Las leyes, regulaciones y requisitos contractuales forman una gran parte de las responsabilidades de seguridad de la información de una organización.
Las organizaciones deben tener una comprensión clara de sus obligaciones en cualquier momento y estar preparadas para adaptar sus prácticas de seguridad de la información de acuerdo con su papel como manejadores de datos responsables.
Es importante tener en cuenta que el Control 5.31 no enumera ningún término legal, regulatorio o contractual específico que las organizaciones necesitan hacer cumplir o seguir cumpliendo, ni establece un procedimiento para redactar contratos. En cambio, el Control 5.31 se centra en lo que las organizaciones deben considerar desde el punto de vista de la seguridad de la información perspectiva, en relación con sus requisitos únicos.
Control 5.31 es un control preventivo esa modifica el riesgo ofreciendo orientación sobre cómo operar con un sólido política de seguridad de la información que mantiene el cumplimiento dentro de todos los entornos legales y regulatorios relevantes.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Legal y Cumplimiento | #Gobernanza y Ecosistema #Proteccion |
Hay cinco puntos de orientación generales a considerar. Las organizaciones deben tener en cuenta sus requisitos legales, estatutarios, reglamentarios y contractuales cuando:
Las organizaciones deben “definir y documentar” los procesos y responsabilidades internos que les permitan:
En las TIC, la 'criptografía' es un método para proteger la información y las comunicaciones mediante el uso de códigos.
Como tal, todo el concepto de cifrado y criptografía generalmente implica requisitos legales específicos y una cantidad considerable de orientación regulatoria sobre temas específicos que deben cumplirse.
Teniendo esto en cuenta, es necesario tener en cuenta las siguientes orientaciones:
El único cumplimiento
solución que necesitas
Reserva tu demostración
Las organizaciones deben considerar sus obligaciones de seguridad de la información al redactar o firmar contratos legalmente vinculantes con clientes, proveedores o vendedores (incluidas pólizas y contratos de seguros).
Consulte el Control 5.20 para obtener más orientación relacionada con los contratos con proveedores.
27002:2022-5.31 reemplaza dos controles de 27002:2013-18.1.2 (Derechos de propiedad intelectual).
Mientras que 27002:2013-18.1.1 ofrece una orientación mínima aparte de la necesidad de que los “administradores” identifiquen toda la legislación que su tipo de negocio justifica, 27002:2022-5.31 analiza el cumplimiento en entornos legislativos, regulatorios y criptográficos, además de ofrecer algunas puntos de orientación generalizados y entrar en muchos más detalles sobre cómo permanecer en el lado correcto de cualquier legislación o regulación vigente.
En lo que respecta al cifrado, 27002:2022-5.31 se adhiere a los mismos principios que 27002:2013-18.1.5 y contiene los mismos puntos de orientación subyacentes, pero va un paso más allá al pedir a las organizaciones que consideren hardware y software que tenga el potencial de transportar realizar funciones criptográficas.
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
ISMS.online es un
solución integral que aceleró radicalmente nuestra implementación.
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
