El control 5.20 rige cómo una organización forma un contrato relación con un proveedor, en función de sus requisitos de seguridad y del tipo de proveedores con los que tratan.
5.20 es una control preventivo esa mantiene el riesgo estableciendo obligaciones mutuamente aceptables entre las organizaciones y sus proveedores que se ocupan de la seguridad de la información.
Mientras que el Control 5.19 rige con la seguridad de la información a lo largo de la relación, el Control 5.20 se preocupa por cómo las organizaciones forman acuerdos vinculantes desde el comienzo de una relacion
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Seguridad en las relaciones con proveedores | #Gobernanza y Ecosistema #Proteccion |
La propiedad del Control 5.20 debe depender de si la organización opera o no su propio departamento legal y de la naturaleza subyacente de cualquier acuerdo firmado.
Si la organización tiene la capacidad legal para redactar, modificar y almacenar sus propios acuerdos contractuales sin la participación de terceros, la propiedad de 5.20 debe recaer en la persona que tiene la responsabilidad final de los acuerdos legalmente vinculantes dentro de la organización (contratos, memorandos de entendimiento, SLA, etc.). .)
Si la organización subcontrata dichos acuerdos, la propiedad del Control 5.20 debe recaer en un miembro de la alta dirección que supervise una operación comercial de la organizacióny mantiene una relación directa con los proveedores de una organización, como por ejemplo Director de Operaciones.
El Control 5.20 contiene 25 puntos de orientación que según ISO “pueden considerarse” (es decir, no necesariamente todos) para cumplir con los requisitos de seguridad de la información de una organización.
Independientemente de las medidas que se adopten, el Control 5.20 establece explícitamente que ambas partes deben salir del proceso con un "claro entendimiento" de sus obligaciones mutuas en materia de seguridad de la información.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Para ayudar a las organizaciones a gestionar las relaciones con los proveedores, el Control 5.20 establece que las organizaciones deben mantener un registro de acuerdos.
Los registros deben enumerar todos los acuerdos celebrados con otras organizaciones y clasificarlos según la naturaleza de la relación, como contratos, memorandos de entendimiento y acuerdos de intercambio de información.
ISO 27002:2022-5.20 reemplaza a 27002:2013-15.1.2 (Abordando la seguridad dentro de los acuerdos con proveedores).
ISO 27002:2022-5.20 contiene numerosas orientaciones adicionales que abordan una amplia gama de temas técnicos, legales y relacionados con el cumplimiento, que incluyen:
En términos generales, ISO 27002:2022-5.20 pone mucho mayor énfasis en lo que ocurre al final de una relación con un proveedor y asigna mucha más importancia a cómo un proveedor logra la redundancia y la integridad de los datos durante el transcurso de un acuerdo.
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |