El Control 5.10 establece que se deben identificar, documentar e implementar las reglas para el uso aceptable y los procedimientos para el manejo de la información y otros activos asociados.
El objetivo de dichas políticas es establecer directrices claras sobre cómo deben comportarse los usuarios cuando trabajan con activos de información, para garantizar la confidencialidad, integridad y disponibilidad de los activos de seguridad de la información de la organización.
La Política de uso aceptable de activos de información (AUA) se aplica a todos los miembros de una organización y a los activos que la organización posee o opera. La AUA se aplica a todos los usos de los Activos de información para cualquier fin, incluido el comercial.
Los siguientes son ejemplos de activos de información:
El uso aceptable de la información y otros activos asociados significa utilizar los activos de información de manera que no pongan en riesgo la disponibilidad, confiabilidad o integridad de los datos, servicios o recursos. También significa usarlos de manera que no violen las leyes o las políticas de la organización.
El nuevo Norma ISO 27002: 2022 viene con tablas de atributos que no se encuentran en la versión 2013. Los atributos son una forma de clasificar los controles.
También le permiten hacer coincidir su selección de controles con términos y especificaciones de uso común en la industria. Los siguientes controles están disponibles en el control 5:10.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de activos #Protección de la información | #Gobernanza y #Protección de Ecosistemas |
El objetivo general de este El control es asegurar que la información y otros activos asociados están adecuadamente protegidos, utilizados y manipulados.
El Control 5.10 fue diseñado para garantizar que existan políticas, procedimientos y controles técnicos para evitar que los usuarios accedan, utilicen o divulguen activos de información de manera inapropiada.
Este control tiene como objetivo proporcionar un marco para que las organizaciones garanticen que información y otros activos están adecuadamente protegidos, utilizados y manipulados. Esto incluye garantizar que las políticas y procedimientos existan en todos los niveles dentro de la organización, así como garantizar que esas políticas y procedimientos se apliquen de manera consistente.
Implementar el control 5.10 como parte de su SGSI significa que ha implementado los diversos requisitos relacionados con cómo su empresa protege los activos de TI, incluidos:
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
Empezamos usando hojas de cálculo y fue una pesadilla. Con la solución ISMS.online, todo el trabajo duro fue fácil.
Para cumplir con los requisitos de control 5.10 en ISO 27002:2022, es importante que los empleados y partes externas que utilizan o tienen acceso a la información de la organización y otros activos asociados sean conscientes de los requisitos de seguridad de la información de la organización.
Estas personas deben ser responsables de cualquier instalación de procesamiento de información que utilicen.
Todos los involucrados en el uso o manejo de la información y otros activos asociados deben conocer la política de la organización sobre el uso aceptable de la información y otros activos relacionados.
Todos los involucrados en el uso o manejo de información y otros activos asociados Se debe informar sobre la política de la organización sobre el uso permitido de la información y otros activos asociados. Como parte de una política de uso aceptable específica de un tema, el personal debe saber exactamente qué se espera que haga con la información y otros activos.
En particular, la política sobre temas específicos debería establecer que:
a) comportamientos esperados e inaceptables de las personas desde una perspectiva de seguridad de la información;
b) uso permitido y prohibido de información y otros activos asociados;
c) Seguimiento de las actividades realizadas por la organización.
Se deberán elaborar procedimientos de uso aceptable para todo el ciclo de vida de la información de acuerdo con su clasificación y riesgos determinados. Se deben considerar los siguientes elementos:
a) restricciones de acceso que respaldan los requisitos de protección para cada nivel de clasificación;
b) mantenimiento de un registro de los usuarios autorizados de información y otros activos asociados;
c) protección de copias temporales o permanentes de información a un nivel consistente con la
protección de la información original;
d) almacenamiento de activos asociados con información de acuerdo con las especificaciones de los fabricantes;
e) marcado claro de todas las copias de los medios de almacenamiento (electrónicos o físicos) para la atención del
recipiente autorizado;
f) autorización de disposición de información y otros activos asociados y método(s) de eliminación admitidos.
La nueva revisión 2022 de ISO 27002 se publicó el 15 de febrero de 2022 y es una actualización de ISO 27002:2013.
El control 5.10 en ISO 27002:2022 no es un control nuevo, sino que es una combinación de los controles 8.1.3 – uso aceptable de activos y 8.2.3 – manejo de activos en ISO 27002:2013.
Si bien la esencia y las pautas de implementación del control 5.10 son relativamente las mismas que las de los controles 8.1.3 y 8.2.3, el control 5.10 fusionó tanto el uso aceptable de los activos como el manejo de los activos en un solo control para permitir una mejor facilidad de uso.
Sin embargo, el control 5.10 también añadió un punto extra al control 8.2.3. Esto cubre la autorización de eliminación de información y otros activos asociados y los métodos de eliminación admitidos.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
El Uso Aceptable de la Información y otros Activos Asociados es una política que establece reglas para asegurar el uso adecuado de la información de la empresa y otros activos asociados, incluyendo computadoras, redes y sistemas, correo electrónico, archivos y medios de almacenamiento. Esta política es vinculante para todos los empleados y contratistas.
El propósito de esta política es:
El Oficial de Seguridad de la Información (ISO) es responsable de desarrollar, implementar y mantener los activos de Uso Aceptable de la Información.
La ISO será responsable de gestionar el uso de los recursos de información en toda la organización para garantizar que la información se utilice de una manera que proteja la seguridad y la integridad de los datos, preserve la confidencialidad de la información confidencial o de propiedad exclusiva, proteja contra el abuso y el acceso no autorizado a la informática. recursos y elimina la exposición o responsabilidad innecesaria para la organización.
La nueva norma ISO 27002:2022 no supone una mejora sustancial. Como resultado, es posible que no necesite realizar ningún cambio significativo con respecto al cumplimiento de la versión más reciente de ISO 27002.
Sin embargo, consulte nuestra guía sobre ISO 27002:2022, donde podrá descubrir más sobre cómo estos cambios en el control 5.10 afectarán su negocio.
Como usted sabe, ISO 27002 es un estándar ampliamente adoptado y reconocido para la seguridad de la información.
Proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar una Sistema de Gestión de Seguridad de la Información (SGSI).
Debido a que la norma ISO 27002 es tan completa y detallada, implementarla puede ser un proceso que requiere mucho tiempo. Pero con SGSI.online, tienes una solución integral que simplifica mucho las cosas.
Nuestra clase mundial seguridad de la información La plataforma de software del sistema de gestión hace que sea muy fácil comprender qué se debe hacer y cómo hacerlo.
Eliminamos la molestia de gestionar sus requisitos de cumplimiento.
Con ISMS.online, la implementación de ISO 27002 es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación de controles.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
