El control 5.6 en la norma ISO 27002:2022 recientemente revisada o el control 6.1.4 en ISO 27002:2013 recomienda que las organizaciones establezcan y mantengan contacto con grupos de intereses especiales u otros foros especializados en seguridad y asociaciones profesionales.
En general, un grupo de interés especial puede definirse como una asociación de personas u organizaciones con interés o trabajando en un determinado campo de especialización, donde los miembros cooperan o trabajan para resolver problemas. generar solucionesy adquirir conocimientos. En nuestra situación, esta área de especialización sería la seguridad de la información.
Los fabricantes, los foros especializados y los grupos profesionales son ejemplos de este tipo de entidades. El gobierno también es un ejemplo de grupo de interés especial.
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria. Los atributos para el control 5.6 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo #Correctivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger #Responder #Recuperar | #Gobernancia | #Defensa |
Hoy en día, la mayoría de las organizaciones tienen algún tipo de relación con grupos de intereses especiales. Puede ser un grupo de clientes, un grupo de proveedores o un grupo que tiene alguna influencia en la organización. El propósito del control 5.6 es garantizar que se lleve a cabo un flujo apropiado de información con respecto a la seguridad de la información entre estos grupos de intereses especiales.
El Control 5.6 cubre los requisitos, el propósito y las pautas de implementación sobre cómo establecer contacto con grupos de intereses especiales para garantizar que su organización participe activamente en contactos y consultas regulares con las autoridades pertinentes. stakeholders y partes interesadas, incluidos los consumidores y sus representantes, proveedores, socios y el gobierno para mejorar sus capacidades de seguridad de la información.
Es posible que estas organizaciones puedan identificar peligros de seguridad que usted haya ignorado. Como asociación, ambas partes pueden beneficiarse del conocimiento mutuo en términos de nuevas ideas y mejores prácticas, lo cual es un escenario en el que todos ganan.
Además, estos grupos pueden proporcionar sugerencias o recomendaciones útiles sobre prácticas, procedimientos o tecnologías de seguridad que pueden hacer que su sistema sea más seguro sin dejar de funcionar. logrando sus objetivos de negocio.
Cuando se trata de cumplir con los requisitos para Control 5.6 en ISO 27002:2022, es importante que las organizaciones sigan las pautas de implementación definidas por el estándar.
Según el control 5.6, la membresía en grupos o foros de intereses especiales debería ser un medio para:
El Conjunto de normas ISO/IEC 27000 requiere que se establezca y mantenga un sistema de gestión de seguridad de la información (SGSI). El Control 5.6 es una parte crucial de este proceso. El contacto con grupos de intereses especiales es importante ya que puede brindarle una manera de recibir comentarios de sus pares sobre la efectividad de sus procesos de seguridad de la información.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Tómate 30 minutos para ver cómo ISMS.online te ahorra horas (¡y horas!)
Agende una reuniónSegún ya se ha dicho, el control 5.6 en ISO 27002:2022, “Contacto con grupos de interés especial”, no es un control nuevo. Esta es esencialmente una versión modificada del control 6.1.4, que se puede encontrar en ISO 27002:2013.
Si bien los fundamentos de los dos controles son esencialmente los mismos, existen algunas modificaciones menores en la versión 2022 del control. En el caso de la norma ISO 27002:2022, el propósito del control está establecido en la norma. En la edición de 2013 falta esta finalidad de control.
Además, si bien las pautas de implementación para ambas versiones son las mismas, la fraseología utilizada en cada versión difiere.
Todas estas mejoras tienen como objetivo garantizar que el estándar se mantenga actualizado y relevante a la luz de las crecientes preocupaciones de seguridad y desarrollos tecnológicos. Las organizaciones también se beneficiarán de esto, ya que facilitará el cumplimiento del estándar.
En una organización típica, el jefe de seguridad de la información (también conocido como Director de Seguridad de la Información - CISO) está a cargo de todos los aspectos de la privacidad y seguridad de los datos, incluido el cumplimiento.
Esta función también puede ser desempeñada por el Gerente de Seguridad de la Información (Gerente SGSI). Sin embargo, independientemente de quién asuma esta función, no puede seguir adelante sin la aprobación de la alta dirección.
ISMS.online es un
solución integral que aceleró radicalmente nuestra implementación.
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
Si La organización ya ha implementado ISO. 27002:2013, deberá actualizar sus procedimientos para garantizar el cumplimiento de la norma actualizada, que se lanzó en febrero de 2022.
Si bien habrá algunos cambios en la versión 2022, la mayoría de las organizaciones deberían poder realizar las modificaciones necesarias sin problemas. Además, las organizaciones certificadas tendrán una fase de transición de dos años durante la cual podrán renovar su certificación para garantizar que cumple con la nueva versión del estándar.
Dicho esto, nuestra guía ISO 27002:2022 puede ayudarle a comprender mejor cómo la nueva ISO 27002 afectará sus operaciones de seguridad de datos y Certificación ISO 27001.
En ISMS.online, hemos creado un sistema integral y fácil de usar que puede ayudarlo a implementar controles ISO 27002 y administrar todo su SGSI.
ISMS.online facilita la implementación de ISO 27002 al proporcionar una Conjunto de herramientas para ayudarle a gestionar la seguridad de la información. en su organización. Esto te ayudará Identificar riesgos y desarrollar controles para mitigar esos riesgos.y luego mostrarle cómo implementarlos dentro de la organización.
ISMS.online también le ayudará a demostrar el cumplimiento de la norma mediante Proporcionar un panel de gestión, informes y registros de auditoría..
Nuestra plataforma basada en la nube ofrece:
ISMS.online tiene todas estas características y más.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
El único cumplimiento
solución que necesitas
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
