El control 6.6 de la norma ISO 27002:2022 cubre la necesidad de que las organizaciones eviten la fuga de información confidencial estableciendo acuerdos de confidencialidad con las partes interesadas y el personal.
Las organizaciones deben determinar los términos de sus acuerdos con otras partes basándose en la requisitos de seguridad de la información de la organización, teniendo en cuenta el tipo de información a tratar, su nivel de clasificación, su uso previsto y el acceso permitido por la otra parte.
Un acuerdo de confidencialidad o no divulgación (NDA) es un documento legal que impide la divulgación de secretos comerciales y otra información confidencial.
Confidencial La información puede incluir el plan de negocios de la empresa., datos financieros, listas de clientes y otra información patentada. Estos acuerdos se pueden utilizar en una amplia gama de situaciones, que incluyen:
Las asociaciones a menudo incluyen cláusulas de confidencialidad como parte de su acuerdo de asociación, por lo que cada socio se compromete a no revelar ninguna información confidencial obtenida durante su asociación.
Los acuerdos de confidencialidad los celebran tanto personas como empresas. Tienen muchos propósitos, tales como:
Los controles se clasifican mediante atributos. Al usarlos, puede hacer coincidir rápidamente su selección de control con los términos y especificaciones comúnmente utilizados en la industria.
Los atributos para el control 6.5 son:
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de activos #Protección de la información #Seguridad física #Seguridad del sistema y de la red | #Proteccion |
El Control 6.6 debe implementarse para garantizar la seguridad de la información cuando el personal, los socios y los proveedores trabajan con una organización.
Este control tiene como objetivo salvaguardar la información de la organización e informar a los firmantes de su responsabilidad manejar y proteger la información de forma responsable y autorizada. También se utiliza como herramienta para proteger los derechos de propiedad intelectual, como patentes, marcas comerciales, secretos comerciales y derechos de autor.
Es importante que los empleadores cuenten con un acuerdo de confidencialidad antes de revelar cualquier información confidencial a un empleado o contratista. El acuerdo establecerá qué tan estrechamente debe proteger el individuo la información a la que está expuesto y cuánto tiempo durará el período de confidencialidad una vez finalizado el empleo.
Control 6.6 tiene como objetivo proteger la propiedad intelectual y los intereses comerciales de su organización al evitar la divulgación de información confidencial a terceros. Se refiere a un contrato legal o un acuerdo entre su organización y sus empleados, socios, contratistas, proveedores y otros terceros. que rige el uso de información confidencial.
La información confidencial es cualquier información que no se haya puesto a disposición del público ni de otras empresas de una industria similar. Los ejemplos incluyen secretos comerciales, listas de clientes, fórmulas y planes de negocios.
El control debe implementarse al evaluar si un tercero tendrá acceso a datos personales sensibles, y si es necesario tomar medidas para garantizar que no conserven ni sigan accediendo a los datos personales sensibles de la organización después de su partida.
Cuando una organización determina que un tercero está saliendo de la relación comercial y existe el riesgo de que, como resultado, se divulguen datos confidenciales de la organización o de la empresa, entonces la organización debe tomar medidas razonables antes de que ese tercero abandone, o tan pronto como sea posible. después de su partida, para evitar dicha divulgación.
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
El control 6.6 significa que las partes del acuerdo no revelan información confidencial cubierta por el acuerdo. La información sólo podrá divulgarse con el consentimiento por escrito de la organización o de conformidad con una orden judicial. Esto es importante para proteger información confidencial sobre prácticas comerciales, propiedad intelectual e investigación y desarrollo.
Para cumplir con los requisitos del control 6.6, es necesario redactar cuidadosamente un acuerdo/contrato de “confidencialidad” y “no divulgación” de modo que cubra todos los secretos comerciales y aspectos sensibles de datos/información de los tratos y transacciones de la organización. Es importante que ambas partes comprendan sus obligaciones en virtud del contrato y sus deberes durante y después del final de la relación comercial.
También se puede incluir una cláusula de confidencialidad en otros contratos que se extienden más allá del final del empleo del empleado o del compromiso con terceros.
Es imperativo que la persona que abandona una relación comercial o cambia de trabajo transfiera sus responsabilidades y deberes de seguridad a una nueva persona, que se eliminen todas las credenciales de acceso y se cree una nueva.
Se deben considerar los siguientes elementos al identificar acuerdos de confidencialidad y no divulgación:
La organización debe garantizar que los acuerdos de confidencialidad y no divulgación cumplan con las leyes de la jurisdicción donde se aplican.
Se debe realizar una revisión de los acuerdos de confidencialidad y no divulgación periódicamente y siempre que los cambios afecten sus requisitos.
Más información sobre cómo funciona esto está disponible en el documento estándar ISO 27002:2022.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Control 6.6 en la nueva ISO 27002:2022 No es un control nuevo, sino una versión modificada del control 13.2.4 en ISO 27002:2013.
Si bien estos dos controles contienen características similares, difieren ligeramente. Por ejemplo, si bien las pautas de implementación en ambas versiones son similares, no son idénticas.
