Cláusula 27701 de la norma ISO 6.5: Fortalecimiento de la privacidad mediante la gestión de activos
La gestión de activos es una parte clave para mantener la protección de la privacidad, a nivel físico y digital.
Las organizaciones deben mantener registros muy claros de todos los activos relevantes para obtener una visión de arriba hacia abajo de cómo la PII y los datos relacionados con la privacidad fluyen a través de la organización.
El personal que utiliza cualquier activo dentro de las TIC de una organización que tenga la capacidad de almacenar o procesar PII debe ser consciente explícitamente de lo que se espera de ellos en términos de uso aceptable y cómo se gestiona dicha información durante un período de baja.
Qué se cubre en la cláusula 27701 de la norma ISO 6.5
ISO 27701 6.5 contiene cuatro subcláusulas que tratan específicamente de la protección de la privacidad, dentro del contexto de la gestión de activos.
Cada subcláusula se basa en la orientación contenida dentro de varias subcláusulas de ISO 27002, con dos subcláusulas que contienen exactamente los mismos puntos de orientación:
- ISO 27701 6.5.1.1 – Inventario de activos (Referencias ISO 27002 Control 5.9).
- ISO 27701 6.5.1.2 – Propiedad de activos (Referencias ISO 27002 Control 5.9).
- ISO 27701 6.5.1.3 – Uso aceptable de activos (Referencias ISO 27002 Control 5.10).
- ISO 27701 6.5.1.4 – Devolución de activos (Referencias ISO 27002 Control 5.11).
ISO no proporciona orientación adicional para las actividades relacionadas con PIMS, dentro del alcance de la gestión de activos, ni hay ramificaciones del RGPD que deban tenerse en cuenta.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.5.1.1 – Inventario de Activos
Referencias ISO 27002 Control 5.9
Categorización de inventarios
Para aumentar la protección de la privacidad, las organizaciones deben mantener una lista documentada, actualizada y precisa de información y activos, incluida la capacidad de hacer referencia a inventarios en toda la organización.
Hay varias formas en que las organizaciones pueden mejorar su operación de inventario, que incluyen:
- Revisar periódicamente el contenido de un inventario, comparándolo con lo que realmente posee la organización.
- Cada vez que la organización cambia, introduce o elimina un activo, implementar procedimientos que actualicen automáticamente el inventario como parte del proceso de cambio.
- Asegurar que los inventarios contengan un campo de 'ubicación', para identificar fácilmente el paradero de cada activo.
No es necesario que los inventarios sean una lista grande de todos los activos físicos y digitales que se poseen. En cambio, ISO alienta a las organizaciones a separar los inventarios categoría por categoría, incluidos inventarios separados para:
- Activos de información.
- Hardware y software.
- Máquinas virtuales (VM).
- Equipamiento de las instalaciones.
- Registros de personal.
Es importante tener en cuenta que, en el caso de ciertos activos, no toda la información se puede mantener regularmente y no es necesario incluir hasta el último activo en todas las existencias físicas y digitales de la organización (por ejemplo, máquinas virtuales de corta duración que Realizar un propósito singular por un corto tiempo, antes de ser removido.
Propiedad del activo:
A todos los activos categorizados se les debe asignar un 'propietario' oficial, ya sea un individuo o un grupo (ver ISO 27002 5.12 y 5.13), que debe cambiar cuando los roles laborales comienzan, terminan o se modifican.
Los propietarios de activos deben asegurarse de que:
- Todos los activos están correctamente registrados y clasificados en un inventario.
- Las clasificaciones están sujetas a revisión periódica.
- Todos los componentes tecnológicos se enumeran en consecuencia y por separado de los activos físicos (por ejemplo, componentes de base de datos).
- La organización se adhiere a una política de uso aceptable (ver control ISO 27002 5.10).
- Se imponen restricciones a determinadas aclaraciones de activos y se revisan en el momento adecuado.
- Siempre que la organización necesite eliminar o eliminar datos de su inventario, dichos datos se eliminarán de forma segura.
- La gestión de riesgos está al frente y al centro de todas las actividades de manejo de activos.
