Los registros son un concepto nebuloso que algunas organizaciones luchan por clasificar y gestionar con fines de cumplimiento.
Los registros, dentro del alcance de las TIC, son otro término para los datos y la información que una organización retiene y/o utiliza para llevar a cabo sus actividades comerciales diarias, que incluyen (pero no se limitan a):
ISO define los registros en el alcance de sus normas como "cualquier conjunto de información, independientemente de su estructura o forma", incluido "un documento, una colección de datos u otros tipos de información que se crean, capturan y gestionan en el curso del negocio". ”, incluidos los metadatos de un registro.
Cualquier organización tiene la obligación de garantizar que los datos que posee (incluidos, entre otros, cualquier persona, información financiera) información o áreas de operación – se mantiene segura y protegiday los procedimientos internos siguen cumpliendo con todos los requisitos vigentes.
El Control 5.33 se ocupa de la protección de los registros comerciales contra 5 eventos principales:
Control 5.33 es un control preventivo esa mantiene el riesgo mediante la creación de directrices y procedimientos (incluidos programas de retención) que cumplan con los requisitos legales, estatutarios, reglamentarios y contractuales de una organización relacionados con la Protección y disponibilidad de cualquier registro que posea.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar #Proteger | #Legal y Cumplimiento #Gestión de activos #Protección de la información | #Defensa |
El Control 5.33 reconoce que un Las necesidades de la organización son fluidas. cuando se trata de la cantidad y tipo de registros que se requieren para hacer negocios de un día para otro.
Como tal, Control 5.33 categoriza la gestión de registros en 4 atributos principales:
Dentro del alcance de estos atributos, el Control 5.33 pide a las organizaciones que:
27002:2022-5.33 reemplaza a 27002:2013-18.1.3 (Protección de registros), con varias adiciones en forma de puntos de orientación individuales y procesos generales que deben cumplirse.
En el control de 2022, ISO reconoce la importancia de definir qué constituye un registro comercial. 27002:2022-5.33 contiene numerosos ejemplos de lo que ISO considera un registro (ver arriba), que están ausentes en 27002:2013-18.1.3.
El Control 5.33 también centra la atención de una organización en dos puntos de orientación principales que no están contenidos en su contraparte de 2013 (pautas 1 y 2 anteriores), que a su vez forman la base de la política de registros de una organización, en particular, un cronograma de retención que dicta cómo Se deben mantener registros extensos y cualquier requisito específico del medio.
Los metadatos también han aparecido por primera vez en la gestión documental. 27002:2013-18.1.3 no lo menciona, mientras que 27002:2022-5.33 lo considera un “componente esencial”.
Usando ISMS.online usted puede:
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |