Control 27002 de la norma ISO 5.35: Por qué son importantes las revisiones de seguridad independientes
La seguridad de la información es un aspecto central del gobierno de datos de una organización. prácticas.
Tanto es así, que es necesario eliminar la complacencia mediante la realización de revisiones independientes periódicas de cómo una organización gestiona las personas, los procesos y las tecnologías involucradas en el mantenimiento de una seguridad de la información efectiva operación.
Propósito del Control 5.35
El Control 5.35 exige que las organizaciones lleven a cabo revisiones independientes de sus prácticas de seguridad de la información (tanto a intervalos planificados como cuando se produzcan cambios operativos importantes) para garantizar que las políticas de gestión de la seguridad de la información sean:
- Adecuado – Tienen la capacidad de lograr la adherencia.
- Adecuado: intentan alcanzar los objetivos correctos.
- Efectivo: funcionan según lo previsto
Tabla de atributos
Control 5.35 es un preventivo y correctivo controlar eso mantiene el riesgo mediante la creación de procesos que faciliten revisiones periódicas de las prácticas de gestión de seguridad de la información de una organización.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Garantía de seguridad de la información | #Gobernanza y Ecosistema |
| #Correctivo | #Integridad | #Proteger | ||
| #Disponibilidad |
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Propiedad del Control 5.35
El Control 5.35 se ocupa principalmente de cuestiones operativas. Como tal, la propiedad debe residir en el director de operaciones o el CISO (si está presente).
Orientación general sobre control 5.35
El objetivo general es que gestión para crear e implementar procesos que atiendan revisiones independientes de la seguridad de su información prácticas.
Las revisiones deben centrarse en cualquier cambio que sea Se requiere para mejorar el enfoque de una organización hacia la seguridad de la información.que incluyen:
- El elemento política de seguridad de la información.
- Políticas temáticas específicas.
- Controles relacionados.
Cualquier revisión debe ser realizada por una persona dentro o fuera de la organización que no tenga ningún interés personal en lo que está investigando, como por ejemplo:
- Auditores internos.
- Responsables departamentales independientes.
- Organizaciones de terceros.
Quien realice la revisión debe tener la información pertinente. competencia operativa emitir un juicio sólido sobre sus hallazgos y (en el caso del personal interno) su función laboral no debería impedirles realizar una evaluación válida y legítima.
Los resultados de la revisión deben registrarse, almacenarse e informarse minuciosamente al Gerente (o grupos de Gerentes) que la solicitaron y, en ciertos casos, al nivel C-suite o a la propiedad.
Los revisores deben tratar de establecer si las prácticas de seguridad de la información cumplen o no con los “objetivos y requisitos documentados” de la organización establecidos en la política de seguridad de la información, o cualquier política específica de un tema.
Además de las revisiones periódicas, puede ser necesario iniciar revisiones ad hoc. Estas revisiones pueden justificarse en cinco áreas clave:
- Se modifica cualquier ley, directriz o reglamento que afecte la operación de seguridad de la información de la organización.
- Sistemas fluviales Se producen incidentes que tienen un impacto en la seguridad de la información. (pérdida de datos, intrusión, etc.).
- Se crea un nuevo negocio o se implementan cambios importantes en el negocio actual.
- El elemento La organización adopta un nuevo producto o servicio que tiene seguridad de la información. implicaciones, o realiza cambios subyacentes en un producto o servicio actual.
- Se realizan cambios importantes en el banco de controles, políticas y procedimientos de seguridad de la información de la organización.
Orientación complementaria
ISO / IEC 27007 e ISO/IEC TS 27008 contienen más orientación sobre la práctica de revisiones independientes.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022-5.35 reemplaza a 27002:2013-18.1.2 (Revisión independiente de la seguridad de la información).
27002:2022-5.35 contiene la misma orientación general que 27002:2013-18.1.2, pero va un paso más allá al estipular ejemplos específicos de cuándo una organización debe llevar a cabo revisiones ad hoc, junto con sus revisiones periódicas.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
ISMS.online agiliza la ISO 27002, proceso de implementación al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.
Cuando utilizar ISMS.online, usted será capaz de:
crear un SGSI que sea compatible con ISO 27001, normas
realizar tareas y presentar pruebas para indicar que han cumplido con los requisitos de la norma.
asignar tareas y realizar un seguimiento del progreso hacia el cumplimiento de la ley.
obtenga acceso a un equipo especializado de asesores que lo ayudarán en su camino hacia el cumplimiento.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