- Ofrecen soporte adecuado a cualquier personal involucrado en la protección de la privacidad y la gestión de la información.
Controles ISO 27002 relevantes
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
ISO 27701 Cláusula 6.5.1.2 – Propiedad de Activos
Referencias ISO 27002 Control 5.9
Ver ISO 27701 cláusula 6.5.1.1
ISO 27701 Cláusula 6.5.1.3 – Uso Aceptable de Activos
Referencias ISO 27002 Control 5.10
Todo el personal dentro de la organización que maneja información o activos físicos y digitales debe ser consciente de sus responsabilidades respecto de la protección de la privacidad, incluidos los requisitos de seguridad generales o específicos de un tema.
Las políticas de uso aceptable deben describir claramente:
- Cómo clasifica la organización el comportamiento aceptable e inaceptable, dentro del alcance de la protección de la privacidad.
- Cómo se permite el uso de la información (específicamente PII) en la red.
- Cómo pretende la organización monitorear el uso de los activos.
Se deben implementar procedimientos que tengan en cuenta el ciclo de vida completo de la PII, incluidos:
- Restricciones de acceso que son relevantes para la PII.
- Un registro claro y actualizado de quién puede acceder a datos de PII y activos relacionados, y bajo qué circunstancias.
- Niveles adecuados de seguridad y almacenamiento de datos PII, incluidas copias temporales.
- Teniendo en cuenta las recomendaciones de los fabricantes a la hora de almacenar activos asociados a la protección de la privacidad (ver ISO 27002 7.8).
- Etiquetar claramente todos los medios de almacenamiento con los detalles del usuario/destinatario autorizado (ver ISO 27002 7.10).
- Cómo se eliminan de la red y/o se eliminan y eliminan los datos PII y los activos asociados.
Controles ISO 27002 relevantes
- ISO 27002 7.8
- ISO 27002 7.10
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.5.1.4 – Devolución de activos
Referencias ISO 27002 Control 5.11
Los procedimientos de gestión de activos también deben incluir directrices explícitas sobre cómo la organización gestiona la devolución de activos que han estado involucrados en el procesamiento o almacenamiento de PII y otra información relacionada con la privacidad.
Ya sea que el personal haya utilizado sus propios dispositivos o se le haya asignado un activo de la organización, es necesario implementar procesos que protejan la PII eliminando los datos del activo en cuestión y transfiriendo la información de regreso a la organización.
Si el personal está sujeto a un período de notificación, las organizaciones deben tomar medidas para garantizar que la PII no se vea comprometida de ninguna manera por el empleado despedido, incluido el intercambio, la transferencia o la eliminación no autorizados.
Las organizaciones deben desarrollar flujos de trabajo que cubran la devolución de todos los activos involucrados en el procesamiento o almacenamiento de PII, incluidos (pero no limitados a):
- Dispositivos (portátiles, móviles, tablets etc).
- Unidades USB.
- Herramientas y hardware de autenticación (activos y tokens de validación de VPN, equipos de entrada/puerta).
- Copias impresas de PII.
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.5.1.1 | Inventario de Activos |
5.9 – Inventario de información y otros activos asociados para ISO 27002 |
Ninguna |
| 6.5.1.2 | Propiedad de los activos |
5.9 – Inventario de información y otros activos asociados para ISO 27002 |
Ninguna |
| 6.5.1.3 | Uso Aceptable de los Activos |
5.10 – Uso aceptable de la información y otros activos asociados para ISO 27002 |
Ninguna |
| 6.5.1.4 | Devolución de Activos |
5.11 – Devolución de Activos para ISO 27002 |
Ninguna |
Cómo ayuda ISMS.online
¿Cómo te ayudamos?
Al agregar un PIMS a su ISMS en la plataforma ISMS.online, su postura de seguridad permanece todo en un solo lugar y evitará la duplicación cuando los estándares se superpongan.
Con su PIMS accesible instantáneamente para las partes interesadas, nunca ha sido tan fácil monitorear, informar y auditar según ISO 27002 e ISO 27701 con solo hacer clic en un botón.
Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27002 y 27701 combinada utilizando ISMS.online.
Descubre más por reservar una demostración práctica.
