Protección de información de identificación personal: mejores prácticas según el control 27002 de la norma ISO 5.34
Información de identificación personal (PII) es cualquier dato que confirme la identidad de un individuo.
La PII de una persona puede incluir su:
- Dirección
- Número de seguro nacional o número de seguridad social
- Licencia de conducir
- Información financiera, incluidas cuentas bancarias.
- Registros médicos.
La PII forma una parte clave de la estrategia de gobernanza de datos de una organización y conlleva una serie de riesgos regulatorios, legislativos y contractuales únicos.
El Control 5.34 trata la PII de tres maneras distintas:
- Preservación
- Privacidad
- Protection
Propósito del Control 5.34
Control 5.34 es un control preventivo que mantiene el riesgo mediante la creación de directrices y procedimientos que cumplan con los requisitos legales, estatutarios, reglamentarios y contractuales de una organización relacionados con la STORAGE, política de privacidad y Protección de PII en todas sus formas.
Atributos de Control 5.34
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Protección de la información | #Proteccion |
| #Integridad | #Proteger | #Legal y Cumplimiento | ||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 5.34
El Control 5.34 nombra explícitamente al Oficial de Privacidad delegado de una organización (o equivalente organizacional) como la persona que debe supervisar el cumplimiento de la PII.
Orientación general sobre control 5.34
Las organizaciones deben tratar la PII como una función empresarial específica de un tema y desarrollar políticas que sean exclusivas de su organización y las categorías de PII que sean más comunes en su operación diaria.
En primer lugar, la organización debe redactar, desarrollar e implementar una serie de políticas que atiendan a la preservación, privacidad y protección de la PII, y garantizar que sean comunicadas y utilizadas por todos los empleados que procesan la PII, no solo aquellos que están obligados a hacerlo. abordarlo como parte de sus funciones laborales.
La PII debe gestionarse de forma estructurada, clara y concisa. Para lograr esto, Control 5.34 pide organizaciones para redactar políticas que consideren roles y responsabilidades individuales y controles de datos en toda su organización.
La forma más fácil y eficiente de lograrlo es adoptar un enfoque de arriba hacia abajo que incluya un Oficial de Privacidad, cuyo trabajo es brindar orientación a los empleados y organizaciones de terceros sobre el tema de la PII, y ofrecer asesoramiento a la alta dirección sobre cómo seguir cumpliendo con las obligaciones de la organización.
Además de las directrices reglamentarias, legislativas y contractuales, La organización también debe implementar medidas técnicas y operativas. que se ocupan del manejo práctico de la PII tal como se almacena y fluye a través de la empresa.
Orientación complementaria
La legislación sobre PII varía de un país a otro, incluso dentro de territorios que contienen administraciones descentralizadas o gobiernos no federales.
Las organizaciones deben auditar sus requisitos de procesamiento de PII y considerar cualquier implicación transfronteriza que surja de la recopilación, procesamiento o distribución de PII dentro de jurisdicciones separadas.
Aunque que la ISO 27002:2022 no ofrece ninguna orientación adicional sobre cómo lograr esto, varios documentos ISO detallan más el asunto, que incluyen:
- ISO/IEC 29100 (protección de PII dentro de sistemas TIC)
- ISO/IEC 27701 (sistemas de gestión de información privada)
- ISO/IEC 27018 (PII dentro de la infraestructura de nube pública)
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022-5.34 reemplaza a 27002:2013-18.1.4 (Privacidad y protección de información de identificación personal).
27002:2022-5.34 es casi una copia al carbón de su predecesor de 2013, con dos excepciones notables.
- 27002:2022-5.34 pide a las organizaciones que consideren una política de tema específico al formular e implementar políticas y procedimientos de PII.
- 27002:2022-5.34 pone más énfasis en la preservación de PII (como se indica en el título del control), junto con pautas estándar de privacidad y protección.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
Nuestra plataforma basada en la nube le proporciona un marco sólido de controles de seguridad de la información para que pueda enumere su proceso SGSI a medida que avanza para garantizar que cumple con los requisitos de ISO 27k. Usado correctamente, ISMS. lata en línea ayudarle a obtener la certificación con el mínimo de tiempo y recursos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
