Propósito del Control 8.10
Además de gestionar el uso continuo de datos e información en servidores internos y dispositivos de almacenamiento (HDD, matrices, unidades USB, etc.), las organizaciones deben ser muy conscientes de sus obligaciones con respecto a la eliminación y eliminación de cualquier dato que se encuentre en poder de empleados, usuarios y clientes. u organizaciones cuando sea razonablemente necesario hacerlo (normalmente cuando ya no sea necesario).
Tabla de Atributos de Control 8.10
Control 8.10 es un control preventivo que modifica el riesgo al delinear un enfoque para la eliminación de datos que complemente las políticas de retención de datos existentes de una organización y las mantenga cumpliendo con las leyes o pautas regulatorias vigentes.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Protección de la información | #Proteccion |
| #Legal y Cumplimiento |
Propiedad del Control 8.10
Control 8.10 se ocupa en gran medida de las tareas de mantenimiento relacionadas con la eliminación y destrucción de datos y/o activos de TI, incluido el uso de software especializado y el enlace con proveedores que se especializan en la eliminación de datos y dispositivos. Como tal, la propiedad debe residir en el Jefe de TI o su equivalente organizacional.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general sobre cumplimiento
A veces puede resultar difícil determinar cuándo se deben eliminar los datos. Como regla general, el Control 8.10 solicita a las organizaciones que eliminen los datos cuando ya no sean necesarios, con el fin de minimizar lo que se conoce como divulgación indeseable – es decir, datos vistos o transmitidos a personas y organizaciones que no están autorizadas a acceder a ellos.
De acuerdo con esta directriz, cuando llegue el momento de eliminar datos, las organizaciones deberían:
- Opte por un método de eliminación adecuado que cumpla con las leyes o regulaciones vigentes. Las técnicas incluyen eliminación estándar, sobrescritura o eliminación cifrada.
- Registre los resultados de la eliminación para referencia futura.
- Asegúrese de que, si se utiliza un proveedor de eliminación especializado, la organización obtenga pruebas adecuadas (normalmente mediante documentación) de que se ha llevado a cabo la eliminación.
- Si se utiliza un proveedor externo, las organizaciones deben estipular sus requisitos precisos, incluidos los métodos y plazos de eliminación, y garantizar que las actividades de eliminación estén cubiertas por un acuerdo vinculante.
Orientación: métodos de eliminación específicos
Al formular un proceso de eliminación, las organizaciones deberían:
- Configurar sistemas internos para eliminar datos e información de acuerdo con la política de retención específica del tema de la organización.
- Asegúrese de que la eliminación se extienda a archivos temporales, información almacenada en caché, copias de datos y versiones heredadas.
- Considere la posibilidad de utilizar aplicaciones de utilidad de eliminación especializadas para minimizar el riesgo.
- Contrate únicamente especialistas en eliminación certificados y verificables, si surge la necesidad de utilizar un servicio de terceros.
- Implementar medidas de eliminación física que sean apropiadas para el dispositivo en cuestión (p. ej. desmagnetización medios de almacenamiento magnéticos, restauración de la configuración de fábrica en un teléfono inteligente o destrucción física) (ver Control 7.14).
- Asegúrese de que los proveedores de servicios en la nube estén alineados con los requisitos de eliminación propios de la organización (en la medida de lo posible).
Información complementaria sobre control 8.10
Al enviar equipos (en particular servidores y estaciones de trabajo) a proveedores, las organizaciones deben retirar cualquier dispositivo de almacenamiento interno o externo antes de hacerlo.
Directrices de apoyo
- 7.14
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
Ninguno. Control 8.10 no tiene precedentes en ISO 27002:2013 ya que es nuevo.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
La plataforma ISMS.online proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.
El paquete integral de herramientas le brinda un lugar central donde puede crear un conjunto personalizado de políticas y procedimientos que se alineen con los riesgos y necesidades específicos de su organización. También permite la colaboración entre colegas y socios externos, como proveedores o auditores externos.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
