ISO 27701 – Cláusula 6.7 – Criptografía

Cláusula 27701 de la norma ISO 6.7, que requiere que las organizaciones implementen controles criptográficos para proteger la información de identificación personal (PII) mediante el desarrollo de una política criptográfica, la gestión de claves de cifrado y la garantía del cumplimiento de los requisitos reglamentarios.

Solicite una demo
Autor
Max Edwards
Actualizado 26 de febrero de 2025
LinkedIn Twitter Twitter

Comprensión de la cláusula 27701 de la norma ISO 6.7: Controles criptográficos para la protección de información de identificación personal

La criptografía (cifrado), junto con el acceso basado en roles, es el método principal para proteger la PII y la información relacionada con la privacidad frente a un uso no autorizado.

Los controles criptográficos son un requisito previo para casi todas las actividades relacionadas con la PII, donde se transfiere información privada entre sistemas, aplicaciones, usuarios y terceros.

Qué se cubre en la cláusula 27701 de la norma ISO 6.7

ISO 27701 6.7 contiene dos subcláusulas, las cuales se basan en la mismas notas orientativas de ISO 27002 8.2.4, que proporciona un marco criptográfico para que las organizaciones operen dentro de:

  • ISO 27002 6.7.1.1 – Política sobre el uso de controles criptográficos (Referencias ISO 27002 Control 8.24)
  • ISO 27002 6.7.1.2 – Gestión de claves (Referencias ISO 27002 Control 8.24)

ISO 27002 6.7.1.1 contiene orientación que se rige por la legislación GDPR del Reino Unido. Los artículos relevantes se han proporcionado para su comodidad.

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.



Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


ISO 27701 Cláusula 6.7.1.1 – Política sobre el uso de controles criptográficos

Referencias ISO 27002 Control 8.24

Las organizaciones deben utilizar cifrado para proteger el confidencialidad, autenticidad y integridad de PII e información relacionada con la privacidad, y cumplir con sus diversas obligaciones contractuales, legales o reglamentarias.

El cifrado es un concepto de gran alcance: no existe un enfoque único que sirva para todos. Las organizaciones deben evaluar sus necesidades y elegir una solución criptográfica que cumpla con sus objetivos comerciales y operativos únicos.

Orientación general

Las organizaciones deberían considerar:

  • Desarrollar un tema específico enfoque de la criptografía, que tiene en cuenta diversos requisitos departamentales, operativos y basados ​​en roles.
  • El nivel adecuado de protección (junto con el tipo de información que se va a cifrar).
  • Dispositivos móviles y medios de almacenamiento.
  • Gestión de claves criptográficas (almacenamiento, procesamiento, etc).
  • Roles y responsabilidades especializados para funciones criptográficas, incluida la implementación y la gestión de claves (ver ISO 27002 8.24).
  • Los estándares técnicos de cifrado que se adoptarán, incluidos algoritmos, seguridad del cifrado y directrices de mejores prácticas.
  • Cómo funcionará el cifrado junto con otros esfuerzos de ciberseguridad, como la protección contra malware y la seguridad de las puertas de enlace.
  • Leyes y directrices transfronterizas y transjurisdiccionales (ver ISO 27002 5.31).
  • Contratos con socios de criptografía externos que cubren total o parcialmente la responsabilidad, la confiabilidad y los tiempos de respuesta.

Gestión de claves

Los procedimientos de gestión clave deben distribuirse en 7 funciones principales:

  1. Generación.
  2. Almacenamiento.
  3. Archivado.
  4. Recuperación.
  5. Distribución.
  6. Saliente.
  7. Destrucción.

Los sistemas de gestión de claves organizacionales deberían:

  • Administre la generación de claves para todos los métodos de cifrado.
  • Implementar certificados de clave pública.
  • Asegúrese de que todas las entidades humanas y no humanas relevantes reciban las claves necesarias.
  • Guardar llaves.
  • Modifique las claves, según sea necesario.
  • Tenga procedimientos implementados para lidiar con claves potencialmente comprometidas.
  • Retirar claves o revocar el acceso usuario por usuario.
  • Recupere claves perdidas o que no funcionan correctamente, ya sea a partir de copias de seguridad y archivos de claves.
  • Destruya las claves que ya no sean necesarias.
  • Gestione el ciclo de vida de activación y desactivación, de modo que determinadas claves solo estén disponibles durante el período de tiempo que sean necesarias.
  • Procesar solicitudes oficiales de acceso, de organismos encargados de hacer cumplir la ley o, en determinadas circunstancias, agencias reguladoras.
  • Contiene controles de acceso que protegen el acceso físico a claves e información cifrada.
  • Considerar la autenticidad de las claves públicas, antes de su implementación (autoridades certificadoras y certificados públicos).

Controles ISO 27002 relevantes

  • ISO 27002 5.31
  • ISO 27002 8.24

Artículos aplicables del RGPD

  • Artículo 32 – (1)(a)


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 6.7.1.2 – Gestión de claves

Referencias ISO 27002 Control 8.24

Consulte la sección anterior sobre Gestión de claves (ISO 27701 6.7.1.1).

Controles de soporte de ISO 27002 y GDPR

Identificador de cláusula ISO 27701Nombre de la cláusula ISO 27701Requisito ISO 27002Artículos relacionados con el RGPD
6.7.1.1Política sobre el uso de controles criptográficos 8.24 – Uso de Criptografía para ISO 27002 Artículo (32)
6.7.1.2Gestión de claves 8.24 – Uso de Criptografía para ISO 27002n/a

Cómo ayuda ISMS.online

¿Cómo te ayudamos?

ISO 27701 le muestra cómo crear un sistema de gestión de información de privacidad que cumpla con la mayoría de las regulaciones de privacidad, incluido el GDPR de la UE, BS 10012 y POPIA de Sudáfrica.

Nuestro software simplificado, seguro y sostenible le ayuda a seguir fácilmente el enfoque descrito por el estándar reconocido internacionalmente.

Todas las funciones que necesitas:

  • ROPA es fácil
  • Banco de riesgos integrado
  • Espacio seguro para la RRD

Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27002 y 27701 combinada utilizando ISMS.online reservar una demostración.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!