¿Qué es el Control 5.10, Uso Aceptable de la Información y Otros Activos Asociados?
La Política de uso aceptable de activos de información (AUA) se aplica a todos los miembros de una organización y a los activos que la organización posee o opera. La AUA se aplica a todos los usos de los Activos de información para cualquier fin, incluido el comercial.
Los siguientes son ejemplos de activos de información:
- Ferretería: ordenadores, dispositivos móviles, teléfonos y máquinas de fax.
- Software: sistemas operativos, aplicaciones (incluidas aplicaciones basadas en web), utilidades, firmware y lenguajes de programación.
- Data: datos estructurados en bases de datos relacionales, archivos planos y datos NoSQL; datos no estructurados como documentos de texto, hojas de cálculo, imágenes, archivos de vídeo y audio; registros en cualquier formato.
- Redes: redes cableadas e inalámbricas; sistemas de telecomunicaciones; Servicios de voz sobre IP.
- Servicios: servicios en la nube, cuentas de correo electrónico y otros servicios alojados.
El uso aceptable de la información y otros activos asociados significa utilizar los activos de información de manera que no pongan en riesgo la disponibilidad, confiabilidad o integridad de los datos, servicios o recursos. También significa usarlos de manera que no violen las leyes o las políticas de la organización.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Atributos de Control 5.10
El nuevo Norma ISO 27002: 2022 viene con tablas de atributos que no se encuentran en la versión 2013. Los atributos son una forma de clasificar los controles.
También le permiten hacer coincidir su selección de controles con términos y especificaciones de uso común en la industria. Los siguientes controles están disponibles en el control 5:10.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Gestión de activos | #Gobernanza y Ecosistema |
| #Integridad | #Protección de la información | #Proteccion | ||
| #Disponibilidad |
¿Cuál es el propósito del Control 5.10?
El objetivo general de este El control es asegurar que la información y otros activos asociados están adecuadamente protegidos, utilizados y manipulados.
El Control 5.10 fue diseñado para garantizar que existan políticas, procedimientos y controles técnicos para evitar que los usuarios accedan, utilicen o divulguen activos de información de manera inapropiada.
Este control tiene como objetivo proporcionar un marco para que las organizaciones garanticen que información y otros activos están adecuadamente protegidos, utilizados y manipulados. Esto incluye garantizar que las políticas y procedimientos existan en todos los niveles dentro de la organización, así como garantizar que esas políticas y procedimientos se apliquen de manera consistente.
Implementar el control 5.10 como parte de su SGSI significa que ha implementado los diversos requisitos relacionados con cómo su empresa protege los activos de TI, incluidos:
- La protección de la información en almacenamiento, procesamiento y tránsito.
- La protección y uso adecuado de los equipos informáticos.
- El uso de servicios de autenticación adecuados para controlar el acceso a los sistemas de información.
- El procesamiento de información dentro de una organización únicamente por parte de usuarios con la autorización adecuada.
- La asignación de información relacionada Responsabilidades para individuos o roles específicos..
- La educación y capacitación de los usuarios sobre sus responsabilidades de seguridad.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Qué implica y cómo cumplir los requisitos
Para cumplir con los requisitos de control 5.10 en ISO 27002:2022, es importante que los empleados y partes externas que utilizan o tienen acceso a la información de la organización y otros activos asociados sean conscientes de los requisitos de seguridad de la información de la organización.
Estas personas deben ser responsables de cualquier instalación de procesamiento de información que utilicen.
Todos los involucrados en el uso o manejo de la información y otros activos asociados deben conocer la política de la organización sobre el uso aceptable de la información y otros activos relacionados.
Todos los involucrados en el uso o manejo de información y otros activos asociados Se debe informar sobre la política de la organización sobre el uso permitido de la información y otros activos asociados. Como parte de una política de uso aceptable específica de un tema, el personal debe saber exactamente qué se espera que haga con la información y otros activos.
En particular, la política sobre temas específicos debería establecer que:
a) comportamientos esperados e inaceptables de las personas desde una perspectiva de seguridad de la información;
b) uso permitido y prohibido de información y otros activos asociados;
c) Seguimiento de las actividades realizadas por la organización.
