A pesar de la amplia gama de medidas preventivas disponibles para las organizaciones que están ISO 27002:2022 Si se cumplen las normas, pueden ocurrir, y de hecho ocurren, interrupciones en la continuidad del negocio y las operaciones estándar.
El Control 5.29 describe los ajustes operativos que las organizaciones deben adoptar cuando experimentan una interrupción, para salvaguardar información y proteger los activos de la empresa.
5.22 es un doble propósito preventivo y correctivo controlar eso mantiene el riesgo mediante la implementación de un plan que mejore la seguridad de la información durante períodos de interrupción y mitigue los daños en los activos de la organización.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo #Correctivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger #Responder | #Continuidad | #Proteccion #Resiliencia |
El control 5.29 se refiere a operativo. proceso y procedimientos de seguridad de la información que se activan una vez que ocurren eventos críticos o interrupción del negocio.
Como tal, la propiedad del Control 5.29 debe residir en un miembro de los equipos de alta dirección que supervise las operaciones diarias de la organización y/o las contingencias de planificación de continuidad, como la Director de Operaciones (COO).
El Control 5.29 estipula que la seguridad de la información debe ser una parte constitutiva de la estrategia más amplia de una organización. procedimiento de gestión de continuidad del negocio.
Las organizaciones deben elaborar planes que busquen mantener integridad de la seguridad de la informacióny posteriormente restaurarlo, en caso de que la información se vea comprometida de alguna manera después de una interrupción operativa o una falla del sistema.
Los niveles de seguridad deben restablecerse a los niveles anteriores a la interrupción y de manera oportuna para mitigar cualquier daño adicional.
Al hacerlo, las organizaciones deberían:
El Control 5.29 reconoce la naturaleza altamente variable de la planificación de la continuidad y proporciona Las organizaciones tienen un margen de maniobra significativo para implementar la seguridad de la información. controles que son específicos de los diferentes tipos de disrupción del negocio que las organizaciones pueden experimentar.
ISO pide a la organización que se centre en dos áreas clave a la hora de formular un plan de continuidad del negocio:
a) pérdida de confidencialidad
b) la integridad de la información
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
27002:2022-5.29 reemplaza los siguientes tres controles de 27002:2013:
En reconocimiento de la naturaleza compleja de los planes de continuidad del negocio – y cómo difieren según los distintos tipos de interrupción – ISO ha simplificado su guía alejándose de un enfoque granular y pidiendo a las organizaciones que en su lugar consideren algunos puntos básicos al redactar planes específicos para cada tema. planos (ver arriba).
Por ejemplo, parte de la guía dentro de 17.1.2 establece que:
“Personal de respuesta a incidentes con la necesaria responsabilidad, autoridad y competencia para gestionar un incidente y mantener la seguridad de la información son nominados”.
A pesar de su importancia en la planificación de la continuidad eficaz, 5.29 no menciona específicamente los equipos de respuesta a incidentes y confía en que la organización los considere en todos los puntos de las notas de orientación, más específicamente:
Una plataforma basada en la nube para ISO 27002 implementación, ISMS.online, le ayuda a gestionar sus procesos de gestión de riesgos de seguridad de la información de forma fácil y eficaz.
El Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |