Cláusula 27701 de la norma ISO 6.8: Fortalecimiento de la seguridad física y ambiental
Además de las medidas de seguridad digital (RBAC, controles de cifrado y autenticación), las organizaciones necesitan construir y gestionar ubicaciones físicas (sitios, oficinas, instalaciones) que ofrezcan una mayor protección a la PII dondequiera que se procese o almacene.
ISO describe numerosas amenazas humanas, ambientales y urbanas que deben combatirse mediante la planificación de la construcción, la gestión de riesgos y controles físicos sólidos.
Qué se cubre en la cláusula 27701 de la norma ISO 6.8
La guía de ISO 27701 6.8 se distribuye en seis subcláusulas, cada una de las cuales contiene Orientación de varios controles dentro de ISO 27002., aplicado en el contexto de la PII y la protección de la privacidad:
- ISO 27701 6.8.1.1 – Perímetro de seguridad física (Referencias ISO 27002 Control 7.1)
- ISO 27701 6.8.1.2 – Controles físicos de entrada (Referencias ISO 27002 Control 7.2)
- ISO 27701 6.8.1.3 – Seguridad de oficinas, salas e instalaciones (Referencias ISO 27002 Control 7.3)
- ISO 27701 6.8.1.4 – Protección contra amenazas externas y ambientales (Referencias ISO 27002 Control 7.5)
- ISO 27701 6.8.1.5 – Trabajo en áreas seguras (Referencias ISO 27002 Control 7.6)
- ISO 27701 6.8.1.6 – Áreas de entrega y carga (Referencias ISO 27002 Control 7.2)
La cláusula 27701 de ISO 6.8 no contiene ninguna guía complementaria para la implementación y gestión de un PIMS, ni tampoco hay ningún artículo del RGPD del Reino Unido que deba considerarse.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.8.1.1 – Perímetro de seguridad física
Referencias ISO 27002 Control 7.1
La protección perimetral opera según el principio de crear barreras físicas internas continuas que impiden el acceso no autorizado a información privada.
Para mantener una operación de protección perimetral de extremo a extremo, las organizaciones deben evitar el acceso físico a la PII mediante:
- Definición e implementación de perímetros de seguridad que tengan en cuenta el almacenamiento de datos sensibles (PII).
- Mantener perímetros "físicamente sólidos" que proporcionen acceso seguro las 24 horas, los 7 días de la semana.
- Bloquear todos los puntos exteriores de entrada y salida cuando no haya personal presente (y asegurar los puntos de ventilación, cuando corresponda).
- Protección de puertas con alarmas y medidas de acceso seguro (códigos de llave, mecanismos de bloqueo automático, etc.).
- Mantener un robusto conjunto de puertas cortafuegos con alarma, que tengan en cuenta la legislación vigente en la construcción de accesos exteriores e interiores.
- Elaborar planes de contingencia que permitan aumentar la seguridad durante situaciones críticas o incidentes de seguridad.
ISO 27701 Cláusula 6.8.1.2 – Controles de entrada física
Referencias ISO 27002 Control 7.2
Mientras que ISO 27701 6.8.1.1 se centra en los perímetros de seguridad, la cláusula 6.8.1.2 describe principios generales para garantizar que solo el personal autorizado pueda acceder a áreas que contienen PII y activos relacionados con la privacidad.
Orientación general
Las organizaciones deberían:
- Restringir uniformemente el acceso a sitios completos, edificios e instalaciones de oficinas únicamente al personal autorizado (incluidos los puntos de salida de emergencia).
- Realizar revisiones periódicas de los niveles de acceso, que deben incluir una actualización general de todos los niveles de acceso, según sea necesario (ver control ISO 27002 5.18).
- Mantenga un libro de registro, o cree un registro de auditoría digital, del acceso al sitio y a la sala (ver control ISO 27002 5.33).
- Desarrollar e instalar medidas técnicas de acceso (tarjetas de acceso, llaveros, sistemas de entrada biométricos, alarmas codificadas, etc.).
- Mantener un área de recepción monitoreada.
- Examine las pertenencias personales del personal interno y externo antes de la entrada (NB: las leyes regionales sobre la inspección de propiedad personal pueden impedir que las organizaciones hagan esto).
- Hacer cumplir las regulaciones de identificación con fotografía en todo el sitio.
- Proporcionar a los visitantes acceso restringido a cualquier área que almacene o procese PII o información relacionada con la privacidad.
- Crear planes de contingencia para incidentes y escenarios críticos.
- Mantener un sistema de gestión de claves que registre, audite, mantenga, otorgue y revoque el acceso a métodos de autenticación, como sistemas de entrada de puertas y cerraduras de combinación (ver control ISO 27002 5.17).
de espectadores
Al permitir el acceso de visitantes a áreas restringidas, las organizaciones deben:
- Verificar la identidad del visitante, antes de proporcionarle acceso.
- Registre la fecha y hora de una visita.
- Asegúrese de que la naturaleza de la visita se comprenda y registre, y que sea apropiada dentro del contexto del área física a la que se accede.
- Asegúrese de que el visitante esté supervisado, cuando corresponda.
Áreas de entrega y carga
Al diseñar y operar un área de carga, las organizaciones deberían:
- Restringir el acceso a las zonas de carga a empresas y particulares verificados.
- Construir la zona de carga de forma que ninguna otra parte del local sea accesible sin la debida autorización.
- Verifique las entregas recibidas en busca de materiales peligrosos, ilegales y explosivos, así como manipulación, antes de mover su contenido por las instalaciones.
- Registrar las entregas entrantes de acuerdo con los controles de gestión de activos de la organización (ver controles ISO 27002 5.9 y 7.10).
- Ofrecer un espacio para que el personal separe físicamente el material entrante y saliente.
Controles ISO 27002 relevantes
- ISO 27002 5.9
- ISO 27002 5.17
- ISO 27002 5.18
- ISO 27002 5.33
- ISO 27002 7.10
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.8.1.3 – Seguridad de oficinas, habitaciones e instalaciones
Referencias ISO 27002 Control 7.3
La protección física de la PII y de los activos relacionados con la privacidad también se extiende a las habitaciones dentro de un perímetro de seguridad establecido. Para proteger oficinas, salas e instalaciones, las organizaciones deben:
Para proteger las instalaciones internas, las organizaciones deberían:
- Evitar la construcción de instalaciones de oficinas que permitan el libre acceso del público, sin la debida autorización.
- En lo que respecta a las instalaciones de procesamiento de PII, evite los carteles que indiquen el propósito de la instalación (interna o externamente).
- Construir instalaciones que impidan que el personal sea visible al público, instalando blindajes electromagnéticos adecuados si fuera necesario.
- Ocultar la presencia de instalaciones de procesamiento de PII en plataformas de mapas en línea y directorios de comunicaciones.
ISO 27701 Cláusula 6.8.1.4 – Protección contra amenazas externas y ambientales
Referencias ISO 27002 Control 7.5
Una "amenaza" puede interpretarse como cualquier evento importante que tenga el potencial de afectar la PII o los activos relacionados con la privacidad.
Las organizaciones deben embarcarse en una evaluación de riesgos de amenazas antes de llevar a cabo 'operaciones críticas', que tengan en cuenta los cambios en el entorno de amenazas, incluidas las amenazas físicas (por ejemplo, actividad criminal) y ambientales (inundaciones, incendios, etc.).
Al construir locales físicos, las organizaciones deberían tener en cuenta:
- Factores geográficos y topológicos locales, incluidas las características del terreno, el agua cercana y la posibilidad de que se produzca un terremoto.
- Cualquier amenaza que surja de fuentes humanas dentro de áreas urbanas, como actividad terrorista o criminal, y violencia/disturbios políticos.
Una vez que se completa la evaluación de riesgos, las organizaciones deben desarrollar una serie de controles que busquen prevenir y minimizar el riesgo de que una amenaza ocurra o vuelva a ocurrir.
menciones ISO incendio, inundación, sobretensiones eléctricas y explosivos/armas como de particular importancia. Si los recursos se agotan, las organizaciones deben centrarse en estas cuatro áreas como prioridad.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.8.1.5 – Trabajo en áreas seguras
Referencias ISO 27002 Control 7.6
Las organizaciones deben salvaguardar la PII y los activos relacionados con la privacidad mediante la implementación de una política de trabajo segura para todo el personal, que tenga en cuenta las funciones laborales y las medidas de protección física.
Al formular políticas de trabajo en áreas seguras, las organizaciones deberían:
- Asegúrese de que el personal opere según la "necesidad de saber".
- Evite dejar al personal sin supervisión por períodos prolongados de tiempo.
- Asegúrese de que todas las puertas relevantes estén cerradas con llave y que las áreas con poca afluencia o permanentemente vacías estén sujetas a inspecciones periódicas.
- Monitorear y controlar el uso de dispositivos terminales personales y organizacionales, a un nivel que sea proporcional a los datos que se conservan.
- Muestre claramente los planes de contingencia y los procedimientos de emergencia, para que el personal comprenda cómo reaccionar ante escenarios críticos.
ISO 27701 Cláusula 6.8.1.6 – Áreas de entrega y carga
Referencias ISO 27002 Control 7.2
Consulte la cláusula 27701 de ISO 6.8.1.2 (arriba).
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.8.1.1 | Perímetro de seguridad física |
7.1 – Perímetros de Seguridad Física para ISO 27002 |
Ninguno |
| 6.8.1.2 | Controles de entrada física |
7.2 – Entrada Física para ISO 27002 |
Ninguno |
| 6.8.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
7.3 – Protección de oficinas, salas e instalaciones para ISO 27002 |
Ninguno |
| 6.8.1.4 | Protección contra amenazas externas y ambientales |
7.5 – Protección contra amenazas físicas y ambientales para ISO 27002 |
Ninguno |
| 6.8.1.5 | Trabajar en áreas seguras |
7.6 – Trabajar en áreas seguras para ISO 27002 |
Ninguno |
| 6.8.1.6 | Áreas de entrega y carga |
7.2 – Entrada Física para ISO 27002 |
Ninguno |
Cómo ayuda ISMS.online
¿Cómo te ayudamos?
Para lograr la norma ISO 27701, debe crear un sistema de gestión de información de privacidad (PIMS). Con nuestro PIMS preconfigurado puede organizar y gestionar rápida y fácilmente la información de clientes, proveedores y personal para cumplir plenamente con la norma ISO 27701.
También puede adaptarse al creciente número de regulaciones de privacidad globales, regionales y específicas del sector que apoyamos en la plataforma ISMS.online.
Para lograr la certificación ISO 27701, primero debe obtener la certificación ISO 27001. La buena noticia es que nuestra plataforma puede ayudarlo a lograr ambas cosas.
Descubre más por reservar una demostración práctica.