Se deberán elaborar procedimientos de uso aceptable para todo el ciclo de vida de la información de acuerdo con su clasificación y riesgos determinados. Se deben considerar los siguientes elementos:
a) restricciones de acceso que respaldan los requisitos de protección para cada nivel de clasificación;
b) mantenimiento de un registro de los usuarios autorizados de información y otros activos asociados;
c) protección de copias temporales o permanentes de información a un nivel consistente con la
protección de la información original;
d) almacenamiento de activos asociados con información de acuerdo con las especificaciones de los fabricantes;
e) marcado claro de todas las copias de los medios de almacenamiento (electrónicos o físicos) para la atención del
recipiente autorizado;
f) autorización de disposición de información y otros activos asociados y método(s) de eliminación admitidos.
Diferencias entre ISO 27002:2013 e ISO 27002:2022
La nueva revisión 2022 de ISO 27002 se publicó el 15 de febrero de 2022 y es una actualización de ISO 27002:2013.
El control 5.10 en ISO 27002:2022 no es un control nuevo, sino que es una combinación de los controles 8.1.3 – uso aceptable de activos y 8.2.3 – manejo de activos en ISO 27002:2013.
Si bien la esencia y las pautas de implementación del control 5.10 son relativamente las mismas que las de los controles 8.1.3 y 8.2.3, el control 5.10 fusionó tanto el uso aceptable de los activos como el manejo de los activos en un solo control para permitir una mejor facilidad de uso.
Sin embargo, el control 5.10 también añadió un punto extra al control 8.2.3. Esto cubre la autorización de eliminación de información y otros activos asociados y los métodos de eliminación admitidos.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
¿Quién está a cargo de este proceso?
El Uso Aceptable de la Información y otros Activos Asociados es una política que establece reglas para asegurar el uso adecuado de la información de la empresa y otros activos asociados, incluyendo computadoras, redes y sistemas, correo electrónico, archivos y medios de almacenamiento. Esta política es vinculante para todos los empleados y contratistas.
El propósito de esta política es:
- Asegúrese de que la información de la empresa y otros activos asociados se utilicen únicamente para fines comerciales legítimos.
- Asegúrese de que los empleados cumplan con todas las leyes y regulaciones relacionadas con la seguridad de la información.
- Proteger la información de la empresa y otros activos asociados de amenazas provenientes del interior o exterior de la empresa.
El Oficial de Seguridad de la Información (ISO) es responsable de desarrollar, implementar y mantener los activos de Uso Aceptable de la Información.
La ISO será responsable de gestionar el uso de los recursos de información en toda la organización para garantizar que la información se utilice de una manera que proteja la seguridad y la integridad de los datos, preserve la confidencialidad de la información confidencial o de propiedad exclusiva, proteja contra el abuso y el acceso no autorizado a la informática. recursos y elimina la exposición o responsabilidad innecesaria para la organización.
¿Qué significan estos cambios para usted?
La nueva norma ISO 27002:2022 no supone una mejora sustancial. Como resultado, es posible que no necesite realizar ningún cambio significativo con respecto al cumplimiento de la versión más reciente de ISO 27002.
Sin embargo, consulte nuestra guía sobre ISO 27002:2022, donde podrá descubrir más sobre cómo estos cambios en el control 5.10 afectarán su negocio.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
Como usted sabe, ISO 27002 es un estándar ampliamente adoptado y reconocido para la seguridad de la información.
Proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar una Sistema de Gestión de Seguridad de la Información (SGSI).
Debido a que la norma ISO 27002 es tan completa y detallada, implementarla puede ser un proceso que requiere mucho tiempo. Pero con SGSI.online, tienes una solución integral que simplifica mucho las cosas.
Nuestra clase mundial seguridad de la información La plataforma de software del sistema de gestión hace que sea muy fácil comprender qué se debe hacer y cómo hacerlo.
Eliminamos la molestia de gestionar sus requisitos de cumplimiento.
Con ISMS.online, la implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación de controles.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
