El control 5.9 de la norma ISO 27002:2022 revisada describe cómo se debe desarrollar y mantener un inventario de información y otros activos asociados, incluidos los propietarios.
Para llevar a cabo sus actividades, la organización necesita saber qué activos de información tiene a su disposición.
An inventario de activos de información (IA) es una lista de todo lo que una organización almacena, procesa o transmite. También incluye la ubicación y controles de seguridad de cada artículo. El objetivo es identificar cada dato. Puede considerarlo como el equivalente contable financiero de la protección de datos.
Se puede utilizar una IA para identificar lagunas en su programa de seguridad e informar las evaluaciones de riesgos cibernéticos donde puede tener vulnerabilidades que podrían provocar una infracción. También se puede utilizar como prueba. durante las auditorías de cumplimiento que ha realizado la debida diligencia al identificar sus datos confidenciales, lo que le ayuda a evitar multas y sanciones.
El inventario de activos de información También debe incluir detalles de quién es el propietario de cada activo y quién lo gestiona. También debe incluir información sobre el valor de cada artículo en el inventario y cuán crítico es para el éxito de las operaciones comerciales de la organización.
Es importante que los inventarios se mantengan actualizados para que reflejen los cambios dentro de la organización.
La gestión de activos de información tiene una larga trayectoria en la planificación de la continuidad del negocio (BCP), la recuperación ante desastres (DR) y la planificación de respuesta a incidentes.
El primer paso en cualquiera de esos procesos implica identificar sistemas, redes, bases de datos, aplicaciones, flujos de datos y otros componentes críticos que necesitan protección. Si no sabes qué necesita protección o dónde reside, entonces no puedes planificar cómo protegerlo.
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria.
Esta tabla complementa el trabajo que muchos clientes realizan actualmente como parte de su evaluación de riesgos y SOA identificando la confidencialidad, integridad y disponibilidad, y otros factores. En el control 5.9, los atributos son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Identificar | #Gestión de activos | #Gobernanza y #Protección de Ecosistemas |
El propósito de este control es identificar la información de la organización y otros activos asociados con el fin de preservar la seguridad de su información y asignar la propiedad adecuada.
El Control 5.9 cubre el control, el propósito y la guía de implementación para crear un inventario de información y otros activos asociados en línea con el marco SGSI según lo definido por ISO 27001.
El control requiere realizar un inventario de toda la información y otros activos asociados, clasificarlos en distintas categorías, identificar a sus propietarios y documentar los controles que existen o deberían implementarse.
Este es un paso crucial para garantizar que todos los activos de información estén adecuadamente protegidos.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.
A cumplir con los requisitos de la nueva ISO 27002:2022, necesita identificar la información y otros activos asociados dentro de su organización. Luego debes determinar la importancia de estos elementos en términos de seguridad de la información. Si corresponde, la documentación debe mantenerse en inventarios exclusivos o existentes.
El enfoque para desarrollar un inventario variará según el tamaño y la complejidad de una organización, sus controles y políticas existentes y los tipos de información y otros activos asociados que utiliza.
Según el control 5.9, el inventario de información y otros activos asociados debe ser preciso, actualizado, consistente y alineado con otros inventarios. Las opciones para garantizar la precisión de un inventario de información y otros activos asociados incluyen:
a) realizar revisiones periódicas de la información identificada y otros activos asociados con el inventario de activos;
b) aplicar automáticamente una actualización de inventario en el proceso de instalación, cambio o eliminación de un activo.
La ubicación de un activo debe incluirse en el inventario según corresponda.
Es posible que algunas organizaciones necesiten mantener varios inventarios para diferentes propósitos. Por ejemplo, algunas organizaciones tienen inventarios dedicados a licencias de software o a equipos físicos como computadoras portátiles y tabletas.
Otros pueden tener un inventario único que incluye todos los equipos físicos, incluidos dispositivos de red como enrutadores y conmutadores. Es importante que dichos inventarios se revisen periódicamente para garantizar que se mantengan actualizados de modo que puedan utilizarse para ayudar con Gestión sistemática del riesgo, actividades.
Puede encontrar más información sobre el cumplimiento de los requisitos para el control 5.9 en el nuevo documento ISO 27002:2022.
El único cumplimiento
solución que necesitas
Reserva tu demostración
En ISO 27002:2022, 57 controles de ISO 27002:2013 se fusionaron en 24 controles. Por lo que no encontrará el control 5.9 como Inventario de Información y Otros Activos Asociados en la versión 2013. Más bien en la versión 2022, es una combinación de control 8.1.1 Inventario de activos y control 8.1.2 Propiedad de activos.
La intención del control 8.1.1 Inventario de activos es garantizar que todos los activos de información estén identificados, documentados y revisados periódicamente, y que existan procesos y procedimientos adecuados para garantizar que este inventario sea seguro.
Control 8.1.2 Propiedad de los Activos es responsable de garantizar que todos los activos de información bajo su control estén adecuadamente identificados y sean de su propiedad. Saber quién es el propietario de qué puede ayudarle a determinar qué activos necesita proteger y ante quién debe rendir cuentas.
Si bien ambos controles de ISO 27002:2013 son similares al control 5.9 de ISO 27002:2022, este último se ha ampliado para permitir una interpretación más fácil de usar. Por ejemplo, la guía de implementación para la propiedad de activos bajo control 8.1.2 establece que el propietario del activo debe:
a) asegurar que los activos estén inventariados;
b) garantizar que los activos estén clasificados y protegidos adecuadamente;
c) definir y revisar periódicamente restricciones y clasificaciones de acceso a activos importantes, teniendo en cuenta las políticas de control de acceso aplicables;
d) garantizar un manejo adecuado cuando el activo sea eliminado o destruido.
Estos 4 puntos se han ampliado a 9 puntos en la sección de propiedad del control 5.9.
El El propietario del activo debe ser responsable de la gestión adecuada. de un activo durante todo su ciclo de vida, asegurando que:
a) se inventaria la información y otros activos asociados;
b) la información y otros activos asociados están adecuadamente clasificados y protegidos;
c) la clasificación se revisa periódicamente;
d) los componentes que respaldan los activos tecnológicos se enumeran y vinculan, como bases de datos, almacenamiento, componentes y subcomponentes de software;
e) se establecen requisitos para el uso aceptable de la información y otros activos asociados (ver 5.10);
f) las restricciones de acceso se correspondan con la clasificación y que sean efectivas y sean revisadas periódicamente;
g) la información y otros activos asociados, cuando se eliminan o eliminan, se manejan de manera segura y se eliminan del inventario;
h) están involucrados en la identificación y gestión de riesgos asociados con sus activos;
i) apoyan al personal que tiene la roles y responsabilidades de gestionar su información.
Fusionar estos dos controles para formar uno permite una mejor comprensión por parte del usuario.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Desde la migración, hemos podido reducir el tiempo dedicado a la administración.
Las últimas modificaciones de ISO 27002 no tienen ningún efecto en su certificación actual según las normas ISO 27001. Las actualizaciones de ISO 27001 son las únicas que influyen en las certificaciones existentesy los organismos de acreditación colaborarán con los organismos de certificación para desarrollar un ciclo de transición que brindará a las organizaciones que tengan certificados ISO 27001 el tiempo adecuado para transferir de una versión a otra.
Dicho esto, se deben seguir los siguientes pasos para cumplir con la versión revisada:
Nuevas mejores prácticas y cualidades para la selección de controles estarán disponibles durante el tiempo de transición al nuevo estándar, lo que permitirá un proceso de selección más efectivo y eficiente.
Debido a esto, debe continuar empleando un enfoque basado en el riesgo para garantizar que solo el Se eligen los controles más relevantes y efectivos para su negocio..
solicite Utilice ISMS.online para gestionar su implementación de ISO 27002, ya que ha sido diseñado específicamente para ayudar a una empresa a implementar su sistema de gestión de seguridad de la información (SGSI) para cumplir con los requisitos de ISO 27002.
La plataforma utiliza un enfoque basado en riesgos combinado con las mejores prácticas y plantillas líderes en la industria para ayudarlo a identificar los riesgos que enfrenta su organización y los controles necesarios para gestionar esos riesgos. Esto le permite reducir sistemáticamente tanto su exposición al riesgo como sus costos de cumplimiento.
Usar SGSI.online usted puede:
El Plataforma en línea ISMS se basa en Planificar-Hacer-Verificar-Actuar (PDCA), un proceso iterativo de cuatro pasos para la mejora continua, y aborda todos los requisitos de la norma ISO 27002:2022. Es una simple cuestión de crear una cuenta de prueba gratuita y seguir los pasos que le proporcionamos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
