La norma ISO/IEC 27001, dedicada a la seguridad de la información por excelencia, incluye en su última actualización una reordenación de los controles. En anteriores entradas de este blog hemos tratado los organizacionales y las referentes a las personas. En esta ocasión nos centraremos en los controles físicos, que guardan relación directa con el espacio donde se desarrolla el trabajo y su protección.
Los estándares de la industria como ISO/IEC 27001:2022 garantizan, entre otras cosas, controles. Estos estándares también requieren el desarrollo organizacional de «controles de personas», la capacitación continua de los empleados y roles claramente definidos. A continuación, se recorren los controles de personas contenidos en el Anexo A de la norma ISO/IEC 27001.
ISO 27001 es el estándar internacional utilizado por muchas organizaciones de todo el mundo como método para garantizar que sus activos de información estén seguros. Las organizaciones hacen uso de este estándar para proteger a sus clientes y empleados del fraude, el robo y el abuso. ISO/IEC 27001:2022 describe en el Anexo A una referencia de controles de seguridad de la información. Los controles de seguridad de la información se derivan directamente de los enumerados en ISO/IEC 27002:2022. Entre ellos se destacan los controles organizacionales.
El apartado de mejora en la nueva ISO/IEC 27001 establece que la organización debe mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de la seguridad de la información.
La norma ISO/IEC 27001 establece en lo relativo al seguimiento, medición, análisis y evaluación que la organización determinará:
En lo relativo a la planificación y control operativo, según la ISO/IEC 27001:2022, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos y para implementar las acciones determinadas por la propia norma, mediante:
