¿Qué es el Control? 5.4 Responsabilidades de la Gerencia
¿Qué es una política de seguridad de la información?
An La política de seguridad de la información es un documento formal. que proporciona dirección de gestión, objetivos y principios para proteger la información de una organización. Un política eficaz de seguridad de la información Debe adaptarse a las necesidades específicas de una organización y contar con el apoyo de la alta dirección para garantizar la asignación adecuada de recursos.
La política comunica los principios generales sobre cómo la gerencia quisiera que los empleados manejaran los datos confidenciales y cómo La empresa protegerá sus activos de información..
La política a menudo se deriva de leyes, regulaciones y mejores prácticas que la organización debe cumplir. Las políticas de seguridad de la información suelen ser creadas por la alta dirección de una organización, con aportaciones de su personal de seguridad de TI.
Las políticas también deberían incluir un marco para definir roles y responsabilidades y un cronograma para la revisión periódica.
Tabla de atributos
Los atributos son una forma de categorizar diferentes tipos de controles. Estos atributos le permiten alinear sus controles con los estándares de la industria. En el control 5.4 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Gobernancia | #Gobernanza y Ecosistema |
| #Integridad | ||||
| #Disponibilidad |
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Cuál es el propósito del Control 5.4?
El Control 5.4 fue diseñado para Asegúrese de que la dirección comprenda su responsabilidad en la seguridad de la información y que tome medidas para garantizar que todos los empleados estén conscientes. y cumplir con sus obligaciones de seguridad de la información.
Control 5.4 Explicado
La información es un activo valioso y debe protegerse contra pérdida, daño o mal uso. La organización debe garantizar que se toman las medidas adecuadas para proteger este activo. Para que esto suceda, la dirección debe garantizar que todo el personal aplique todas las políticas de seguridad de la información, las políticas y los procedimientos específicos de cada tema de la organización.
El Control 5.4 cubre el propósito y la guía de implementación para definir la responsabilidad de la gestión con respecto a la seguridad de la información en una organización de acuerdo con el marco de la norma ISO 27001.
Este control se centra en garantizar que la dirección esté comprometida con el programa de seguridad de la información y que todos los empleados y contratistas conozcan y cumplan la política de seguridad de la información de la organización. Nadie debe estar exento del cumplimiento obligatorio de las políticas de seguridad de la organización, así como de las políticas y procedimientos específicos sobre cada tema.
Qué implica y cómo cumplir los requisitos
La clave para cumplir con los requisitos de este control es garantizar que la administración sea capaz de obligar a todo el personal relevante a adherirse a las políticas, estándares y procedimientos de seguridad de la información de la organización.
El primer paso es la aceptación y el apoyo de la dirección. La dirección debe demostrar su compromiso. siguiendo todas las políticas y procedimientos que implementa. Por ejemplo, si requiere que los trabajadores tomen conciencia de seguridad anualmente cursos de formación, los gerentes deben predicar con el ejemplo y completar esos cursos primero.
Luego viene comunicar la importancia de la seguridad de la información a todos los miembros de la empresa, independientemente de su función. Esto incluye a la junta directiva, los ejecutivos y la gerencia, así como a los empleados. Todos deben comprender su papel en el mantenimiento de la Seguridad de datos confidenciales según lo cubierto en el SGSI de la empresa. programas.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Diferencias entre ISO 27002:2013 e ISO 27002:2022
Control ISO 27002:2022 5.4 Responsabilidades de Gestión se conocía anteriormente como control 7.2.1 Responsabilidades de Gestión en ISO 27002:2013. Este no es un control nuevo sino una interpretación más sólida de la versión 2013.
Si bien el control 5.4 y el control 7.2.1 cubren en términos generales lo mismo, existen pocas diferencias que las organizaciones y los gerentes comerciales deben tener en cuenta. Estas diferencias se tratan en la guía de implementación del control.
