El control 5.37 trata de la concepto de seguridad de la información como una actividad operativa, cuyos elementos constitutivos son realizados y/o gestionados por una o más personas.
El Control 5.37 describe una serie de procedimientos operativos que aseguran una seguridad de la información de la organización instalación sigue siendo eficiente y segura, y en línea con sus requisitos documentados.
Control 5.37 es un preventivo y correctivo controlar eso mantiene el riesgo mediante la creación de un banco de trámites asociados a una seguridad de la información de la organización actividades.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo #Correctivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger #Recuperar | #Gestión de activos #Seguridad física #Seguridad del sistema y de la red #Seguridad de aplicaciones #Configuración segura #Gestión de identidad y acceso #Gestión de amenazas y vulnerabilidades #Continuidad #Gestión de eventos de seguridad de la información | #Gobernanza y Ecosistema #Proteccion #Defensa |
El Control 5.37 aborda un conjunto diverso de circunstancias que tienen el potencial de incluir múltiples departamentos y roles laborales bajo el ámbito de procedimientos operativos documentados. Dicho esto, se puede asumir con seguridad que la mayoría de los procedimientos afectarán al personal, los equipos y los sistemas de TIC.
Cuando esto ocurra, la propiedad debe residir en un miembro superior del equipo de gestión responsable de todas las actividades relacionadas con las TIC, como un jefe de TI.
Se deben crear procedimientos para las actividades relacionadas con la seguridad de la información. de acuerdo con 5 consideraciones operativas clave:
Cuando ocurran estos casos, los procedimientos operativos documentados deben describir claramente:
Todos los procedimientos anteriores deben estar sujetos a revisiones periódicas y/o ad hoc, cuando sea necesario, y todos los cambios deben ser ratificados por la Gerencia de manera oportuna para salvaguardar la actividad de seguridad de la información en toda la organización.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
27002:2022-5.37 reemplaza a 27002:2013-12.1.1 (Procedimientos operativos documentados).
27002:2022-5.37 amplía 27002:2013-12.1.1 al ofrecer un conjunto mucho más amplio de circunstancias que justificarían el cumplimiento de un procedimiento de documento.
27002:2013-12.1.1 enumera actividades de procesamiento de información, como procedimientos de inicio y cierre de computadoras, copias de seguridad, mantenimiento de equipos, manejo de medios, mientras que 27002:2022-5.37 amplía el mandato del control a actividades generalizadas que no se limitan a actividades específicas. funciones técnicas.
Aparte de algunas adiciones menores, como la categorización de las personas responsables de una actividad, 27002:2022-5.37 contiene los mismos puntos de orientación generales que 27002:2013-12.1.1.
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |