Comprensión de la cláusula 27701 de la norma ISO 6.7: Controles criptográficos para la protección de información de identificación personal
La criptografía (cifrado), junto con el acceso basado en roles, es el método principal para proteger la PII y la información relacionada con la privacidad frente a un uso no autorizado.
Los controles criptográficos son un requisito previo para casi todas las actividades relacionadas con la PII, donde se transfiere información privada entre sistemas, aplicaciones, usuarios y terceros.
Qué se cubre en la cláusula 27701 de la norma ISO 6.7
ISO 27701 6.7 contiene dos subcláusulas, las cuales se basan en la mismas notas orientativas de ISO 27002 8.2.4, que proporciona un marco criptográfico para que las organizaciones operen dentro de:
- ISO 27002 6.7.1.1 – Política sobre el uso de controles criptográficos (Referencias ISO 27002 Control 8.24)
- ISO 27002 6.7.1.2 – Gestión de claves (Referencias ISO 27002 Control 8.24)
ISO 27002 6.7.1.1 contiene orientación que se rige por la legislación GDPR del Reino Unido. Los artículos relevantes se han proporcionado para su comodidad.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.7.1.1 – Política sobre el uso de controles criptográficos
Referencias ISO 27002 Control 8.24
Las organizaciones deben utilizar cifrado para proteger el confidencialidad, autenticidad y integridad de PII e información relacionada con la privacidad, y cumplir con sus diversas obligaciones contractuales, legales o reglamentarias.
El cifrado es un concepto de gran alcance: no existe un enfoque único que sirva para todos. Las organizaciones deben evaluar sus necesidades y elegir una solución criptográfica que cumpla con sus objetivos comerciales y operativos únicos.
Orientación general
Las organizaciones deberían considerar:
- Desarrollar un tema específico enfoque de la criptografía, que tiene en cuenta diversos requisitos departamentales, operativos y basados en roles.
- El nivel adecuado de protección (junto con el tipo de información que se va a cifrar).
- Dispositivos móviles y medios de almacenamiento.
- Gestión de claves criptográficas (almacenamiento, procesamiento, etc).
- Roles y responsabilidades especializados para funciones criptográficas, incluida la implementación y la gestión de claves (ver ISO 27002 8.24).
- Los estándares técnicos de cifrado que se adoptarán, incluidos algoritmos, seguridad del cifrado y directrices de mejores prácticas.
- Cómo funcionará el cifrado junto con otros esfuerzos de ciberseguridad, como la protección contra malware y la seguridad de las puertas de enlace.
- Leyes y directrices transfronterizas y transjurisdiccionales (ver ISO 27002 5.31).
- Contratos con socios de criptografía externos que cubren total o parcialmente la responsabilidad, la confiabilidad y los tiempos de respuesta.
Gestión de claves
Los procedimientos de gestión clave deben distribuirse en 7 funciones principales:
- Generación.
- Almacenamiento.
- Archivado.
- Recuperación.
- Distribución.
- Saliente.
- Destrucción.
Los sistemas de gestión de claves organizacionales deberían:
- Administre la generación de claves para todos los métodos de cifrado.
- Implementar certificados de clave pública.
- Asegúrese de que todas las entidades humanas y no humanas relevantes reciban las claves necesarias.
- Guardar llaves.
- Modifique las claves, según sea necesario.
- Tenga procedimientos implementados para lidiar con claves potencialmente comprometidas.
- Retirar claves o revocar el acceso usuario por usuario.
- Recupere claves perdidas o que no funcionan correctamente, ya sea a partir de copias de seguridad y archivos de claves.
- Destruya las claves que ya no sean necesarias.
- Gestione el ciclo de vida de activación y desactivación, de modo que determinadas claves solo estén disponibles durante el período de tiempo que sean necesarias.
- Procesar solicitudes oficiales de acceso, de organismos encargados de hacer cumplir la ley o, en determinadas circunstancias, agencias reguladoras.
- Contiene controles de acceso que protegen el acceso físico a claves e información cifrada.
- Considerar la autenticidad de las claves públicas, antes de su implementación (autoridades certificadoras y certificados públicos).
Controles ISO 27002 relevantes
- ISO 27002 5.31
- ISO 27002 8.24
Artículos aplicables del RGPD
- Artículo 32 – (1)(a)
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.7.1.2 – Gestión de claves
Referencias ISO 27002 Control 8.24
Consulte la sección anterior sobre Gestión de claves (ISO 27701 6.7.1.1).
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.7.1.1 | Política sobre el uso de controles criptográficos | 8.24 – Uso de Criptografía para ISO 27002 | Artículo (32) |
| 6.7.1.2 | Gestión de claves | 8.24 – Uso de Criptografía para ISO 27002 | Ninguna |
Cómo ayuda ISMS.online
¿Cómo te ayudamos?
ISO 27701 le muestra cómo crear un sistema de gestión de información de privacidad que cumpla con la mayoría de las regulaciones de privacidad, incluido el GDPR de la UE, BS 10012 y POPIA de Sudáfrica.
Nuestro software simplificado, seguro y sostenible le ayuda a seguir fácilmente el enfoque descrito por el estándar reconocido internacionalmente.
Todas las funciones que necesitas:
- ROPA es fácil
- Banco de riesgos integrado
- Espacio seguro para la RRD
Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27002 y 27701 combinada utilizando ISMS.online reservar una demostración.