Control 5.4 Comparación de las pautas de implementación de ISO 27002:2013-2022
En ISO 27002: 2013, las responsabilidades de gestión cubren garantizar que los empleados y contratistas:
a) están adecuadamente informados sobre sus roles y responsabilidades de seguridad de la información antes de que se le conceda acceso a información o sistemas de información confidenciales;
b) reciben pautas para establecer las expectativas de seguridad de la información de su rol dentro del
Organización;
c) están motivados para cumplir con las políticas de seguridad de la información de la organización;
d) alcanzar un nivel de conciencia sobre la seguridad de la información relevante para sus roles y responsabilidades dentro de la organización;
e) ajustarse a los términos y condiciones de empleo, que incluyen la política de seguridad de la información de la organización y los métodos de trabajo apropiados;
f) seguir teniendo las capacidades y cualificaciones adecuadas y recibir educación periódicamente;
g) cuentan con un canal de denuncia anónimo para informar violaciones de las políticas o procedimientos de seguridad de la información (“denuncia de irregularidades”).
La dirección debe demostrar apoyo a las políticas, procedimientos y controles de seguridad de la información y actuar como modelo a seguir.
Control 5.4 es una versión más fácil de usar y requiere que las responsabilidades de gestión garantiza que los empleados y contratistas:
a) Están adecuadamente informados sobre sus funciones y responsabilidades en materia de seguridad de la información antes de que se les conceda acceso a la información de la organización y otros activos asociados;
b) Se les proporcionan directrices que establecen las expectativas de seguridad de la información de su función dentro de la organización;
c) Tienen el mandato de cumplir con la política de seguridad de la información y las políticas temáticas específicas de la organización;
d) Alcanzar un nivel de conciencia sobre la seguridad de la información relevante para sus roles y responsabilidades dentro de la organización;
e) Cumplimiento de los términos y condiciones de empleo, contrato o acuerdo, incluida la política de seguridad de la información de la organización y los métodos de trabajo adecuados;
f) Continuar teniendo las habilidades y calificaciones adecuadas en seguridad de la información a través de una educación profesional continua;
g) Cuando sea posible, se les proporciona un canal confidencial para informar violaciones de la política de seguridad de la información, políticas de temas específicos o procedimientos para la seguridad de la información (“denuncia de irregularidades”). Esto puede permitir la presentación de informes anónimos, o tener disposiciones para garantizar que el conocimiento de la identidad del denunciante sea conocido sólo por quienes necesitan ocuparse de dichos informes;
h) Se les proporciona recursos adecuados y tiempo de planificación de proyectos para implementar los procesos y controles relacionados con la seguridad de la organización.
Como puede ver, ISO 27002:2022 requiere específicamente que para ejecutar los procedimientos y controles relacionados con la seguridad de la organización, los trabajadores y contratistas reciban los recursos necesarios, así como el tiempo de planificación del proyecto.
La redacción de algunas de las directrices de implementación de ISO 27002:2013 frente a ISO 27002:2020 también se vio afectada. Mientras que la pauta C de la versión de 2013 establece que los empleados y contratistas deben ser "motivados" para adoptar las políticas SGSI de la empresa, la versión 2022 utiliza la palabra "obligatorio".
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Quién está a cargo de este proceso?
La respuesta a esta pregunta es bastante simple: ¡la dirección! Es responsabilidad de la dirección garantizar que se implemente un SGSI (Sistema de gestión de seguridad de la información) adecuado.
Esto normalmente está respaldado por el nombramiento de un gerente de seguridad de la información debidamente calificado y con experiencia, quien será responsable ante la alta dirección por el desarrollo, implementación, gestión y mejora continua del SGSI.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
Uno de los mayores desafíos a la hora de implementar una SGSI alineado con ISO 27001 se mantiene al tanto de los controles de seguridad de su información. Nuestro sistema lo hace fácil.
Entendemos la importancia de protegiendo los datos de su organización y reputación. Es por eso que nuestra plataforma basada en la nube está diseñada para simplificar la implementación de ISO 27001, brindarle un marco sólido de controles de seguridad de la información y ayudarlo a lograr la certificación con recursos y tiempo mínimos.
Hemos incluido una variedad de fácil de usar funciones y kits de herramientas en nuestra plataforma para ahorrarle tiempo y garantizar que está creando un SGSI realmente sólido. Con SGSI.online, puede obtener fácilmente la certificación ISO 27001 y luego administrarla fácilmente.
Contacto .
