ISO 27002:2022, Control 6.4 – Proceso disciplinario

¿Cuál es el propósito del Control 6.4?

El propósito del proceso disciplinario es garantizar que el personal y otras partes interesadas relevantes comprendan las consecuencias de una violación de la política de seguridad de la información.

Además de garantizar que los empleados y otras partes interesadas relevantes comprendan las consecuencias de las violaciones de las políticas de seguridad de la información, el control 6.4 está diseñado para disuadir y ayudar a tratar con aquellos que violan estas políticas.

Un elemento clave de un programa de seguridad de la información eficaz es la capacidad de implementar acciones disciplinarias apropiadas para los empleados que violan las políticas y procedimientos de seguridad de la información. Por aquí, Los empleados son conscientes de las consecuencias. de violar políticas y procedimientos establecidos, reduciendo así el potencial de violaciones de datos intencionales o accidentales.

Los siguientes son ejemplos de actividades que pueden incluirse al implementar este control:

• Realizar sesiones periódicas de capacitación sobre cambios de políticas;
• Diseñar acciones disciplinarias por incumplimiento de las políticas de seguridad de la información;
• Proporcionar una copia de los procedimientos disciplinarios de la organización a cada empleado;
• Asegúrese de que los procedimientos disciplinarios se sigan consistentemente en situaciones similares.

Las acciones disciplinarias detalladas en el marco/documento deben tomarse inmediatamente después de un incidente, para disuadir a otros que quieran violar las políticas de la organización.

Qué implica y cómo cumplir los requisitos

Para cumplir con los requisitos del control 6.4, se deben tomar medidas disciplinarias cuando haya evidencia de incumplimiento de las políticas, procedimientos o regulaciones de la organización. Esto incluye el incumplimiento de la legislación y normativa que sean de aplicación a la organización.

Según el control 6.4, el proceso disciplinario formal debe prever una respuesta gradual que tenga en cuenta los siguientes factores:

1. La naturaleza (quién, qué, cuándo, cómo), gravedad y consecuencias del incumplimiento;
2. Si el delito fue malicioso (intencional) o no intencional (accidental);
3. Si se trata de la primera o segunda infracción;
4. Si el infractor recibió o no la formación adecuada.

La acción debe tener en cuenta todas las obligaciones legales, legislativas, regulatorias, contractuales y corporativas pertinentes, así como cualquier otra circunstancia pertinente.

Cambios y diferencias con respecto a ISO 27002:2013

Si está familiarizado con la norma ISO 27002:2013, sabrá que aunque se ha cambiado la identidad/número de control, el control 6.4 en ISO 27002:2022 no es exactamente un control nuevo. Más bien, es una versión modificada del control 7.2.3 en ISO 27002:2013.

Dicho esto, no hay diferencias significativas entre los dos controles en ambas versiones de ISO 27002. La pequeña diferencia que notará es que el número de control se cambió de 7.23 a 6.4. Además, en la versión 2022 del estándar se ha incluido la tabla de atributos y la declaración de propósito. Estas dos características no están en la versión 2013.

Aparte de su diferente redacción, estos controles son básicamente idénticos en términos de contenido y contexto. Fácil de usar La terminología se utilizó en ISO 27002:2022. para garantizar que los usuarios de la norma puedan comprender mejor su contenido.

¿Quién está a cargo de este proceso?

En la mayoría de los casos, el proceso disciplinario está a cargo del gerente de departamento o recursos humanos representante. No es raro que el representante de recursos humanos delegue la Responsabilidad de la acción disciplinaria hacia alguien más en la organización., como un especialista en seguridad de la información.

El objetivo principal de la acción disciplinaria es proteger a la organización contra futuras violaciones por parte del empleado. También pretende evitar que se produzcan situaciones similares. incidentes recurrentes asegurando que todos los empleados comprendan la importancia de las violaciones de seguridad de la información.

Para garantizar que se tomen medidas disciplinarias contra un empleado que ha violado las políticas o procedimientos de una organización, es importante que existan pautas claras para manejar tales situaciones. Estas directrices deben incluir instrucciones específicas sobre cómo realizar investigaciones y las acciones que deben tomarse una vez completadas las investigaciones.

¿Qué significan estos cambios para usted?

Si se pregunta qué significan estos cambios para usted, aquí tiene un breve desglose de los puntos más importantes:

• No es un cambio significativo, por lo que no es necesario volver a certificarse.
• Puede conservar su certificación existente hasta que caduque (si aún es válida).
• No hay cambios importantes en el contenido de la norma ISO 27002.
• La atención se centra más en actualizar el estándar para alinearlo con las mejores prácticas y estándares actuales.

La estructura de la norma permanece sin cambios. Sin embargo, algunos controles se han modificado para aclarar su significado o mejorar la coherencia con otras partes de la norma.

Sin embargo, si tiene la intención de obtener la certificación SGSI, es posible que deba examinar sus procedimientos de seguridad para verificar que cumplan con el estándar revisado.

Para obtener más información sobre cómo la nueva ISO 27002 puede afectar sus operaciones de seguridad de la información y ISO 27001 certificación, consulte nuestra guía gratuita ISO 27002:2022.

Cómo ayuda ISMS.Online

ISMS.Online es la norma ISO 27002 líder Software de sistema de gestión que respalda el cumplimiento. con ISO 27002, y ayuda a las empresas a alinear sus políticas y procedimientos de seguridad con el estándar.

La plataforma basada en la nube proporciona un conjunto completo de herramientas para ayudar a las organizaciones a configurar una sistema de gestión de la seguridad de la información (SGSI) según ISO 27002.

Estas herramientas incluyen:

• Una biblioteca de plantillas para documentos corporativos comunes;
• Un conjunto de políticas y procedimientos predefinidos;
• An herramienta de auditoría para apoyar las auditorías internas;
• Una interfaz para personalizar ISMS Policias y procedimientos;
• Un flujo de trabajo de aprobación para todos los cambios realizados en políticas y procedimientos;
• Una lista de verificación para asegurarse de que sus políticas y procesos de seguridad de la información sigan los estándares internacionales aprobados.

ISMS.Online también permite a los usuarios:

• Gestionar todos los aspectos del SGSI. ciclo de vida con facilidad.
• Obtenga información en tiempo real sobre su postura de seguridad y brechas de cumplimiento.
• Integre con otros sistemas como recursos humanos, finanzas y gestión de proyectos.
• Demuestran cumplimiento de su SGSI con las normas ISO 27001.

ISMS.Online también brinda orientación sobre cómo implementar mejor su SGSI al brindar consejos sobre cómo crear políticas y procedimientos relacionados con aspectos como la gestión de riesgos, la capacitación en concientización sobre la seguridad del personal y la planificación de respuesta a incidentes.

Nuestra plataforma ha sido diseñado desde cero con la ayuda de expertos en seguridad de la información de todo el mundo, y lo hemos desarrollado de una manera que facilita su uso para personas sin ningún conocimiento técnico sobre sistemas de gestión de seguridad de la información (SGSI).

¿Quieres verlo en acción?

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.