Vivienda activos de información sensible en áreas seguras, como salas de servidores seguras, e implementar controles de acceso estrictos no es suficiente para mantener la seguridad de estos activos:
El control 7.6 trata de Cómo las organizaciones pueden proteger los activos de información. almacenados en áreas seguras contra los diversos riesgos que presenta el personal que trabaja en estas áreas.
Control 7.6 permite a las organizaciones implementar medidas de seguridad apropiadas que se aplican a todo el personal que trabaja en áreas seguras para que no pueda acceder, usar, modificar, destruir, dañar o interferir con los activos de información o las instalaciones de información sin autorización.
El Control 7.6 es de carácter preventivo ya que requiere que las organizaciones mantengan la seguridad, confidencialidad, integridad y disponibilidad de los activos de información alojados en áreas seguras eliminando los riesgos que puedan surgir debido a la mala conducta del personal.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad física | #Proteccion |
Considerando que el Control 7.6 requiere que las organizaciones diseñen e implementen medidas de seguridad que se apliquen a todas las operaciones realizadas en áreas seguras, Oficial de seguridad de la información (ISO) debe ser responsable de crear, implementar y mantener medidas de seguridad adecuadas teniendo en cuenta el nivel de riesgo de cada área segura designada.
Al diseñar y aplicar los controles de seguridad apropiados en áreas seguras, el Oficial de Seguridad de la Información puede cooperar con el equipo de administración de las instalaciones y los propietarios de los activos de información para poner en práctica las medidas diseñadas de manera efectiva.
El Control 7.6 destaca que las medidas de seguridad deben cubrir a todo el personal que trabaja en áreas seguras y deben aplicarse a todas las actividades realizadas en estas áreas.
Si bien el tipo y grado de medidas de seguridad implementadas pueden variar dependiendo del nivel de riesgo para activos de información específicos, Control 7.6 enumera seis requisitos específicos que las organizaciones deben cumplir:
El único cumplimiento
solución que necesitas
Reserva tu demostración
27002:2022/7.6 replaces 27002:2013/(11.1.5)
Si bien ambas versiones son similares hasta cierto punto, la versión 2022 es más completa en cuanto a los requisitos de las medidas de seguridad a implementar.
En particular, la versión 2022 introduce dos nuevos requisitos que las organizaciones deben tener en cuenta a la hora de implementar medidas de seguridad para áreas seguras:
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su ISMS mediante la identificación de riesgos y la implementación de controles.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |