Cómo garantizar transferencias seguras de información: explicación de la cláusula 27701 de la norma ISO 6.10.2
La información suele ser más vulnerable cuando se transfiere de un lugar a otro, ya sea física, digital o verbalmente.
Las organizaciones deben salvaguardar la PII que está en tránsito y brindar a los empleados y proveedores un conjunto claro de pautas sobre cómo comportarse al transferir información de una fuente a otra.
Qué se cubre en la cláusula 27701 de la norma ISO 6.10.2
La cláusula 27701 de ISO 6.10.2 contiene 4 subcláusulas que abordan la protección de la privacidad dentro del alcance de las transferencias de información. Cada subcláusula se basa en información de orientación de ISO 27002:
- ISO 27701 6.10.2.1 – Políticas y procedimientos de transferencia de información (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.2 – Acuerdos para transferencia de información (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.3 – Mensajería electrónica (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.4 – Acuerdos de confidencialidad o no divulgación (ISO 27002 Control 6.6).
Dos subcláusulas contienen orientación aplicable en el Reino Unido. GDPR legislación – (Cláusulas 6.10.2.1 y 6.10.2.4), sin que se ofrezca orientación adicional relacionada con PIMS o PII fuera de los puntos de orientación generales ya establecidos.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.10.2.1 – Políticas y procedimientos de transferencia de información
Referencias ISO 27002 Control 5.14
Las operaciones de transferencia de información deberían:
- Centrarse en controles que impidan la interceptación, Acceso no autorizado, proceso de copiar, modificación, desvío, destrucción y denegación de servicio de PII e información relacionada con la privacidad (consulte ISO 27002 Control 8.24).
- Asegúrese de que la información sea rastreable.
- Clasifique una lista de contactos, es decir, propietarios, propietarios de riesgos, etc.
- Describir las responsabilidades en caso de un incidente de seguridad.
- Incluir sistemas de etiquetado claros y concisos (ver Control ISO 27002 5.13).
- Garantizar una instalación de transferencia confiable, incluidas políticas temáticas específicas sobre la transferencia de datos (ver Control ISO 27002 5.10).
- Describir las pautas de retención y eliminación, incluidas las leyes y pautas específicas de cada región o sector.
Transferencia electronica
Al utilizar servicios de transferencia electrónica, las organizaciones deben:
- Intente detectar y protegerse contra programas maliciosos (consulte ISO 27002 Control 8.7).
- Concéntrese en proteger los archivos adjuntos.
- Tenga mucho cuidado al enviar información a la dirección correcta.
- Exigir un proceso de aprobación, antes de que los empleados puedan transmitir información a través de 'servicios públicos externos' (por ejemplo, mensajería instantánea), y ejercer un mayor control sobre dichos métodos.
- Evite el uso de servicios de SMS y máquinas de fax, siempre que sea posible.
Transferencias físicas (incluidos medios de almacenamiento)
Al transferir medios físicos (incluidos documentos en papel) entre instalaciones o ubicaciones externas, las organizaciones deben:
- Describa responsabilidades claras para el envío y la recepción.
- Tenga mucho cuidado al ingresar los detalles de la dirección correcta.
- Utilice embalajes que ofrezcan protección contra daños físicos o manipulación.
- Opere con una lista de mensajeros autorizados y despachadores externos, incluidos estándares de identificación sólidos.
- Mantenga registros completos de todas las transferencias físicas, incluidos los detalles del destinatario, las fechas y horas de las transferencias y cualquier medida de protección física.
Transferencias verbales
La transmisión verbal de información confidencial presenta un riesgo de seguridad único, particularmente en lo que respecta a la PII y la protección de la privacidad.
Las organizaciones deben recordar a los empleados que:
- Evite tener este tipo de conversaciones en un lugar público o en un lugar interno no seguro.
- Evite dejar mensajes de correo de voz que contengan información confidencial o restringida.
- Asegúrese de que la persona con la que está hablando tenga un nivel adecuado para recibir dicha información, e infórmele de lo que se va a decir antes de divulgar la información.
- Sea consciente de su entorno y asegúrese de que se respeten los controles de la habitación.
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
Controles ISO 27002 relevantes
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 Cláusula 6.10.2.2 – Acuerdos para la transferencia de información
Referencias ISO 27002 Control 5.14
Ver ISO 27701 Cláusula 6.10.2.1
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.10.2.3 – Mensajería electrónica
Referencias ISO 27002 Control 5.14
Ver ISO 27701 Cláusula 6.10.2.1
ISO 27701 Cláusula 6.10.2.4 – Acuerdos de confidencialidad o no divulgación
Referencias ISO 27002 Control 6.6
Las organizaciones deben utilizar acuerdos de confidencialidad (NDA) y acuerdos de confidencialidad para proteger la divulgación intencional o accidental de información confidencial a personal no autorizado.
Al redactar, implementar y mantener dichos acuerdos, las organizaciones deberían:
- Ofrecer una definición de la información que se desea proteger.
- Describa claramente la duración prevista del acuerdo.
- Indique claramente las acciones requeridas una vez que se haya rescindido el acuerdo.
- Cualquier responsabilidad que acuerden los firmantes confirmados.
- Propiedad de la información (incluida la propiedad intelectual y los secretos comerciales).
- Cómo se permite a los firmantes utilizar la información.
- Describa claramente el derecho de la organización a monitorear la información confidencial.
- Cualesquiera repercusiones que se deriven del incumplimiento.
- Revisa periódicamente sus necesidades de confidencialidad y ajusta cualquier acuerdo futuro en consecuencia.
Las leyes de confidencialidad varían de una jurisdicción a otra, y las organizaciones deben considerar sus propias obligaciones legales y regulatorias al redactar NDA y acuerdos de confidencialidad (consulte los controles 27002, 5.31, 5.32 y 5.33 de ISO 5.34).
Artículos aplicables del RGPD
- Artículo 5 – (1)
- Artículo 25 – (1)(f)
- Artículo 28 – (3)(b)
- Artículo 38 – (5)
Controles ISO 27002 relevantes
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.10.2.1 | Políticas y procedimientos de transferencia de información |
5.14 – Transferencia de Información para ISO 27002 | Artículo (5) |
| 6.10.2.2 | Acuerdos para Transferencia de Información |
5.14 – Transferencia de Información para ISO 27002 | Nona |
| 6.10.2.3 | Mensajería Electrónica |
5.14 – Transferencia de Información para ISO 27002 | Nona |
| 6.10.2.4 | Acuerdos de confidencialidad o no divulgación |
6.6 – Acuerdos de confidencialidad o no divulgación para ISO 27002 | Artículo (5), (25), (28), (38) |
Cómo ayuda ISMS.online
Ya sea que recién esté comenzando a analizar la privacidad de los datos o sea un experto que busque integrar múltiples estándares y regulaciones, nuestras funciones son fáciles de usar y progresará en el instante en que inicie sesión.
- Banco de riesgos integrado
- ROPA es fácil
- Espacio seguro para la RRD
Descubre más por reservar una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
