ISO 27002:2022, Controlar 6.4. Proceso Disciplinario habla sobre la necesidad de que las organizaciones implementen algún tipo de proceso disciplinario que sirva como disuasivo para que el personal no cometa violaciones de seguridad de la información.
Este proceso debe comunicarse formalmente y diseñarse una sanción adecuada para los empleados y otras partes interesadas relevantes que cometan un delito. política de seguridad de la información violación.
La violación de la política de seguridad de la información es un incumplimiento de las reglas o leyes que rigen el manejo adecuado de la información. Las organizaciones establecen políticas de seguridad de la información para proteger datos confidenciales, de propiedad y personales, como registros de clientes y números de tarjetas de crédito. Las políticas de seguridad de la información también incluyen políticas de seguridad informática que ayudan a garantizar la seguridad y la integridad de los datos almacenados en las computadoras.
Por ejemplo, si no tiene permiso de su supervisor para utilizar el correo electrónico de la empresa para enviar correos electrónicos personales, hacerlo puede resultar en una violación de la política de la empresa. Además, si comete un error al utilizar el equipo o el software de la empresa y causa daños al mismo o a los datos almacenados en él, eso también podría considerarse una violación de la política de seguridad de la información.
Si un empleado viola la política de seguridad de la información de una organización, él o ella podría estar sujeto a medidas disciplinarias o despido. En algunos casos, una empresa puede optar por no despedir a un empleado que infrinja su política de uso de la computadora, sino tomar otras medidas apropiadas para evitar futuras violaciones de la política de la empresa.
Los controles se pueden agrupar mediante atributos. Cuando observa los atributos del control, puede relacionarlos más fácilmente con los requisitos y la terminología establecidos de la industria. Los siguientes atributos están bajo control 6.4.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo #Correctivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger #Responder | #Seguridad de Recursos Humanos | #Gobernanza y Ecosistema |
El propósito del proceso disciplinario es garantizar que el personal y otras partes interesadas relevantes comprendan las consecuencias de una violación de la política de seguridad de la información.
Además de garantizar que los empleados y otras partes interesadas relevantes comprendan las consecuencias de las violaciones de las políticas de seguridad de la información, el control 6.4 está diseñado para disuadir y ayudar a tratar con aquellos que violan estas políticas.
Un elemento clave de un programa de seguridad de la información eficaz es la capacidad de implementar acciones disciplinarias apropiadas para los empleados que violan las políticas y procedimientos de seguridad de la información. Por aquí, Los empleados son conscientes de las consecuencias. de violar políticas y procedimientos establecidos, reduciendo así el potencial de violaciones de datos intencionales o accidentales.
Los siguientes son ejemplos de actividades que pueden incluirse al implementar este control:
Las acciones disciplinarias detalladas en el marco/documento deben tomarse inmediatamente después de un incidente, para disuadir a otros que quieran violar las políticas de la organización.
Para cumplir con los requisitos del control 6.4, se deben tomar medidas disciplinarias cuando haya evidencia de incumplimiento de las políticas, procedimientos o regulaciones de la organización. Esto incluye el incumplimiento de la legislación y normativa que sean de aplicación a la organización.
Según el control 6.4, el proceso disciplinario formal debe prever una respuesta gradual que tenga en cuenta los siguientes factores:
La acción debe tener en cuenta todas las obligaciones legales, legislativas, regulatorias, contractuales y corporativas pertinentes, así como cualquier otra circunstancia pertinente.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Si está familiarizado con la norma ISO 27002:2013, sabrá que aunque se ha cambiado la identidad/número de control, el control 6.4 en ISO 27002:2022 no es exactamente un control nuevo. Más bien, es una versión modificada del control 7.2.3 en ISO 27002:2013.
Dicho esto, no hay diferencias significativas entre los dos controles en ambas versiones de ISO 27002. La pequeña diferencia que notará es que el número de control se cambió de 7.23 a 6.4. Además, en la versión 2022 del estándar se ha incluido la tabla de atributos y la declaración de propósito. Estas dos características no están en la versión 2013.
Aparte de su diferente redacción, estos controles son básicamente idénticos en términos de contenido y contexto. Fácil de usar La terminología se utilizó en ISO 27002:2022. para garantizar que los usuarios de la norma puedan comprender mejor su contenido.
En la mayoría de los casos, el proceso disciplinario está a cargo del gerente de departamento o recursos humanos representante. No es raro que el representante de recursos humanos delegue la Responsabilidad de la acción disciplinaria hacia alguien más en la organización., como un especialista en seguridad de la información.
El objetivo principal de la acción disciplinaria es proteger a la organización contra futuras violaciones por parte del empleado. También pretende evitar que se produzcan situaciones similares. incidentes recurrentes asegurando que todos los empleados comprendan la importancia de las violaciones de seguridad de la información.
Para garantizar que se tomen medidas disciplinarias contra un empleado que ha violado las políticas o procedimientos de una organización, es importante que existan pautas claras para manejar tales situaciones. Estas directrices deben incluir instrucciones específicas sobre cómo realizar investigaciones y las acciones que deben tomarse una vez completadas las investigaciones.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Si se pregunta qué significan estos cambios para usted, aquí tiene un breve desglose de los puntos más importantes:
La estructura de la norma permanece sin cambios. Sin embargo, algunos controles se han modificado para aclarar su significado o mejorar la coherencia con otras partes de la norma.
Sin embargo, si tiene la intención de obtener la certificación SGSI, es posible que deba examinar sus procedimientos de seguridad para verificar que cumplan con el estándar revisado.
Para obtener más información sobre cómo la nueva ISO 27002 puede afectar sus operaciones de seguridad de la información y ISO 27001 certificación, consulte nuestra guía gratuita ISO 27002:2022.
ISMS.Online es la norma ISO 27002 líder Software de sistema de gestión que respalda el cumplimiento. con ISO 27002, y ayuda a las empresas a alinear sus políticas y procedimientos de seguridad con el estándar.
La plataforma basada en la nube proporciona un conjunto completo de herramientas para ayudar a las organizaciones a configurar una sistema de gestión de la seguridad de la información (SGSI) según ISO 27002.
Estas herramientas incluyen:
ISMS.Online también permite a los usuarios:
ISMS.Online también brinda orientación sobre cómo implementar mejor su SGSI al brindar consejos sobre cómo crear políticas y procedimientos relacionados con aspectos como la gestión de riesgos, la capacitación en concientización sobre la seguridad del personal y la planificación de respuesta a incidentes.
Nuestra plataforma ha sido diseñado desde cero con la ayuda de expertos en seguridad de la información de todo el mundo, y lo hemos desarrollado de una manera que facilita su uso para personas sin ningún conocimiento técnico sobre sistemas de gestión de seguridad de la información (SGSI).
¿Quieres verlo en acción?
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |