La seguridad de la información es un aspecto central del gobierno de datos de una organización. prácticas.
Tanto es así, que es necesario eliminar la complacencia mediante la realización de revisiones independientes periódicas de cómo una organización gestiona las personas, los procesos y las tecnologías involucradas en el mantenimiento de una seguridad de la información efectiva operación.
El Control 5.35 exige que las organizaciones lleven a cabo revisiones independientes de sus prácticas de seguridad de la información (tanto a intervalos planificados como cuando se produzcan cambios operativos importantes) para garantizar que las políticas de gestión de la seguridad de la información sean:
Control 5.35 es un preventivo y correctivo controlar eso mantiene el riesgo mediante la creación de procesos que faciliten revisiones periódicas de las prácticas de gestión de seguridad de la información de una organización.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo #Correctivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar #Proteger | #Garantía de seguridad de la información | #Gobernanza y Ecosistema |
El Control 5.35 se ocupa principalmente de cuestiones operativas. Como tal, la propiedad debe residir en el director de operaciones o el CISO (si está presente).
El objetivo general es que gestión para crear e implementar procesos que atiendan revisiones independientes de la seguridad de su información prácticas.
Las revisiones deben centrarse en cualquier cambio que sea Se requiere para mejorar el enfoque de una organización hacia la seguridad de la información.que incluyen:
Cualquier revisión debe ser realizada por una persona dentro o fuera de la organización que no tenga ningún interés personal en lo que está investigando, como por ejemplo:
Quien realice la revisión debe tener la información pertinente. competencia operativa emitir un juicio sólido sobre sus hallazgos y (en el caso del personal interno) su función laboral no debería impedirles realizar una evaluación válida y legítima.
Los resultados de la revisión deben registrarse, almacenarse e informarse minuciosamente al Gerente (o grupos de Gerentes) que la solicitaron y, en ciertos casos, al nivel C-suite o a la propiedad.
Los revisores deben tratar de establecer si las prácticas de seguridad de la información cumplen o no con los “objetivos y requisitos documentados” de la organización establecidos en la política de seguridad de la información, o cualquier política específica de un tema.
Además de las revisiones periódicas, puede ser necesario iniciar revisiones ad hoc. Estas revisiones pueden justificarse en cinco áreas clave:
El único cumplimiento
solución que necesitas
Reserva tu demostración
ISO / IEC 27007 e ISO/IEC TS 27008 contienen más orientación sobre la práctica de revisiones independientes.
27002:2022-5.35 reemplaza a 27002:2013-18.1.2 (Revisión independiente de la seguridad de la información).
27002:2022-5.35 contiene la misma orientación general que 27002:2013-18.1.2, pero va un paso más allá al estipular ejemplos específicos de cuándo una organización debe llevar a cabo revisiones ad hoc, junto con sus revisiones periódicas.
ISMS.online agiliza la ISO 27002 proceso de implementación al proporcionar un marco sofisticado basado en la nube para documentar los procedimientos y listas de verificación del sistema de gestión de seguridad de la información para garantizar el cumplimiento de estándares reconocidos.
Cuando utilizar ISMS.online, usted será capaz de:
crear un SGSI que sea compatible con ISO 27001 normas
realizar tareas y presentar pruebas para indicar que han cumplido con los requisitos de la norma.
asignar tareas y realizar un seguimiento del progreso hacia el cumplimiento de la ley.
obtenga acceso a un equipo especializado de asesores que lo ayudarán en su camino hacia el cumplimiento.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.