Las pruebas de auditoría desempeñan un papel fundamental en la detección y eliminación de riesgos y vulnerabilidades de seguridad en los sistemas de información.
Sin embargo, a pesar de la proceso de auditoría, ya sea que se realice en entornos operativos, de prueba o de desarrollo, puede exponer información confidencial a riesgos de divulgación no autorizada o pérdida de integridad y disponibilidad.
El Control 8.34 trata de cómo las organizaciones pueden mantener el seguridad de los activos de información durante las pruebas de auditoría.
El Control 8.34 permite a las organizaciones eliminar y mitigar los riesgos para el seguridad de los sistemas de información y a la continuidad de las operaciones comerciales mediante el establecimiento y aplicación de medidas y controles adecuados, como restricciones de acceso y limitaciones de acceso de sólo lectura.
El Control 8.34 es de carácter preventivo ya que requiere la La alta dirección y el auditor planificar y acordar las pruebas de auditoría. procedimientos, restricciones y controles previos a la realización de auditorías.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Seguridad del sistema y de la red #Protección de la información | #Gobernanza y Ecosistema #Proteccion |
La cosa El equipo directivo debe ser responsable de planificar y acordar los procedimientos de auditoría. y crear y aplicar las medidas necesarias.
El Control 8.34 enumera ocho requisitos específicos que las organizaciones deben considerar:
Cuando se realizan auditorías en entornos de prueba o desarrollo, las organizaciones deben tener cuidado con los siguientes riesgos:
El único cumplimiento
solución que necesitas
Reserva tu demostración
27002:2022/8.34 replace 27002:2013/(12.7.1)
Aunque la versión 2022 es similar en gran medida a la versión 2013, existen dos diferencias clave.
La versión 2022 introduce el siguiente requisito al que no se hacía referencia en la versión 2013:
Si se autoriza una solicitud de acceso, las organizaciones deben primero verificar que los dispositivos utilizados para acceder a los sistemas cumplan con los requisitos de seguridad antes de proporcionar acceso.
En la Guía complementaria, la versión 2022 advierte a las organizaciones contra la los riesgos de seguridad debido a auditorías realizadas en entornos de prueba y desarrollo. La versión de 2013, por el contrario, no hacía referencia a los entornos de prueba y desarrollo.
ISO 27002 La implementación es más sencilla con nuestra lista de verificación paso a paso que lo guía a través de todo el proceso, desde la definición del alcance de su SGSI hasta la identificación de riesgos y la implementación del control.
Nuestra plataforma es intuitivo y fácil de usar. No es sólo para gente muy técnica; es para todos en su organización. Le recomendamos que involucre al personal de todos los niveles de su negocio en el proceso de construcción de su ISMS, porque eso te ayuda a construir un sistema verdaderamente sostenible.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
