¿Qué es el Control 5.5 Contacto con las Autoridades?
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria. Estos son los que se encuentran en el control 5.5.
Atributos de Control 5.5
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Identificar | #Gobernancia | #Defensa |
| #Correctivo | #Integridad | #Proteger | #Resiliencia | |
| #Disponibilidad | #Responder | |||
| #Recuperar |
¿Cuál es el propósito del Control 5.5?
El propósito del Control 5.5 es garantizar que se produzca un flujo adecuado de información con respecto a la seguridad de la información entre la organización y las autoridades legales, regulatorias y de supervisión pertinentes. Debe existir un foro apropiado para el diálogo y la cooperación entre la Compañía y las autoridades legales, regulatorias y de supervisión relevantes.
El Control 5.5 cubre los requisitos, el propósito y las instrucciones de implementación sobre cómo identificar y reportar eventos de seguridad de la información en el momento oportuno, así como con quién y cómo contactar en caso de incidente.
El objetivo del control 5.5 es identificar qué partes interesadas (por ejemplo, fuerzas del orden, organismos reguladores, autoridades de supervisión) necesitarían ser contactadas en caso de un evento de seguridad. Es importante que ya haya identificado a estas partes interesadas antes de que ocurra un incidente.
Contacto con las autoridades significa que la organización debe establecer e implementar comunicación informal con las autoridades en relación con cuestiones de seguridad de la información, incluyendo:
- Comunicación continua con las autoridades pertinentes para garantizar que la organización es consciente de las amenazas y vulnerabilidades actuales.
- Informar a las autoridades pertinentes sobre las vulnerabilidades descubiertas en los productos, servicios o sistemas de la organización.
- Recibir información de las autoridades pertinentes sobre amenazas y vulnerabilidades.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
Qué implica y cómo cumplir los requisitos
El principal objetivo del control 5.5 es establecer la relación de la organización con los organismos encargados de hacer cumplir la ley en lo que se refiere a gestionar los riesgos de seguridad de la información.
Para cumplir con los requisitos del control 5.5, se espera que si un Se descubre incidente de seguridad de la información., la organización debe especificar cuándo y por qué autoridades (tales como autoridades encargadas de hacer cumplir la ley, organismos reguladores y autoridades de supervisión) deben ser notificadas, así como también cómo se deben informar de manera oportuna los incidentes de seguridad de la información identificados.
El intercambio de información con las autoridades también debería utilizarse para obtener un mejor conocimiento de las expectativas existentes y futuras de estas agencias (por ejemplo, las normas de seguridad de la información aplicables).
Este requisito está diseñado para garantizar que la organización tenga una estrategia coherente para su relación con los organismos encargados de hacer cumplir la ley y que haya identificado el punto de contacto más apropiado en estos organismos.
Los contactos con los organismos reguladores también son útiles para anticipar y prepararse para los próximos cambios en las leyes o regulaciones relevantes que afectan a la organización.
Diferencias entre ISO 27002:2013 e ISO 27002:2022
Control 5.5: El contacto con las autoridades no es una adición nueva en ISO 27002:2022. Es un control existente en la norma ISO 27002:2013 original con número de control 6.1.3. Esto significa que el El número de control fue cambiado en la nueva versión de ISO 27002..
Además de cambiar el número de control, también se cambió la fraseología. Donde el control 5.5 establece que “La organización debe establecer y mantener contacto con las autoridades pertinentes”. El Control 6.1.3 establece que “Deben mantenerse contactos apropiados con las autoridades pertinentes”. Este cambio de fraseología está diseñado para hacer que este control sea más fácil de usar.
En la versión 2022 se incluyó una finalidad de control. Esto no está disponible en la versión 2013.
Al mismo tiempo, si bien la esencia de ambos controles sigue siendo la misma, existen sutiles variaciones que diferencian uno de otro.
El control 5.5 en ISO 27002:2022 agrega además que los contactos con las autoridades también deben usarse para facilitar la comprensión de las expectativas actuales y futuras de estas autoridades (por ejemplo, regulaciones de seguridad de la información aplicables). Esto falta en la versión 2013.
¿Quién está a cargo de este proceso?
La individuo responsable de este rol Generalmente es el Gerente de Seguridad de la Información.
Otras personas pueden realizar esta función, pero deben informar al Gerente de Seguridad de la Información para que pueda mantener la supervisión de estas actividades. Esto mantiene un mensaje coherente y garantiza una relación coherente con las autoridades.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué significan estos cambios para usted?
Cuando se publica una nueva norma de certificación, normalmente habrá un tiempo de transición. Para la mayoría de los ciclos de certificación existe un tiempo de transición de dos a tres años.
Dicho esto, la última edición de ISO 27002 es definitivamente esencial si tiene la intención de implementar un SGSI (y potencialmente incluso considerar una certificación ISMS) y debe asegurarse de que sus medidas de seguridad estén actualizadas.
Entre las actividades a realizar se encuentran, entre otras, las siguientes:
- Adquirir el estándar más reciente.
- Examine el nuevo estándar para ver cómo ha cambiado. La norma proporcionará una tabla de mapeo que mostrará cómo la nueva norma corresponde a la norma ISO 27002:2013.
- Llevar a cabo un análisis de riesgos así como un análisis de brechas de control.
Seleccione los controles que sean relevantes y cambie su Políticas, estándares y otra documentación del SGSI. - Realice los cambios necesarios en su Declaración de aplicabilidad.
- Debe revisar su programa de auditoría interna para reflejar los controles mejorados que ha elegido.
Consulte nuestra guía de ISO 27002:2022, donde podrá descubrir más sobre cómo estos cambios en el control 5.5 afectarán a su organización.
Nuevos controles ISO 27002
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | NUEVO | Inteligencia de amenazas |
| 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 8.9 | NUEVO | gestión de la configuración |
| 8.10 | NUEVO | Eliminación de información |
| 8.11 | NUEVO | Enmascaramiento de datos |
| 8.12 | NUEVO | Prevención de fuga de datos |
| 8.16 | NUEVO | Actividades de monitoreo |
| 8.23 | NUEVO | Filtrado Web |
| 8.28 | NUEVO | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | NUEVO | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Cómo ayuda ISMS.online
Realizar un seguimiento de los controles de seguridad de la información es uno de los aspectos más difíciles de implementar una SGSI que cumple con la norma ISO 27001. Pero nuestra plataforma basada en la nube lo hace fácil.
Nuestra plataforma basada en la nube le proporciona un marco sólido de seguridad de la información controles para que pueda verificar su proceso SGSI a medida que avanza para asegurarse de que cumple con los requisitos de ISO 27k. Usado correctamente, ISMS. online puede ayudarle a conseguir la certificación con el mínimo de tiempo y recursos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
