controlar 6.2, términos y condiciones de empleo en el nuevo ISO 27002:2022 habla de la necesidad de un acuerdo contractual para informar a cualquier nuevo empleado sobre su responsabilidad y la de la organización hacia la seguridad de la información.
Lo que esto significa es que los empleados deben conocer las actividades de la empresa. política de seguridad de la información, así como los roles y responsabilidades de las personas que trabajan con la seguridad de la información en la empresa. Esto se puede hacer haciendo que el personal firme un contrato de trabajo o algo similar.
Un acuerdo contractual de este tipo normalmente describirá los requisitos generales para proteger los activos de información, incluida la seguridad física, controles ambientales, controles de acceso y planificación de contingencias, así como un acuerdo de confidencialidad si trabajarán con PII.
La seguridad de la información es la práctica de defender la información del acceso, uso, divulgación, interrupción, modificación, lectura, inspección, registro o destrucción no autorizados. Incluye garantizar la confidencialidad, integridad y disponibilidad de los datos.
El objetivo de la publicidad de La seguridad de la información es proteger los activos y la propiedad intelectual de la organización. de ataques de piratas informáticos y otras amenazas a la seguridad.
Las amenazas a la seguridad de la información son peligros potenciales que pueden plantear actores maliciosos a los datos y la infraestructura de las organizaciones. El Los riesgos a menudo están asociados con una mala seguridad de la información. prácticas y/o medidas de protección inadecuadas.
Las amenazas a la seguridad de la información más comunes incluyen:
Las amenazas a la seguridad de la información evolucionan constantemente y crecen en complejidad. Las amenazas provienen tanto del exterior como del interior de la organización y pueden atacar en cualquier momento.
Los atributos son una forma de agrupar controles. Es más fácil hacer coincidir su elección de control con las especificaciones y terminología estándar de la industria si observa los atributos del control. En el control 6.2, se pueden utilizar los siguientes atributos.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad de Recursos Humanos | #Gobernanza y Ecosistema |
El propósito del control 6.2 es garantizar que todos los empleados comprendan su función en la protección de los activos y la información confidencial de la empresa, especialmente en lo que se refiere a la función para la que están empleados.
Control 6.2 términos y condiciones de empleo es una parte importante de su sistema de gestión de seguridad de la información de la organización (SGSI). Esto te ayuda cumplir con sus obligaciones según el RGPD y otros requisitos legales relacionados con el procesamiento de datos personales y la seguridad de la información.
El propósito de este control es asegurar que el personal comprenda sus Responsabilidades de seguridad de la información en la organización..
Para ayudar a lograr esto, es Es importante que los empleados sean conscientes de sus obligaciones de confidencialidad. y otros términos y condiciones relevantes antes de comenzar a trabajar en una organización. Esto también puede incluir restricciones en el uso de tecnología o plataformas de redes sociales.
Este control debe revisarse anualmente para garantizar que cualquier cambio en la estructura organizacional o en los procedimientos se refleje en la documentación proporcionada a los empleados.
La forma más obvia de cumplir con los requisitos del Control 6.2, términos y condiciones de empleo, es proporcionar a todos los empleados un contrato de trabajo escrito, o carta de oferta, que describa todos los términos y condiciones de su empleo, particularmente en el área de seguridad de la información. .
Además, las obligaciones contractuales del personal deben tener en cuenta las necesidades de la organización. política de seguridad de la información y políticas relevantes sobre temas específicos, y los siguientes puntos deben estar bien cubiertos en el acuerdo contractual de empleo:
Finalmente, la organización debe garantizar que el personal acepte los términos y condiciones relacionados con la seguridad de la información.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Control 6.2 en ISO 27002:2022 No es exactamente un control nuevo en esta serie ISO. Publicada en febrero de 2022, esta versión de ISO 27002 es una actualización de la versión 2013. Por lo tanto, el control 6.2 es una versión modificada del control 7.1.2 en ISO 27002:2013.
La versión 2022 viene con una tabla de atributos y una declaración de propósito que no está disponible en el control 7.1.2.
Dicho esto, no existe otra diferencia obvia entre los dos controles aparte del cambio en el número de control. Si bien la fraseología de los dos controles puede no ser similar, el contenido y el contexto son prácticamente los mismos.
La respuesta es sencilla: depende del tamaño de la empresa y de la forma en que estén organizados sus empleados.
En empresas más pequeñas, una persona puede ser responsable de todas las funciones de recursos humanos (por ejemplo, contratación, contratos, formación). También es posible delegar estas responsabilidades a otra persona dentro de la empresa. Esta persona se aseguraría de que todos los empleados sigan correctamente el Control 6.2, pero no sería responsable de su desarrollo o interpretación.
Esta función también puede ser una responsabilidad compartida entre todos los gerentes y supervisores de toda la organización, desde el director general hasta los niveles intermedios de gestión.
Sin embargo, para una implementación adecuada de este control, es mejor que el gerente de recursos humanos sea responsable, con la supervisión del Gerente de SGSI.
La nueva norma ISO 27002:2022 no supone una actualización significativa. Como resultado, no necesitará realizar modificaciones significativas para cumplir con la versión más reciente de ISO 27002.
No obstante, si planea implementar un SGSI (o incluso una certificación SGSI), es crucial que evalúe la edición actual de ISO 27002 y confirme que sus procedimientos de seguridad son adecuados.
Información adicional sobre cómo funciona el nuevo ISO 27002 afectará sus operaciones de seguridad de la información e ISO 27001 La certificación se puede encontrar en nuestro manual ISO 27002:2022, que está disponible para su descarga gratuita en nuestro sitio web.
ISMS.online es un Solución basada en la nube que ayuda a las empresas a demostrar el cumplimiento de la norma ISO 27002.. La solución ISMS.online se puede utilizar para gestionar los requisitos de ISO 27002 y garantizar que su organización siga cumpliendo con el nuevo estándar.
La norma ISO 27002 se ha actualizado para reflejar las crecientes amenazas cibernéticas que enfrentamos como sociedad. El estándar actual se publicó por primera vez en 2005 y se revisó en 2013 para reflejar los cambios en la tecnología, las regulaciones y los estándares de la industria. La nueva versión de ISO 27002 incorpora estas actualizaciones en un solo documento, además de agregar nuevos requisitos para las organizaciones para ayudarlas a proteger mejor sus activos de datos de los ataques cibernéticos.
La solución ISMS.online ayuda a las organizaciones a implementar ISO 27002: 2022 al proporcionar un marco fácil de usar para documentar políticas y procedimientos de seguridad de la información. También proporciona una ubicación centralizada donde puede almacenar toda su documentación de cumplimiento para que las diferentes partes interesadas de la empresa puedan acceder fácilmente a ella (por ejemplo, RRHH, TI).
Nuestra plataforma es fácil de usar y sencillo. No es sólo para personas altamente técnicas; es para todos en su empresa.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
