Propósito del Control 5.31
Las leyes, regulaciones y requisitos contractuales forman una gran parte de las responsabilidades de seguridad de la información de una organización.
Las organizaciones deben tener una comprensión clara de sus obligaciones en cualquier momento y estar preparadas para adaptar sus prácticas de seguridad de la información de acuerdo con su papel como manejadores de datos responsables.
Es importante tener en cuenta que el Control 5.31 no enumera ningún término legal, regulatorio o contractual específico que las organizaciones necesitan hacer cumplir o seguir cumpliendo, ni establece un procedimiento para redactar contratos. En cambio, el Control 5.31 se centra en lo que las organizaciones deben considerar desde el punto de vista de la seguridad de la información perspectiva, en relación con sus requisitos únicos.
Tabla de atributos
Control 5.31 es un control preventivo que modifica el riesgo ofreciendo orientación sobre cómo operar con un sólido política de seguridad de la información que mantiene el cumplimiento dentro de todos los entornos legales y regulatorios relevantes.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Legal y Cumplimiento | #Gobernanza y Ecosistema |
| #Integridad | #Proteccion | |||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre control 5.31
Hay cinco puntos de orientación generales a considerar. Las organizaciones deben tener en cuenta sus requisitos legales, estatutarios, reglamentarios y contractuales cuando:
- Redactar y/o modificar sus procedimientos de seguridad de la información y política interna documentos.
- Diseñar, modificar o implementar controles de seguridad de la información.
- Categorizar la información al considerar sus requisitos más amplios de seguridad de la información, ya sea para fines organizacionales o relacionados con sus relaciones con un tercero (proveedores, etc.)
- Pasando por evaluaciones de riesgos relacionados con la seguridad de la información actividades, incluidas las funciones y responsabilidades internas relacionadas con una estructura organizacional.
- Establecer la naturaleza de una relación de proveedor, y sus obligaciones contractuales durante todo el suministro de productos y servicios.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación legislativa y regulatoria
Las organizaciones deben “definir y documentar” los procesos y responsabilidades internos que les permitan:
- Identificar, analizar y comprender sus obligaciones legislativas y regulatorias relacionadas con la seguridad de la información, incluidas revisiones periódicas de la legislación y regulaciones.
- Asegúrese de que cumplan con todos los entornos legislativos y regulatorios en cualquier país en el que operen. Esto se extiende al uso de productos y servicios que se originan fuera del país en el que operan habitualmente.
Orientación criptográfica
En las TIC, la 'criptografía' es un método para proteger la información y las comunicaciones mediante el uso de códigos.
Como tal, todo el concepto de cifrado y criptografía generalmente implica requisitos legales específicos y una cantidad considerable de orientación regulatoria sobre temas específicos que deben cumplirse.
Teniendo esto en cuenta, es necesario tener en cuenta las siguientes orientaciones:
- Leyes sobre la importación y/o exportación de hardware o software que realice una función criptográfica dedicada o tenga la capacidad de realizar dicha función.
- Leyes relativas a la restricción de funciones criptográficas.
- Cualquier acceso a información cifrada que las autoridades de un país o región tengan la derecho a solicitar y hacer cumplir.
- La validez y veracidad de tres elementos digitales clave de la información cifrada:
a) Signatures
b) Juntas
c) Certificados
Orientación Contractual
Las organizaciones deben considerar sus obligaciones de seguridad de la información al redactar o firmar contratos legalmente vinculantes con clientes, proveedores o vendedores (incluidas pólizas y contratos de seguros).
Consulte el Control 5.20 para obtener más orientación relacionada con los contratos con proveedores.
Controles de apoyo
- 5.20
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022-5.31 reemplaza dos controles de 27002:2013-18.1.2 (Derechos de propiedad intelectual).
- 18.1.1 – Identificación de la legislación aplicable y requisitos contractuales
- 18.1.5 – Regulación de controles criptográficos
Mientras que 27002:2013-18.1.1 ofrece una orientación mínima aparte de la necesidad de que los “administradores” identifiquen toda la legislación que su tipo de negocio justifica, 27002:2022-5.31 analiza el cumplimiento en entornos legislativos, regulatorios y criptográficos, además de ofrecer algunas puntos de orientación generalizados y entrar en muchos más detalles sobre cómo permanecer en el lado correcto de cualquier legislación o regulación vigente.
En lo que respecta al cifrado, 27002:2022-5.31 se adhiere a los mismos principios que 27002:2013-18.1.5 y contiene los mismos puntos de orientación subyacentes, pero va un paso más allá al pedir a las organizaciones que consideren hardware y software que tenga el potencial de transportar realizar funciones criptográficas.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
