actividades de monitoreo
8.23 NUEVO Filtrado Web
8.28 NUEVO Codificación segura
Controles organizacionales
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.1 05.1.1, 05.1.2 Políticas de seguridad de la información.
5.2 06.1.1 Funciones y responsabilidades de seguridad de la información
5.3 06.1.2 Segregación de deberes
5.4 07.2.1 Responsabilidades de gestión
5.5 06.1.3 Contacto con autoridades
5.6 06.1.4 Contacto con grupos de intereses especiales
5.7 NUEVO Inteligencia de amenazas
5.8 06.1.5, 14.1.1 Seguridad de la información en la gestión de proyectos.
5.9 08.1.1, 08.1.2 Inventario de información y otros activos asociados
5.10 08.1.3, 08.2.3 Uso aceptable de la información y otros activos asociados
5.11 08.1.4 Devolución de activos
5.12 08.2.1 Clasificación de la información
5.13 08.2.2 Etiquetado de información
5.14 13.2.1, 13.2.2, 13.2.3 Transferencia de información
5.15 09.1.1, 09.1.2 Control de acceso
5.16 09.2.1 Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3 Información de autenticación
5.18 09.2.2, 09.2.5, 09.2.6 Derechos de acceso
5.19 15.1.1 Seguridad de la información en las relaciones con proveedores
5.20 15.1.2 Abordar la seguridad de la información en los acuerdos con proveedores
5.21 15.1.3 Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22 15.2.1, 15.2.2 Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.24 16.1.1 Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25 16.1.4 Evaluación y decisión sobre eventos de seguridad de la información.
5.26 16.1.5 Respuesta a incidentes de seguridad de la información
5.27 16.1.6 Aprender de los incidentes de seguridad de la información
5.28 16.1.7 Recolección de evidencia
5.29 17.1.1, 17.1.2, 17.1.3 Seguridad de la información durante la interrupción
5.30 5.30 Preparación de las TIC para la continuidad del negocio
5.31 18.1.1, 18.1.5 Requisitos legales, estatutarios, reglamentarios y contractuales
5.32 18.1.2 Derechos de propiedad intelectual
5.33 18.1.3 Protección de registros
5.34 18.1.4 Privacidad y protección de la PII
5.35 18.2.1 Revisión independiente de la seguridad de la información.
5.36 18.2.2, 18.2.3 Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37 12.1.1 Procedimientos operativos documentados
Controles de personas
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
6.1 07.1.1 examen en línea.
6.2 07.1.2 Términos y condiciones de empleo
6.3 07.2.2 Concientización, educación y capacitación sobre seguridad de la información.
6.4 07.2.3 Proceso Disciplinario
6.5 07.3.1 Responsabilidades tras el despido o cambio de empleo
6.6 13.2.4 Acuerdos de confidencialidad o no divulgación
6.7 06.2.2 Trabajo remoto
6.8 16.1.2, 16.1.3 Informes de eventos de seguridad de la información
Controles físicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
7.1 11.1.1 Perímetros de seguridad física
7.2 11.1.2, 11.1.6 Entrada física
7.3 11.1.3 Seguridad de oficinas, habitaciones e instalaciones.
7.4 NUEVO Monitoreo de seguridad física
7.5 11.1.4 Protección contra amenazas físicas y ambientales.
7.6 11.1.5 Trabajar en áreas seguras
7.7 11.2.9 Escritorio claro y pantalla clara
7.8 11.2.1 Ubicación y protección de equipos.
7.9 11.2.6 Seguridad de los activos fuera de las instalaciones
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Medios de almacenamiento
7.11 11.2.2 Servicios públicos de apoyo
7.12 11.2.3 Seguridad del cableado
7.13 11.2.4 Mantenimiento de equipo
7.14 11.2.7 Eliminación segura o reutilización del equipo
Controles Tecnológicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
8.1 06.2.1, 11.2.8 Dispositivos terminales de usuario
8.2 09.2.3 Derechos de acceso privilegiados
8.3 09.4.1 Restricción de acceso a la información
8.4 09.4.5 Acceso al código fuente
8.5 09.4.2 Autenticación segura
8.6 12.1.3 Gestión de la capacidad
8.7 12.2.1 Protección contra malware
8.8 12.6.1, 18.2.3 Gestión de vulnerabilidades técnicas.
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.13 12.3.1 Copia de seguridad de la información
8.14 17.2.1 Redundancia de instalaciones de procesamiento de información.
8.15 12.4.1, 12.4.2, 12.4.3 Inicio de sesión
8.16 NUEVO Actividades de monitoreo
8.17 12.4.4 sincronización de los relojes
8.18 09.4.4 Uso de programas de utilidad privilegiados.
8.19 12.5.1, 12.6.2 Instalación de software en sistemas operativos.
8.20 13.1.1 Seguridad en redes
8.21 13.1.2 Seguridad de los servicios de red.
8.22 13.1.3 Segregación de redes
8.23 NUEVO Filtrado Web
8.24 10.1.1, 10.1.2 Uso de criptografía
8.25 14.2.1 Ciclo de vida de desarrollo seguro
8.26 14.1.2, 14.1.3 Requisitos de seguridad de la aplicación
8.27 14.2.5 Principios de ingeniería y arquitectura de sistemas seguros
8.28 NUEVO Codificación segura
8.29 14.2.8, 14.2.9 Pruebas de seguridad en desarrollo y aceptación.
8.30 14.2.7 Desarrollo subcontratado
8.31 12.1.4, 14.2.6 Separación de los entornos de desarrollo, prueba y producción.
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestión del cambio
8.33 14.3.1 Información de prueba
8.34 12.7.1 Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

Como usted sabe, ISO 27002 es un estándar ampliamente adoptado y reconocido para la seguridad de la información.

Proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar una Sistema de Gestión de Seguridad de la Información (SGSI).

Debido a que la norma ISO 27002 es tan completa y detallada, implementarla puede ser un proceso que requiere mucho tiempo. Pero con SGSI.online, tienes una solución integral que simplifica mucho las cosas.

Nuestra clase mundial seguridad de la información La plataforma de software del sistema de gestión hace que sea muy fácil comprender qué se debe hacer y cómo hacerlo.

Eliminamos la molestia de gestionar sus requisitos de cumplimiento.

Con ISMS.online, la implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación de controles.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Sam Peters

Sam es director de productos en ISMS.online y lidera el desarrollo de todas las características y funcionalidades del producto. Sam es un experto en muchas áreas de cumplimiento y trabaja con clientes en proyectos personalizados o de gran escala.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.