Una parte clave de operar con un sistema robusto, conjunto seguro de prácticas de seguridad de la información es la necesidad de seguir cumpliendo con las políticas y procedimientos publicados.
El Control 5.36 requiere que las organizaciones obtengan una visión de arriba hacia abajo vista de la seguridad de la información cumplimiento, en relación con sus diversas políticas (tanto singulares como temáticas), reglas y estándares.
Control 5.36 es un preventivo y correctivo controlar eso modifica el riesgo manteniendo la adherencia a lo preexistente. políticas y procedimientos en el ámbito de la seguridad de la información.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar #Proteger | #Legal y Cumplimiento #Garantía de seguridad de la información | #Gobernanza y Ecosistema |
El Control 5.36 se ocupa principalmente de cuestiones operativas. Como tal, la propiedad debe residir en el director de operaciones o el CISO (si está presente).
Gestores y propietarios de la información. (incluidos los propietarios de servicios y productos) deberían poder revisar el cumplimiento en todo el banco de políticas, reglas y estándares de seguridad de la información de una organización.
Los gerentes deben implementar métodos de presentación de informes específicos del negocio (incorporando cualquier herramienta técnica que sea necesaria) sobre el cumplimiento de la seguridad de la información, con el objetivo general de realizar revisiones periódicas (que se registren, almacenen e informen minuciosamente) que resalten áreas de mejora.
Si se descubren problemas y se encuentran casos de incumplimiento, los gerentes deberían poder hacer lo siguiente:
Las acciones correctivas deben tomarse “oportunamente”, e idealmente antes de la próxima revisión. Si las acciones no se han completado para cuando llegue la próxima revisión, los gerentes deberían poder evidenciar al menos el progreso.
27002:2022-5.36 reemplaza dos controles de 27002:2013, a saber:
27002:2022-5.36 condensa toda la compleja orientación técnica ofrecida en 27002:2013-18.2.3, simplemente afirmando que los gerentes deberían poder revisar el cumplimiento siempre que sea necesario.
27002:2022-5.36 contiene precisamente el mismo conjunto de puntos de orientación que 27002:2013-18.2.2, relacionados con la acciones que se requieren cuando una revisión detecta casos de incumplimiento.
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
