El ISO 27002:2022 El control 5.5 especifica que una organización debe establecer y mantener un proceso de contacto con las autoridades apropiadas de acuerdo con los requisitos legales, regulatorios y contractuales en los que opera la organización.
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria. Estos son los que se encuentran en el control 5.5.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo #Correctivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar #Proteger #Responder #Recuperar | #Gobernancia | #Defensa #Resiliencia |
No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
El propósito del Control 5.5 es garantizar que se produzca un flujo adecuado de información con respecto a la seguridad de la información entre la organización y las autoridades legales, regulatorias y de supervisión pertinentes. Debe existir un foro apropiado para el diálogo y la cooperación entre la Compañía y las autoridades legales, regulatorias y de supervisión relevantes.
El Control 5.5 cubre los requisitos, el propósito y las instrucciones de implementación sobre cómo identificar y reportar eventos de seguridad de la información en el momento oportuno, así como con quién y cómo contactar en caso de incidente.
El objetivo del control 5.5 es identificar qué partes interesadas (por ejemplo, fuerzas del orden, organismos reguladores, autoridades de supervisión) necesitarían ser contactadas en caso de un evento de seguridad. Es importante que ya haya identificado a estas partes interesadas antes de que ocurra un incidente.
Contacto con las autoridades significa que la organización debe establecer e implementar comunicación informal con las autoridades en relación con cuestiones de seguridad de la información, incluyendo:
El principal objetivo del control 5.5 es establecer la relación de la organización con los organismos encargados de hacer cumplir la ley en lo que se refiere a gestionar los riesgos de seguridad de la información.
Para cumplir con los requisitos del control 5.5, se espera que si un Se descubre incidente de seguridad de la información., la organización debe especificar cuándo y por qué autoridades (tales como autoridades encargadas de hacer cumplir la ley, organismos reguladores y autoridades de supervisión) deben ser notificadas, así como también cómo se deben informar de manera oportuna los incidentes de seguridad de la información identificados.
El intercambio de información con las autoridades también debería utilizarse para obtener un mejor conocimiento de las expectativas existentes y futuras de estas agencias (por ejemplo, las normas de seguridad de la información aplicables).
Este requisito está diseñado para garantizar que la organización tenga una estrategia coherente para su relación con los organismos encargados de hacer cumplir la ley y que haya identificado el punto de contacto más apropiado en estos organismos.
Los contactos con los organismos reguladores también son útiles para anticipar y prepararse para los próximos cambios en las leyes o regulaciones relevantes que afectan a la organización.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Control 5.5: El contacto con las autoridades no es una adición nueva en ISO 27002:2022. Es un control existente en la norma ISO 27002:2013 original con número de control 6.1.3. Esto significa que el El número de control fue cambiado en la nueva versión de ISO 27002..
Además de cambiar el número de control, también se cambió la fraseología. Donde el control 5.5 establece que “La organización debe establecer y mantener contacto con las autoridades pertinentes”. El Control 6.1.3 establece que “Deben mantenerse contactos apropiados con las autoridades pertinentes”. Este cambio de fraseología está diseñado para hacer que este control sea más fácil de usar.
En la versión 2022 se incluyó una finalidad de control. Esto no está disponible en la versión 2013.
Al mismo tiempo, si bien la esencia de ambos controles sigue siendo la misma, existen sutiles variaciones que diferencian uno de otro.
El control 5.5 en ISO 27002:2022 agrega además que los contactos con las autoridades también deben usarse para facilitar la comprensión de las expectativas actuales y futuras de estas autoridades (por ejemplo, regulaciones de seguridad de la información aplicables). Esto falta en la versión 2013.
El individuo responsable de este rol Generalmente es el Gerente de Seguridad de la Información.
Otras personas pueden realizar esta función, pero deben informar al Gerente de Seguridad de la Información para que pueda mantener la supervisión de estas actividades. Esto mantiene un mensaje coherente y garantiza una relación coherente con las autoridades.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
Cuando se publica una nueva norma de certificación, normalmente habrá un tiempo de transición. Para la mayoría de los ciclos de certificación existe un tiempo de transición de dos a tres años.
Dicho esto, la última edición de ISO 27002 es definitivamente esencial si tiene la intención de implementar un SGSI (y potencialmente incluso considerar una certificación ISMS) y debe asegurarse de que sus medidas de seguridad estén actualizadas.
Entre las actividades a realizar se encuentran, entre otras, las siguientes:
Consulte nuestra guía de ISO 27002:2022, donde podrá descubrir más sobre cómo estos cambios en el control 5.5 afectarán a su organización.
Realizar un seguimiento de los controles de seguridad de la información es uno de los aspectos más difíciles de implementar una SGSI que cumple con la norma ISO 27001. Pero nuestra plataforma basada en la nube lo hace fácil.
Nuestra plataforma basada en la nube le proporciona un marco sólido de seguridad de la información controles para que pueda verificar su proceso SGSI a medida que avanza para asegurarse de que cumple con los requisitos de ISO 27k. Usado correctamente, ISMS. online puede ayudarle a conseguir la certificación con el mínimo de tiempo y recursos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
