Información de identificación personal (PII) es cualquier dato que confirme la identidad de un individuo.
La PII de una persona puede incluir su:
La PII forma una parte clave de la estrategia de gobernanza de datos de una organización y conlleva una serie de riesgos regulatorios, legislativos y contractuales únicos.
El Control 5.34 trata la PII de tres maneras distintas:
Control 5.34 es un control preventivo esa mantiene el riesgo mediante la creación de directrices y procedimientos que cumplan con los requisitos legales, estatutarios, reglamentarios y contractuales de una organización relacionados con la STORAGE, política de privacidad y Protección de PII en todas sus formas.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar #Proteger | #Protección de la información #Legal y Cumplimiento | #Proteccion |
El Control 5.34 nombra explícitamente al Oficial de Privacidad delegado de una organización (o equivalente organizacional) como la persona que debe supervisar el cumplimiento de la PII.
Las organizaciones deben tratar la PII como una función empresarial específica de un tema y desarrollar políticas que sean exclusivas de su organización y las categorías de PII que sean más comunes en su operación diaria.
En primer lugar, la organización debe redactar, desarrollar e implementar una serie de políticas que atiendan a la preservación, privacidad y protección de la PII, y garantizar que sean comunicadas y utilizadas por todos los empleados que procesan la PII, no solo aquellos que están obligados a hacerlo. abordarlo como parte de sus funciones laborales.
La PII debe gestionarse de forma estructurada, clara y concisa. Para lograr esto, Control 5.34 pide organizaciones para redactar políticas que consideren roles y responsabilidades individuales y controles de datos en toda su organización.
La forma más fácil y eficiente de lograrlo es adoptar un enfoque de arriba hacia abajo que incluya un Oficial de Privacidad, cuyo trabajo es brindar orientación a los empleados y organizaciones de terceros sobre el tema de la PII, y ofrecer asesoramiento a la alta dirección sobre cómo seguir cumpliendo con las obligaciones de la organización.
Además de las directrices reglamentarias, legislativas y contractuales, La organización también debe implementar medidas técnicas y operativas. que se ocupan del manejo práctico de la PII tal como se almacena y fluye a través de la empresa.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
La legislación sobre PII varía de un país a otro, incluso dentro de territorios que contienen administraciones descentralizadas o gobiernos no federales.
Las organizaciones deben auditar sus requisitos de procesamiento de PII y considerar cualquier implicación transfronteriza que surja de la recopilación, procesamiento o distribución de PII dentro de jurisdicciones separadas.
Aunque que la ISO 27002:2022 no ofrece ninguna orientación adicional sobre cómo lograr esto, varios documentos ISO detallan más el asunto, que incluyen:
27002:2022-5.34 reemplaza a 27002:2013-18.1.4 (Privacidad y protección de información de identificación personal).
27002:2022-5.34 es casi una copia al carbón de su predecesor de 2013, con dos excepciones notables.
Nuestra plataforma basada en la nube le proporciona un marco sólido de controles de seguridad de la información para que pueda enumere su proceso SGSI a medida que avanza para garantizar que cumple con los requisitos de ISO 27k. Usado correctamente, ISMS. lata en línea ayudarle a obtener la certificación con el mínimo de tiempo y recursos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
