Ir al contenido
¡Trabaje de forma más inteligente con nuestra nueva navegación mejorada!
Vea cómo IO facilita el cumplimiento. Leer el blog
SGSI.online

ISO 27002:2022 – Control 5.31 – Requisitos legales, estatutarios, reglamentarios y contractuales

El Control 27002 de la norma ISO 2022:5.31 destaca que las organizaciones deben identificar, documentar y cumplir con todos los requisitos legales, reglamentarios y contractuales pertinentes relacionados con la seguridad de la información para mitigar los riesgos y garantizar el cumplimiento. Proporciona orientación sobre la integración de estas obligaciones en las políticas de seguridad, las evaluaciones de riesgos, los contratos con proveedores y los controles de seguridad generales.

Autor
Sam Peters
Actualizado julio 25, 2025
Estrellas 4 / 5

Propósito del Control 5.31

Las leyes, regulaciones y requisitos contractuales forman una gran parte de las responsabilidades de seguridad de la información de una organización.

Las organizaciones deben tener una comprensión clara de sus obligaciones en cualquier momento y estar preparadas para adaptar sus prácticas de seguridad de la información de acuerdo con su papel como manejadores de datos responsables.

Es importante tener en cuenta que el Control 5.31 no enumera ningún término legal, regulatorio o contractual específico que las organizaciones necesitan hacer cumplir o seguir cumpliendo, ni establece un procedimiento para redactar contratos. En cambio, el Control 5.31 se centra en lo que las organizaciones deben considerar desde el punto de vista de la seguridad de la información perspectiva, en relación con sus requisitos únicos.

Tabla de atributos

Control 5.31 es un control preventivo que modifica el riesgo ofreciendo orientación sobre cómo operar con un sólido política de seguridad de la información que mantiene el cumplimiento dentro de todos los entornos legales y regulatorios relevantes.

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridad Capacidades operativas Dominios de seguridad
#Preventivo #Confidencialidad #Identificar #Legal y Cumplimiento #Gobernanza y Ecosistema
#Integridad #Proteccion
#Disponibilidad


ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Empezar


Orientación general sobre control 5.31

Hay cinco puntos de orientación generales a considerar. Las organizaciones deben tener en cuenta sus requisitos legales, estatutarios, reglamentarios y contractuales cuando:

  1. Redactar y/o modificar sus procedimientos de seguridad de la información y política interna documentos.
  2. Diseñar, modificar o implementar controles de seguridad de la información.
  3. Categorizar la información al considerar sus requisitos más amplios de seguridad de la información, ya sea para fines organizacionales o relacionados con sus relaciones con un tercero (proveedores, etc.)
  4. Pasando por evaluaciones de riesgos relacionados con la seguridad de la información actividades, incluidas las funciones y responsabilidades internas relacionadas con una estructura organizacional.
  5. Establecer la naturaleza de una relación de proveedor, y sus obligaciones contractuales durante todo el suministro de productos y servicios.


subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Orientación legislativa y regulatoria

Las organizaciones deben “definir y documentar” los procesos y responsabilidades internos que les permitan:

  1. Identificar, analizar y comprender sus obligaciones legislativas y regulatorias relacionadas con la seguridad de la información, incluidas revisiones periódicas de la legislación y regulaciones.
  2. Asegúrese de que cumplan con todos los entornos legislativos y regulatorios en cualquier país en el que operen. Esto se extiende al uso de productos y servicios que se originan fuera del país en el que operan habitualmente.

Orientación criptográfica

En las TIC, la 'criptografía' es un método para proteger la información y las comunicaciones mediante el uso de códigos.

Como tal, todo el concepto de cifrado y criptografía generalmente implica requisitos legales específicos y una cantidad considerable de orientación regulatoria sobre temas específicos que deben cumplirse.

Teniendo esto en cuenta, es necesario tener en cuenta las siguientes orientaciones:

  1. Leyes sobre la importación y/o exportación de hardware o software que realice una función criptográfica dedicada o tenga la capacidad de realizar dicha función.
  2. Leyes relativas a la restricción de funciones criptográficas.
  3. Cualquier acceso a información cifrada que las autoridades de un país o región tengan la derecho a solicitar y hacer cumplir.
  4. La validez y veracidad de tres elementos digitales clave de la información cifrada:

    a) Signatures
    b) Juntas
    c) Certificados

Orientación Contractual

Las organizaciones deben considerar sus obligaciones de seguridad de la información al redactar o firmar contratos legalmente vinculantes con clientes, proveedores o vendedores (incluidas pólizas y contratos de seguros).

Consulte el Control 5.20 para obtener más orientación relacionada con los contratos con proveedores.

Controles de apoyo

  • 5.20


ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


Cambios y diferencias con respecto a ISO 27002:2013

27002:2022-5.31 reemplaza dos controles de 27002:2013-18.1.2 (Derechos de propiedad intelectual).

  1. 18.1.1 – Identificación de la legislación aplicable y requisitos contractuales
  2. 18.1.5 – Regulación de controles criptográficos

Mientras que 27002:2013-18.1.1 ofrece una orientación mínima aparte de la necesidad de que los “administradores” identifiquen toda la legislación que su tipo de negocio justifica, 27002:2022-5.31 analiza el cumplimiento en entornos legislativos, regulatorios y criptográficos, además de ofrecer algunas puntos de orientación generalizados y entrar en muchos más detalles sobre cómo permanecer en el lado correcto de cualquier legislación o regulación vigente.

En lo que respecta al cifrado, 27002:2022-5.31 se adhiere a los mismos principios que 27002:2013-18.1.5 y contiene los mismos puntos de orientación subyacentes, pero va un paso más allá al pedir a las organizaciones que consideren hardware y software que tenga el potencial de transportar realizar funciones criptográficas.

Nuevos controles ISO 27002

Nuevos controles
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.7 NUEVO Inteligencia de amenazas
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.30 NUEVO Preparación de las TIC para la continuidad del negocio
7.4 NUEVO Monitoreo de seguridad física
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.16 NUEVO Actividades de monitoreo
8.23 NUEVO Filtrado Web
8.28 NUEVO Codificación segura
Controles organizacionales
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.1 05.1.1, 05.1.2 Políticas de seguridad de la información.
5.2 06.1.1 Funciones y responsabilidades de seguridad de la información
5.3 06.1.2 Segregación de deberes
5.4 07.2.1 Responsabilidades de gestión
5.5 06.1.3 Contacto con autoridades
5.6 06.1.4 Contacto con grupos de intereses especiales
5.7 NUEVO Inteligencia de amenazas
5.8 06.1.5, 14.1.1 Seguridad de la información en la gestión de proyectos.
5.9 08.1.1, 08.1.2 Inventario de información y otros activos asociados
5.10 08.1.3, 08.2.3 Uso aceptable de la información y otros activos asociados
5.11 08.1.4 Devolución de activos
5.12 08.2.1 Clasificación de la información
5.13 08.2.2 Etiquetado de información
5.14 13.2.1, 13.2.2, 13.2.3 Transferencia de información
5.15 09.1.1, 09.1.2 Control de acceso
5.16 09.2.1 Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3 Información de autenticación
5.18 09.2.2, 09.2.5, 09.2.6 Derechos de acceso
5.19 15.1.1 Seguridad de la información en las relaciones con proveedores
5.20 15.1.2 Abordar la seguridad de la información en los acuerdos con proveedores
5.21 15.1.3 Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22 15.2.1, 15.2.2 Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.24 16.1.1 Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25 16.1.4 Evaluación y decisión sobre eventos de seguridad de la información.
5.26 16.1.5 Respuesta a incidentes de seguridad de la información
5.27 16.1.6 Aprender de los incidentes de seguridad de la información
5.28 16.1.7 Recolección de evidencia
5.29 17.1.1, 17.1.2, 17.1.3 Seguridad de la información durante la interrupción
5.30 5.30 Preparación de las TIC para la continuidad del negocio
5.31 18.1.1, 18.1.5 Requisitos legales, estatutarios, reglamentarios y contractuales
5.32 18.1.2 Derechos de propiedad intelectual
5.33 18.1.3 Protección de registros
5.34 18.1.4 Privacidad y protección de la PII
5.35 18.2.1 Revisión independiente de la seguridad de la información.
5.36 18.2.2, 18.2.3 Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37 12.1.1 Procedimientos operativos documentados
Controles de personas
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
6.1 07.1.1 examen en línea.
6.2 07.1.2 Términos y condiciones de empleo
6.3 07.2.2 Concientización, educación y capacitación sobre seguridad de la información.
6.4 07.2.3 Proceso Disciplinario
6.5 07.3.1 Responsabilidades tras el despido o cambio de empleo
6.6 13.2.4 Acuerdos de confidencialidad o no divulgación
6.7 06.2.2 Trabajo remoto
6.8 16.1.2, 16.1.3 Informes de eventos de seguridad de la información
Controles físicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
7.1 11.1.1 Perímetros de seguridad física
7.2 11.1.2, 11.1.6 Entrada física
7.3 11.1.3 Seguridad de oficinas, habitaciones e instalaciones.
7.4 NUEVO Monitoreo de seguridad física
7.5 11.1.4 Protección contra amenazas físicas y ambientales.
7.6 11.1.5 Trabajar en áreas seguras
7.7 11.2.9 Escritorio claro y pantalla clara
7.8 11.2.1 Ubicación y protección de equipos.
7.9 11.2.6 Seguridad de los activos fuera de las instalaciones
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Medios de almacenamiento
7.11 11.2.2 Servicios públicos de apoyo
7.12 11.2.3 Seguridad del cableado
7.13 11.2.4 Mantenimiento de equipo
7.14 11.2.7 Eliminación segura o reutilización del equipo
Controles Tecnológicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
8.1 06.2.1, 11.2.8 Dispositivos terminales de usuario
8.2 09.2.3 Derechos de acceso privilegiados
8.3 09.4.1 Restricción de acceso a la información
8.4 09.4.5 Acceso al código fuente
8.5 09.4.2 Autenticación segura
8.6 12.1.3 Gestión de la capacidad
8.7 12.2.1 Protección contra malware
8.8 12.6.1, 18.2.3 Gestión de vulnerabilidades técnicas.
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.13 12.3.1 Copia de seguridad de la información
8.14 17.2.1 Redundancia de instalaciones de procesamiento de información.
8.15 12.4.1, 12.4.2, 12.4.3 Inicio de sesión
8.16 NUEVO Actividades de monitoreo
8.17 12.4.4 sincronización de los relojes
8.18 09.4.4 Uso de programas de utilidad privilegiados.
8.19 12.5.1, 12.6.2 Instalación de software en sistemas operativos.
8.20 13.1.1 Seguridad en redes
8.21 13.1.2 Seguridad de los servicios de red.
8.22 13.1.3 Segregación de redes
8.23 NUEVO Filtrado Web
8.24 10.1.1, 10.1.2 Uso de criptografía
8.25 14.2.1 Ciclo de vida de desarrollo seguro
8.26 14.1.2, 14.1.3 Requisitos de seguridad de la aplicación
8.27 14.2.5 Principios de ingeniería y arquitectura de sistemas seguros
8.28 NUEVO Codificación segura
8.29 14.2.8, 14.2.9 Pruebas de seguridad en desarrollo y aceptación.
8.30 14.2.7 Desarrollo subcontratado
8.31 12.1.4, 14.2.6 Separación de los entornos de desarrollo, prueba y producción.
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestión del cambio
8.33 14.3.1 Información de prueba
8.34 12.7.1 Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

ISO 27002, La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Sam Peters

Sam es director de productos en ISMS.online y lidera el desarrollo de todas las características y funcionalidades del producto. Sam es un experto en muchas áreas de cumplimiento y trabaja con clientes en proyectos personalizados o de gran escala.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.