Propósito del Control 5.29
A pesar de la amplia gama de medidas preventivas disponibles para las organizaciones que están ISO 27002:2022 Si se cumplen las normas, pueden ocurrir, y de hecho ocurren, interrupciones en la continuidad del negocio y las operaciones estándar.
El Control 5.29 describe los ajustes operativos que las organizaciones deben adoptar cuando experimentan una interrupción, para salvaguardar información y proteger los activos de la empresa.
Tabla de atributos
5.22 es un doble propósito preventivo y correctivo controlar eso mantiene el riesgo mediante la implementación de un plan que mejore la seguridad de la información durante períodos de interrupción y mitigue los daños en los activos de la organización.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Continuidad | #Proteccion |
| #Correctivo | #Integridad | #Responder | #Resiliencia | |
| #Disponibilidad |
Propiedad del Control 5.29
El control 5.29 se refiere a operativo. proceso y procedimientos de seguridad de la información que se activan una vez que ocurren eventos críticos o interrupción del negocio.
Como tal, la propiedad del Control 5.29 debe residir en un miembro de los equipos de alta dirección que supervise las operaciones diarias de la organización y/o las contingencias de planificación de continuidad, como la Director de Operaciones (COO).
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre control 5.29
El Control 5.29 estipula que la seguridad de la información debe ser una parte constitutiva de la estrategia más amplia de una organización. procedimiento de gestión de continuidad del negocio.
Las organizaciones deben elaborar planes que busquen mantener integridad de la seguridad de la informacióny posteriormente restaurarlo, en caso de que la información se vea comprometida de alguna manera después de una interrupción operativa o una falla del sistema.
Los niveles de seguridad deben restablecerse a los niveles anteriores a la interrupción y de manera oportuna para mitigar cualquier daño adicional.
Al hacerlo, las organizaciones deberían:
- Implementar y mantener controles generales de seguridad de la información, incluidos los sistemas comerciales y las plataformas TIC contenidos dentro de los planes de continuidad más amplios de la organización.
- Implementar procesos que busquen mantener controles de seguridad de la información durante cualquier interrupción.
- Cuando sea relevante, implementar controles compensatorios para cualquier esfuerzo relacionado con la seguridad de la información que no pueda sostenerse durante un período de interrupción.
Orientación complementaria
El Control 5.29 reconoce la naturaleza altamente variable de la planificación de la continuidad y proporciona Las organizaciones tienen un margen de maniobra significativo para implementar la seguridad de la información. controles que son específicos de los diferentes tipos de disrupción del negocio que las organizaciones pueden experimentar.
ISO pide a la organización que se centre en dos áreas clave a la hora de formular un plan de continuidad del negocio:
a) pérdida de confidencialidad
b) la integridad de la información
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022-5.29 reemplaza los siguientes tres controles de 27002:2013:
- 17.1 - Planificación de la seguridad de la información. continuidad
- 17.1.2 – Implementación de la continuidad de la seguridad de la información
- 17.1.3 – Verificar, revisar y evaluar la continuidad de la seguridad de la información
En reconocimiento de la naturaleza compleja de los planes de continuidad del negocio – y cómo difieren según los distintos tipos de interrupción – ISO ha simplificado su guía alejándose de un enfoque granular y pidiendo a las organizaciones que en su lugar consideren algunos puntos básicos al redactar planes específicos para cada tema. planos (ver arriba).
Por ejemplo, parte de la guía dentro de 17.1.2 establece que:
“Personal de respuesta a incidentes con la necesaria responsabilidad, autoridad y competencia para gestionar un incidente y mantener la seguridad de la información son nominados”.
A pesar de su importancia en la planificación de la continuidad eficaz, 5.29 no menciona específicamente los equipos de respuesta a incidentes y confía en que la organización los considere en todos los puntos de las notas de orientación, más específicamente:
- Implementar y mantener controles generales de seguridad de la información, incluidos los sistemas comerciales y las plataformas TIC contenidos dentro de los planes de continuidad más amplios de la organización.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
Una plataforma basada en la nube para ISO 27002 implementación, ISMS.online, le ayuda a gestionar sus procesos de gestión de riesgos de seguridad de la información de forma fácil y eficaz.
El sistema Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
