Control 6.5 en ISO 27002:2022 cubre la necesidad de que las organizaciones definan los deberes y responsabilidades de seguridad de la información que siguen siendo válidos en caso de que el personal deje de trabajar o se traslade a un nuevo departamento.
Estos deberes y responsabilidades deben comunicarse al empleado, así como a cualquier otra parte relevante.
Los deberes y responsabilidades de información son las obligaciones que un empleado tiene para con su empleador cuando se trata de manejar información confidencial. El deber de mantener la información confidencial es una obligación legal en la mayoría de los estados, por lo que es importante que los empleados comprendan lo que deben hacer cuando se trata de proteger la información de su empleador.
En la mayoría de los casos, los empleadores tienen derecho a esperar que sus empleados no sólo protejan la información confidencial información, pero tampoco usar esa información para fines personales. ganancia, como por ejemplo a través de uso de información privilegiada u otras actividades ilegales.
Ejemplos de deberes y responsabilidades de seguridad de la información incluyen:
Como organización, es importante entender su responsabilidades al manejar información personal porque hacerlo le ayudará a evitar violar las leyes de privacidad, lo que puede tener graves consecuencias tanto para su empresa como para sus empleados.
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria.
Los atributos para el control 6.5 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad de Recursos Humanos #Gestión de activos | #Gobernanza y Ecosistema |
El Control 6.5 es un control que debe implementarse cuando un empleado o contratista abandona la organización, o el contrato se rescinde antes de su vencimiento.
El propósito de este control es proteger los intereses de seguridad de la información de la organización como parte del proceso de cambio o terminación de empleo o contratos.
Este control también puede funcionar para proteger contra el riesgo de los empleados que tienen acceso a información y procesos sensibles, haciendo mal uso de su puesto para beneficio personal o con intenciones maliciosas, especialmente después de haber abandonado la organización o el puesto de trabajo.
El Control 6.5 tiene como objetivo proteger los intereses de seguridad de la información de la organización como parte del proceso de cambio o terminación de empleo o contratos. Esto incluye empleados, contratistas y terceros que tienen acceso a su información confidencial.
Implementar el control significa evaluar si algún individuo (incluidos aquellos empleados por un tercero) que tiene acceso a sus datos personales confidenciales está abandonando su organización y si es necesario tomar medidas para garantizar que no retengan ni continúen accediendo a sus datos personales confidenciales. datos personales después de su salida.
Si descubre que alguien se va y existe el riesgo de que se divulguen datos personales confidenciales, debe tomar medidas razonables antes de que se vaya, o tan pronto como sea posible después de que se haya ido, para que esto no suceda.
Para cumplir con los requisitos de control 6.5, los términos y condiciones del empleo, contrato o acuerdo de un individuo deben especificar cualquier responsabilidad y deber de seguridad de la información que permanecen vigentes una vez finalizada la relación.
Las obligaciones de seguridad de la información también pueden incluirse en otros contratos o acuerdos que se extienden más allá del final del empleo de un empleado.
Cualquiera que renuncie o cambie de trabajo debe transferir sus responsabilidades y deberes de seguridad de la información a una nueva persona, eliminar todas las credenciales de acceso y crear una nueva.
Puede encontrar más información sobre cómo funciona esto en el Documento estándar ISO 27002:2022.
El único cumplimiento
solución que necesitas
Reserva tu demostración
El control 6.5 en la nueva ISO 27002:2022 no es un control nuevo, sino que es una versión modificada del control 7.3.1 en ISO 27002:2013.
Si bien los conceptos básicos de estos dos controles son similares, existen ligeras variaciones. Por ejemplo, las pautas de implementación en ambas versiones son ligeramente diferentes.
La primera parte de la guía de implementación en el control 7.3.1 en ISO 27002: 2013 establece que
“La comunicación de las responsabilidades de despido debe incluir requisitos continuos de seguridad de la información y responsabilidades legales y, cuando corresponda, las responsabilidades contenidas en cualquier acuerdo de confidencialidad y los términos y condiciones de empleo que continúen durante un período definido después del final del empleo del empleado o contratista. "
La misma sección en el control 6.5 de la norma ISO 27002:2022 establece que
“El proceso para gestionar la terminación o el cambio de empleo debe definir qué responsabilidades y deberes de seguridad de la información deben seguir siendo válidos después de la terminación o el cambio. Esto puede incluir la confidencialidad de la información, la propiedad intelectual y otros conocimientos obtenidos, así como las responsabilidades contenidas en cualquier otro acuerdo de confidencialidad.
Las responsabilidades y deberes que aún sean válidos después de la terminación del empleo o contrato deben estar contenidos en los términos y condiciones de empleo, contrato o acuerdo del individuo. Otros contratos o acuerdos que continúan por un período definido después del final del empleo del individuo también pueden contener responsabilidades de seguridad de la información”.
Dicho esto, no importa cuánto difieran sus redacciones, ambos controles tienen una estructura y función prácticamente similares en sus respectivos contextos. El lenguaje utilizado en control 6.5 se ha simplificado para hacerlo más fácil de usar, de modo que quienes utilicen el estándar puedan identificarse con su contenido más fácilmente.
Es importante señalar también que la versión 2022 de ISO 27002 también viene con una declaración de propósito y una tabla de atributos para cada control para ayudar a los usuarios a comprender e implementar mejor los controles. Estas dos secciones faltan en la edición de 2013.
De acuerdo con las recomendaciones del control 6.5, el Departamento de Recursos Humanos Por lo general, está a cargo del proceso de terminación total en la mayoría de las organizaciones y colabora con el gerente supervisor de la persona que está en transición para supervisar los elementos de seguridad de la información de los procedimientos relacionados.
El personal suministrado por una parte externa (por ejemplo, un proveedor) es rescindido por la parte externa de acuerdo con los términos y condiciones del contrato que se estableció entre la organización y la parte externa.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
La norma ISO 27002:2013 no ha sufrido cambios significativos. El estándar acaba de actualizarse para facilitar su usabilidad. No es necesario que ninguna organización que actualmente cumpla con ISO 27002:2013 tome medidas adicionales para mantener el cumplimiento con ISO 27002.
Para cumplir con las revisiones de ISO 27002:2022, la organización solo necesitará realizar modificaciones menores a sus procesos y procedimientos existentes, particularmente si existe alguna intención de volver a certificarse.
Si desea obtener más información sobre cómo estos cambios en el control 6.5 influirán en su organización, consulte nuestra guía sobre ISO 27002:2022.
Las empresas pueden utilizar ISMS.Online para ayudarles con sus esfuerzos de cumplimiento de ISO 27002 proporcionándoles una plataforma que facilita la gestión de sus políticas y procedimientos de seguridad, actualizarlos según sea necesario, probarlos y monitorear su eficacia.
Nuestra plataforma basada en la nube le permite rápida y fácilmente gestionar todos los aspectos de su SGSI, incluida la gestión de riesgos, políticas, planes, procedimientos y más, en una ubicación central. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita aprender a usarla.
ISMS.Online le permite:
Si eres una empresa que necesita cumplir con ISO 27001 y/o ISO 27002, ISMS.Online ofrece una gama completa de funciones para ayudarle a lograr este importante objetivo.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
