ISO 27701 Cláusula 6.9.7: Fortalecimiento de las auditorías de los sistemas de información
La auditoría suele implicar la recopilación de grandes cantidades de información sobre cualquier sistema determinado, incluidas las acciones de los usuarios, los datos de los clientes y los eventos críticos.
El proceso de auditoría en sí puede representar un riesgo para la PII y la protección de la privacidad, dado que dichas actividades tienen el potencial de afectar la disponibilidad de datos y, a veces, requieren métodos especializados para interrogar conjuntos de datos confidenciales.
Qué se cubre en la cláusula 27701 de la norma ISO 6.9.7
ISO 27701 6.9.7 contiene una subcláusula relacionada con la auditoría de TIC y los riesgos de privacidad asociados – ISO 6.9.7.1 – que incluye orientación de ISO 27002 controlar 8.34.
ISO no proporciona puntos de orientación adicionales relacionados con PIMS o PII, ni tampoco existen GDPR consideraciones a tener en cuenta.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.9.7.1 – Controles de auditoría de sistemas de información
Referencias ISO 27002 Control 8.34
Al realizar auditorías periódicas (y otras actividades de aseguramiento de la red), se deben redactar planes para garantizar que la integridad y disponibilidad de la PII y los activos relacionados con la privacidad estén protegidas en todo momento.
Para lograr esto, las organizaciones deberían:
- Garantizar que el acceso a los sistemas se gestione adecuadamente, a efectos de auditoría.
- Delinear claramente el alcance de las actividades de auditoría, antes de su implementación.
- Siempre que sea posible, limite el acceso a datos confidenciales a privilegios de solo lectura. Si se requieren permisos elevados, las organizaciones deberían considerar delegar tareas de auditoría a un "administrador experimentado".
- Examinar la configuración de seguridad de los dispositivos que se utilizan para realizar la auditoría.
- Operar con un procedimiento acordado para la solicitud de herramientas de auditoría especializadas.
- Cuando sea posible, ejecute todas las actividades de auditoría fuera del horario comercial, cuando dichas actividades tengan el potencial de afectar la disponibilidad del sistema.
- Mantener un registro exhaustivo de todas las actividades de auditoría (incluidas las solicitudes) con fines de cumplimiento.
- Considere las implicaciones para la privacidad de auditar las instalaciones y entornos de prueba y desarrollo.
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.9.7.1 | Controles de auditoría de sistemas de información | 8.34 – Protección de los sistemas de información durante las pruebas de auditoría para ISO 27002 | Nona |
Cómo ayuda ISMS.online
Nuestro PIMS se adhiere al estándar internacional ISO 27001, pero también puede adaptarse a un número creciente de estándares, marcos y regulaciones de privacidad nacionales, regionales y específicos del sector.
- GDPR
- popia
- BS 10012
- Principios de privacidad de Australia
- Marco de privacidad del NIST
- Directrices de privacidad de la OCDE
- Marco de privacidad de APEC
- Y más...
Con nuestra plataforma intuitiva, puede mapear su trabajo en múltiples marcos, eliminando la duplicación y la repetición.
Descubre más por reservar una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
