ISO 27002:2022, Control 5.35 – Revisión independiente de la seguridad de la información

Controles revisados ​​ISO 27002:2022

Reserve una demostración

Jóvenes,hombres y mujeres,socios,trabajo en equipo,compañerismo,en,espacio de trabajo,mientras

La seguridad de la información es un aspecto central del gobierno de datos de una organización. prácticas.

Tanto es así, que es necesario eliminar la complacencia mediante la realización de revisiones independientes periódicas de cómo una organización gestiona las personas, los procesos y las tecnologías involucradas en el mantenimiento de una seguridad de la información efectiva operación.

Propósito del Control 5.35

El Control 5.35 exige que las organizaciones lleven a cabo revisiones independientes de sus prácticas de seguridad de la información (tanto a intervalos planificados como cuando se produzcan cambios operativos importantes) para garantizar que las políticas de gestión de la seguridad de la información sean:

  • Adecuado – Tienen la capacidad de lograr la adherencia.
  • Adecuado: intentan alcanzar los objetivos correctos.
  • Efectivo: funcionan según lo previsto

Tabla de atributos

Control 5.35 es un preventivo y correctivo controlar eso mantiene el riesgo mediante la creación de procesos que faciliten revisiones periódicas de las prácticas de gestión de seguridad de la información de una organización.

Tipo de controlPropiedades de seguridad de la informaciónConceptos de ciberseguridadCapacidades operativasDominios de seguridad
#Preventivo
#Correctivo		#Confidencialidad
#Integridad
#Disponibilidad		#Identificar
#Proteger		#Garantía de seguridad de la información#Gobernanza y Ecosistema
Saltar al tema
Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Propiedad del Control 5.35

El Control 5.35 se ocupa principalmente de cuestiones operativas. Como tal, la propiedad debe residir en el director de operaciones o el CISO (si está presente).

Orientación general sobre control 5.35

El objetivo general es que gestión para crear e implementar procesos que atiendan revisiones independientes de la seguridad de su información prácticas.

Las revisiones deben centrarse en cualquier cambio que sea Se requiere para mejorar el enfoque de una organización hacia la seguridad de la información.que incluyen:

  1. El política de seguridad de la información.
  2. Políticas temáticas específicas.
  3. Controles relacionados.

Cualquier revisión debe ser realizada por una persona dentro o fuera de la organización que no tenga ningún interés personal en lo que está investigando, como por ejemplo:

  1. Auditores internos.
  2. Responsables departamentales independientes.
  3. Organizaciones de terceros.

Quien realice la revisión debe tener la información pertinente. competencia operativa emitir un juicio sólido sobre sus hallazgos y (en el caso del personal interno) su función laboral no debería impedirles realizar una evaluación válida y legítima.

Los resultados de la revisión deben registrarse, almacenarse e informarse minuciosamente al Gerente (o grupos de Gerentes) que la solicitaron y, en ciertos casos, al nivel C-suite o a la propiedad.

Los revisores deben tratar de establecer si las prácticas de seguridad de la información cumplen o no con los “objetivos y requisitos documentados” de la organización establecidos en la política de seguridad de la información, o cualquier política específica de un tema.

Además de las revisiones periódicas, puede ser necesario iniciar revisiones ad hoc. Estas revisiones pueden justificarse en cinco áreas clave:

  1. Se modifica cualquier ley, directriz o reglamento que afecte la operación de seguridad de la información de la organización.
  2. Clasificacion Mayor Se producen incidentes que tienen un impacto en la seguridad de la información. (pérdida de datos, intrusión, etc.).
  3. Se crea un nuevo negocio o se implementan cambios importantes en el negocio actual.
  4. El La organización adopta un nuevo producto o servicio que tiene seguridad de la información. implicaciones, o realiza cambios subyacentes en un producto o servicio actual.
  5. Se realizan cambios importantes en el banco de controles, políticas y procedimientos de seguridad de la información de la organización.

Conseguir una ventaja
sobre ISO 27002

El único cumplimiento
solución que necesitas
Reserva tu demostración

Obtenga una ventaja sobre ISO 27001
  • Todo actualizado con el set de control 2022.
  • Progresa un 81 % desde el momento en que inicias sesión
  • Simple y fácil de usar
Reserva tu demostración
img

Orientación complementaria

ISO / IEC 27007 e ISO/IEC TS 27008 contienen más orientación sobre la práctica de revisiones independientes.

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022-5.35 reemplaza a 27002:2013-18.1.2 (Revisión independiente de la seguridad de la información).

27002:2022-5.35 contiene la misma orientación general que 27002:2013-18.1.2, pero va un paso más allá al estipular ejemplos específicos de cuándo una organización debe llevar a cabo revisiones ad hoc, junto con sus revisiones periódicas.

Cómo ayuda ISMS.online

ISMS.online agiliza la ISO 27002 proceso de implementación al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.

Cuando utilizar ISMS.online, usted será capaz de:

crear un SGSI que sea compatible con ISO 27001 normas
realizar tareas y presentar pruebas para indicar que han cumplido con los requisitos de la norma.
asignar tareas y realizar un seguimiento del progreso hacia el cumplimiento de la ley.
obtenga acceso a un equipo especializado de asesores que lo ayudarán en su camino hacia el cumplimiento.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Mira cómo podemos ayudarte

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Nuevos controles

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.7NuevoInteligencia de amenazas
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.30NuevoPreparación de las TIC para la continuidad del negocio
7.4NuevoMonitoreo de seguridad física
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.16NuevoActividades de monitoreo
8.23NuevoFiltrado Web
8.28NuevoCodificación segura

Controles organizacionales

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
5.105.1.1, 05.1.2Políticas de seguridad de la información.
5.206.1.1Funciones y responsabilidades de seguridad de la información
5.306.1.2Segregación de deberes
5.407.2.1Responsabilidades de gestión
5.506.1.3Contacto con autoridades
5.606.1.4Contacto con grupos de intereses especiales
5.7NuevoInteligencia de amenazas
5.806.1.5, 14.1.1Seguridad de la información en la gestión de proyectos.
5.908.1.1, 08.1.2Inventario de información y otros activos asociados
5.1008.1.3, 08.2.3Uso aceptable de la información y otros activos asociados
5.1108.1.4Devolución de activos
5.12 08.2.1Clasificación de la información
5.1308.2.2Etiquetado de información
5.1413.2.1, 13.2.2, 13.2.3Transferencia de información
5.1509.1.1, 09.1.2Control de acceso
5.1609.2.1Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3Información de autenticación
5.1809.2.2, 09.2.5, 09.2.6Derechos de acceso
5.1915.1.1Seguridad de la información en las relaciones con proveedores
5.2015.1.2Abordar la seguridad de la información en los acuerdos con proveedores
5.2115.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
5.2215.2.1, 15.2.2Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23NuevoSeguridad de la información para el uso de servicios en la nube.
5.2416.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.2516.1.4Evaluación y decisión sobre eventos de seguridad de la información.
5.2616.1.5Respuesta a incidentes de seguridad de la información
5.2716.1.6Aprender de los incidentes de seguridad de la información
5.2816.1.7Recolección de evidencia
5.2917.1.1, 17.1.2, 17.1.3Seguridad de la información durante la interrupción
5.30NuevoPreparación de las TIC para la continuidad del negocio
5.3118.1.1, 18.1.5Requisitos legales, estatutarios, reglamentarios y contractuales
5.3218.1.2Derechos de propiedad intelectual
5.3318.1.3Protección de registros
5.3418.1.4Privacidad y protección de la PII
5.3518.2.1Revisión independiente de la seguridad de la información.
5.3618.2.2, 18.2.3Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.3712.1.1Procedimientos operativos documentados

Controles de personas

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
6.107.1.1examen en línea.
6.207.1.2Términos y condiciones de empleo
6.307.2.2Concientización, educación y capacitación sobre seguridad de la información.
6.407.2.3Proceso Disciplinario
6.507.3.1Responsabilidades tras el despido o cambio de empleo
6.613.2.4Acuerdos de confidencialidad o no divulgación
6.706.2.2Trabajo remoto
6.816.1.2, 16.1.3Informes de eventos de seguridad de la información

Controles físicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
7.111.1.1Perímetros de seguridad física
7.211.1.2, 11.1.6Entrada física
7.311.1.3Seguridad de oficinas, habitaciones e instalaciones.
7.4NuevoMonitoreo de seguridad física
7.511.1.4Protección contra amenazas físicas y ambientales.
7.611.1.5Trabajar en áreas seguras
7.711.2.9Escritorio claro y pantalla clara
7.811.2.1Ubicación y protección de equipos.
7.911.2.6Seguridad de los activos fuera de las instalaciones
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Medios de almacenamiento
7.1111.2.2Servicios públicos de apoyo
7.1211.2.3Seguridad del cableado
7.1311.2.4Mantenimiento de equipo
7.1411.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos

Identificador de control ISO/IEC 27002:2022Identificador de control ISO/IEC 27002:2013Nombre de control
8.106.2.1, 11.2.8Dispositivos terminales de usuario
8.209.2.3Derechos de acceso privilegiados
8.309.4.1Restricción de acceso a la información
8.409.4.5Acceso al código fuente
8.509.4.2Autenticación segura
8.612.1.3Gestión de la capacidad
8.712.2.1Protección contra malware
8.812.6.1, 18.2.3Gestión de vulnerabilidades técnicas.
8.9Nuevogestión de la configuración
8.10NuevoEliminación de información
8.11NuevoEnmascaramiento de datos
8.12NuevoPrevención de fuga de datos
8.1312.3.1Copia de seguridad de la información
8.1417.2.1Redundancia de instalaciones de procesamiento de información.
8.1512.4.1, 12.4.2, 12.4.3Inicio de sesión
8.16NuevoActividades de monitoreo
8.1712.4.4sincronización de los relojes
8.1809.4.4Uso de programas de utilidad privilegiados.
8.1912.5.1, 12.6.2Instalación de software en sistemas operativos.
8.2013.1.1Seguridad en redes
8.2113.1.2Seguridad de los servicios de red.
8.2213.1.3Segregación de redes
8.23NuevoFiltrado Web
8.2410.1.1, 10.1.2Uso de criptografía
8.2514.2.1Ciclo de vida de desarrollo seguro
8.2614.1.2, 14.1.3Requisitos de seguridad de la aplicación
8.2714.2.5Principios de ingeniería y arquitectura de sistemas seguros
8.28NuevoCodificación segura
8.2914.2.8, 14.2.9Pruebas de seguridad en desarrollo y aceptación.
8.3014.2.7Desarrollo subcontratado
8.3112.1.4, 14.2.6Separación de los entornos de desarrollo, prueba y producción.
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestión del cambio
8.3314.3.1Información de prueba
8.3412.7.1Protección de los sistemas de información durante las pruebas de auditoría.
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.
Emmie Cooney
Gerente de Operaciones Amigo
El 100% de nuestros usuarios aprueban la certificación a la primera
Reserva tu demostración

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más