5.23 es un nuevo control que describe los procesos que se requieren para la adquisición, uso, gestión y salida de servicios en la nube, en relación con las características únicas de la organización. requisitos de seguridad de la información.
El Control 5.23 permite a las organizaciones especificar primero y luego gestionar y administrar la seguridad de la información conceptos relacionados con los servicios en la nube, en su calidad de “cliente de servicios en la nube”.
5.23 es una control preventivo esa mantiene el riesgo especificando políticas y procedimientos que gobernar la seguridad de la información, dentro del ámbito de los servicios comerciales en la nube.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad en las relaciones con proveedores | #Gobernanza y #Protección de Ecosistemas |
Dada la proliferación de servicios en la nube durante la última década, Control 5.23 contiene una serie de procedimientos que abarcan muchos elementos distintos de la operación de una organización.
Dado que no todos los servicios en la nube son específicos de las TIC (aunque podría afirmarse razonablemente que la mayoría lo son), la propiedad del Control 5.22 debe distribuirse entre los CTO or Directora de Operaciones, dependiendo de las circunstancias operativas prevalecientes.
El cumplimiento del Control 5.23 implica adherirse a lo que se conoce como enfoque 'temático específico' a servicios en la nube y seguridad de la información.
Dada la variedad de servicios en la nube que se ofrecen, los enfoques temáticos específicos alientan a las organizaciones a crear políticas de servicios en la nube que se adapten a funciones comerciales individuales, en lugar de adherirse a un marco general. política que se aplica a la seguridad de la información y servicios en la nube en todos los ámbitos.
Cabe señalar que ISO considera el cumplimiento del Control 5.23 como un esfuerzo de colaboración entre la organización y su socio de servicios en la nube. El Control 5.23 también debe estar estrechamente alineado con los Controles 5.21 y 5.22, que tratan con información gestión en la cadena de suministro y la gestión de servicios de proveedores respectivamente.
Independientemente de cómo decida operar una organización, el Control 5.23 no debe tomarse de forma aislada y debe complementar los esfuerzos existentes para gestionar las relaciones con los proveedores.
Con la seguridad de la información a la vanguardia, la organización debe definir:
El único cumplimiento
solución que necesitas
Reserva tu demostración
Control 5.23 reconoce que, a diferencia de otras relaciones con proveedores, los acuerdos de servicios en la nube son documentos rígidos que no se pueden modificar en la gran mayoría de los casos.
Teniendo esto en cuenta, las organizaciones deben examinar los acuerdos de servicios en la nube y asegurarse de que se cumplan cuatro requisitos operativos principales:
Al igual que con otros contratos de proveedores, antes de su aceptación, los acuerdos de servicios en la nube deben someterse a una evaluación exhaustiva de riesgos que resalta los problemas potenciales en su origen.
Como mínimo, la organización debe celebrar un acuerdo de servicios en la nube sólo cuando esté convencida de que se han cumplido las siguientes 10 disposiciones:
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
Además de la guía anterior, el Control 5.23 sugiere que las organizaciones establezcan una estrecha relación de trabajo con los proveedores de servicios en la nube, de acuerdo con el importante servicio que brindan no solo en términos de seguridad de la información, sino en toda la operación comercial de una organización.
Las organizaciones, cuando sea posible, deben buscar las siguientes estipulaciones de los proveedores de servicios en la nube para mejorar la resiliencia operativa y disfrutar de mayores niveles de seguridad de la información:
Control 5.23 es un nuevo control que no figura en ISO 27002:2013 de ninguna manera.
ISMS.online agiliza la ISO 27002 proceso de implementación al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.
Cuando utilice ISMS.online, podrá:
Ponte en contacto y RESERVAR UNA DEMOSTRACIÓN.
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