El Primer parte de la guía de implementación en el control 13.2.4 de la norma ISO 27002:2013 establece que:
“Los acuerdos de confidencialidad o de no divulgación deben abordar el requisito de proteger la información confidencial utilizando términos legalmente exigibles. Los acuerdos de confidencialidad o no divulgación son aplicables a partes externas o empleados de la organización. Los elementos deben seleccionarse o agregarse teniendo en cuenta el tipo de la otra parte y su acceso permitido o manejo de información confidencial”.
El mismo apartado en el control 6.6 de la norma ISO 27002:2022 establece que:
“Los acuerdos de confidencialidad o no divulgación deben abordar el requisito de proteger la información confidencial utilizando términos legalmente exigibles. Son aplicables acuerdos de confidencialidad o no divulgación a las partes interesadas y al personal de la organización.
Con base en los requisitos de seguridad de la información de una organización, los términos de los acuerdos deben determinarse teniendo en cuenta el tipo de información que se manejará, su nivel de clasificación, su uso y el acceso permitido por la otra parte”.
Ambos controles, aunque difieren en significado semántico, tienen estructura y función similares en sus respectivos contextos. Sin embargo, el control 6.6 utiliza un lenguaje más simplificado y fácil de usar para que el contenido y el contexto sean más fáciles de entender. Esto significa que quienes utilizarán el estándar podrán identificarse con su contenido más fácilmente.
Además, la versión 2022 de ISO 27002 incluye declaraciones de propósito y tablas de atributos para cada control, que ayudan a los usuarios a comprender e implementar los controles de manera más efectiva. Estas dos secciones no están disponibles en la edición de 2013.
Según el control 6.6 de la norma ISO 27002, el departamento de recursos humanos suele gestionar la redacción e implementación del acuerdo de confidencialidad o no divulgación en la mayoría de las organizaciones, lo que implica colaborar con el director o departamento supervisor del tercero en cuestión.
El gerente supervisor podría ser el Oficial de Seguridad de la Información, el gerente de ventas o de producción.
Estos departamentos y jefes también son responsables de garantizar que los proveedores externos utilizados por la organización tengan medidas de seguridad adecuadas para proteger la información confidencial contra divulgación o uso no autorizado.
Deben asegurarse de que todos los empleados firmen un acuerdo de confidencialidad cuando comiencen a trabajar para la empresa.
En la mayoría de los casos (dependiendo del tamaño de la organización), todos los empleados que tienen acceso a información confidencial firman acuerdos de confidencialidad o no divulgación.
Por lo general, esto incluye a cualquier empleado que trabaje en ventas, marketing, servicio al cliente u otros departamentos donde pueda entrar en contacto con información confidencial sobre clientes, clientes o proveedores.
En algunos casos, incluso si no existe un acuerdo escrito real entre dos partes, las organizaciones deben implementar políticas que exijan a los empleados firmar un acuerdo de confidencialidad antes de que se les permita el acceso a información confidencial sobre clientes o proveedores.
Algunos riesgos asociados con no contar con una política de acuerdo de confidencialidad adecuada incluyen:
El único cumplimiento
solución que necesitas
Reserva tu demostración
La norma ISO 27002:2013 no ha sufrido modificaciones significativas. El estándar solo se actualizó para facilitar su usabilidad. Las organizaciones que actualmente cumplen con la norma ISO 27002:2013 no necesitan tomar ninguna medida adicional para mantener el cumplimiento con el estándar.
Para cumplir con las revisiones de ISO 27002:2022, la organización puede considerar necesario realizar algunas modificaciones menores a sus procesos y procedimientos existentes, particularmente si es necesario volver a certificarse.
Para obtener más información sobre cómo estos cambios en el control 6.6 influirán en su organización, consulte nuestra guía sobre ISO 27002:2022.
ISO 27002 es un estándar de seguridad de la información ampliamente reconocido que proporciona un conjunto de requisitos para que una organización proteja la confidencialidad, integridad y disponibilidad de su información. La norma fue desarrollada por la Organización Internacional de Normalización (ISO), una organización no gubernamental que establece, revisa y publica normas internacionales.
ISMS.Online ayuda a las organizaciones y empresas a cumplir los requisitos de la norma ISO 27002 proporcionándoles una plataforma que facilita la gestión de sus políticas y procedimientos de confidencialidad o no divulgación, los actualiza según sea necesario, los prueba y supervisa su eficacia.
Proporcionamos una plataforma basada en la nube para la gestión de Sistemas de Gestión de Confidencialidad y Seguridad de la Información, incluidas cláusulas de confidencialidad, gestión de riesgos, políticas, planes y procedimientos, en una ubicación central. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita aprender a usarla.
ISMS.Online le permite:
ISMS.Online ofrece una gama completa de características para ayudar a las organizaciones y empresas a lograr el cumplimiento del estándar industrial ISO 27001 y/o ISO 27002 ISMS.
Por favor contáctenos hoy para programa una demostración.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Desde la migración, hemos podido reducir el tiempo dedicado a la administración.
