Un blog editado por ISOTools Excellence
Blog especializado en Seguridad de la
Información y Ciberseguridad
Síguenos
A lo largo de estas semanas hemos ido haciendo un recorrido por los cambios que la norma ISO 27001 experimentó en 2022, en concreto en torno al módulo encargado de los controles. En el artículo anterior vimos una relación de controles tecnológicos que decidimos dividir en dos partes dada su numerosa cuantía.
En este artículo seguiremos abordando la revisión de los controles, en esta ocasión de carácter tecnológico, de la norma ISO/IEC 27001:2022 que han sufrido algún tipo de reordenación, y citaremos su totalidad para comprender mejor el sentido de esto procesos que velan por la seguridad de la información de nuestra organización. Dada la cantidad de controles tecnológicos que encontramos en este epígrafe los dividiremos en dos partes.
La norma ISO/IEC 27001, dedicada a la seguridad de la información por excelencia, incluye en su última actualización una reordenación de los controles. En anteriores entradas de este blog hemos tratado los organizacionales y las referentes a las personas. En esta ocasión nos centraremos en los controles físicos, que guardan relación directa con el espacio donde se desarrolla el trabajo y su protección.
Los estándares de la industria como ISO/IEC 27001:2022 garantizan, entre otras cosas, controles. Estos estándares también requieren el desarrollo organizacional de «controles de personas», la capacitación continua de los empleados y roles claramente definidos. A continuación, se recorren los controles de personas contenidos en el Anexo A de la norma ISO/IEC 27001.
ISO/IEC 27001:2022 es el estándar internacional utilizado por muchas organizaciones de todo el mundo como método para garantizar que sus activos de información estén seguros. Las organizaciones hacen uso de este estándar para proteger a sus clientes y empleados del fraude, el robo y el abuso. ISO/IEC 27001:2022 describe en el Anexo A una referencia de controles de seguridad de la información. Los controles de seguridad de la información se derivan directamente de los enumerados en ISO/IEC 27002:2022. Entre ellos se destacan los controles organizacionales.
El apartado de mejora en la nueva ISO/IEC 27001 establece que la organización debe mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de la seguridad de la información.
La norma ISO/IEC 27001 establece en lo relativo al seguimiento, medición, análisis y evaluación que la organización determinará:
En lo relativo a la planificación y control operativo, según la ISO/IEC 27001:2022, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos y para implementar las acciones determinadas por la propia norma, mediante:
En lo relacionado con los recursos, la ISO/IEC 27001: 2022 establece que la organización debe determinar y proporcionar aquellos que sean necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de seguridad de la información.
En lo referente a la planificación, la nueva norma ISO 27001:2022 establece que se deben determinar los riesgos y oportunidades que hay que abordar para:
