Investigación sobre los estándares de la serie ISO / IEC27000
Primero introduzca dos términos:
ISO: Organización Internacional de Normalización La Organización Internacional de Normalización es una organización no gubernamental internacional en el campo de la normalización. ISO se estableció en 1947 y China es miembro de pleno derecho de ISO.
IEC: Comisión Electrotécnica Internacional La Comisión Electrotécnica Internacional, establecida en 1906, es la primera organización internacional de normalización electrotécnica establecida en el mundo, responsable de la normalización internacional en los campos de la ingeniería eléctrica y la ingeniería electrónica.
Presentamos una parte:
La descripción general y el vocabulario del sistema de gestión de seguridad de la información ISO / IEC 27000 se adoptan como: GB / T29246—2012 / ISO / IEC27000: 2009 "Tecnología de seguridad de la tecnología de la información Descripción general y vocabulario del sistema de gestión de seguridad de la información" Seguridad de la información
ISO / IEC 27001 Gestión Los requisitos del sistema se adoptan como: GB / T22080—2016 / ISO / IEC27001: 2013 "Requisitos técnicos de seguridad de la tecnología de la información del sistema de gestión de seguridad de la información" El
código de prácticas de gestión de seguridad de la información ISO / IEC 27002 (o reglas prácticas de gestión de seguridad de la información) se adoptó como : GB / T22081—2016 / ISO / IEC27002: 2013 "Guía de prácticas de control de seguridad de la tecnología de seguridad de la información"
ISO / IEC 27003 Guía de implementación del sistema de gestión de seguridad de la información
ISO / IEC 27004 Pautas de medición de la gestión de seguridad de la información y marco de índices
ISO / IEC 27005 Información Guía de gestión de riesgos de seguridad
ISO27001 es el estándar principal de la serie ISO27000. Varias organizaciones pueden establecer su propio sistema de gestión de seguridad de la información (SGSI) de acuerdo con los requisitos de ISO27001 y aprobar la certificación.
Analicemos en detalle ISO27001 (según: ISO27001: 2013)
Primero, los requisitos de ISO27001 se dividen en 14 categorías (es decir, A.5-A.18), y cada categoría tiene sus propios requisitos.
A.5 Estrategia de seguridad de la información
A.5.1 Dirección de gestión de
la seguridad de la información A.5.1.1 Estrategia de seguridad de la
información El gerente debe definir, aprobar, publicar y comunicar a los empleados y las partes externas relevantes el conjunto de estrategias de seguridad de la información.
A.5.1.2 Revisión de la estrategia de seguridad de la información La estrategia de seguridad de la información
debe revisarse a intervalos planificados o cuando ocurran cambios importantes para asegurar su conveniencia, adecuación y eficacia continuas.
A.6 Organización de seguridad de la información
A.6.1 Organización interna
A.6.1.1 Roles y responsabilidades de
seguridad de la información Se deben definir y asignar todas las responsabilidades de seguridad de la información.
A.6.1.2 Separación
de responsabilidades Las responsabilidades en conflicto y el alcance de las responsabilidades deben separarse para reducir la posibilidad de modificaciones no autorizadas o inconscientes o uso indebido de los activos de la organización.
A.6.1.3 Contacto
con la autoridad supervisora Se debe mantener un contacto apropiado con la autoridad supervisora.
A.6.1.4 Contacto
con grupos de intereses especiales Se deberían mantener contactos apropiados con grupos de intereses especiales, otras asociaciones profesionales de seguridad o asociaciones industriales.
A.6.1.5 Seguridad de la información
en la gestión de proyectos Independientemente del tipo de proyecto, los problemas de seguridad de la información deben abordarse en la gestión de proyectos.
A.6.2 Dispositivos móviles y oficina remota
A.6.2.1 Estrategia de dispositivos móviles Deben adoptarse estrategias de
seguridad y medidas de seguridad de apoyo para gestionar los riesgos causados por el uso de dispositivos móviles.
A.6.2.2 Teletrabajo
Se deben implementar políticas de seguridad y medidas de seguridad de apoyo para proteger el acceso, procesamiento o almacenamiento de información en ubicaciones de oficinas remotas.
A.7 Seguridad de los recursos humanos
A.7.1 Antes de la designación
A.7.1.1 Evaluación del personal De
acuerdo con las leyes, regulaciones y ética pertinentes, realice verificaciones de antecedentes de los empleados, el personal contratado y los contratistas, y la encuesta debe satisfacer las necesidades comerciales y los tipos de información a la que se accede y riesgos conocidos.
A.7.1.2 Términos y condiciones de nombramiento El
acuerdo contractual entre empleados y contratistas debe estipular sus responsabilidades de seguridad de la información y las de la organización.
A.7.2 Durante el nombramiento
A.7.2.1 Responsabilidades de la
dirección La dirección debería exigir a los empleados, contratistas y usuarios de los contratistas que apliquen políticas y procedimientos de seguridad de la información que cumplan con las políticas de seguridad de la información establecidas por la organización.
A.7.2.2 Educación y capacitación en concientización sobre seguridad de la información
Todos los empleados, contratistas relacionados y contratistas de la organización deberían recibir la capacitación adecuada en concientización y actualizar regularmente las estrategias y procedimientos organizacionales relacionados con su trabajo.
A.7.2.3 Procedimientos disciplinarios
Se establecerán y comunicarán procedimientos disciplinarios formales , y los empleados que violen la política de seguridad serán castigados en consecuencia.
A.7.3 Terminación o cambio de
nombramiento A.7.3.1 Responsabilidad por terminación o cambio de nombramiento
Las responsabilidades y obligaciones de seguridad de la información deben definirse para que sigan siendo efectivas después de la terminación o cambio de empleo, y deben comunicarse e implementarse a los empleados y contratistas.
A.8 Gestión de activos
A.8.1 Responsable de los activos
A.8.1.1 Inventario de activos Se determinará el inventario
de activos de los activos de información y los activos relacionados con las instalaciones de procesamiento de información, y se formulará y mantendrá el inventario de activos.
A.8.1.2 Persona responsable / propiedad del
activo Los activos en la lista de activos deben designarse como el propietario del activo.
A.8.1.3 Uso razonable de activos
Se deben identificar, documentar e implementar las reglas para el uso razonable de la información y los activos relacionados con las instalaciones de procesamiento de información.
A.8.1.4 Devolución de activos
Después de la terminación del contrato o acuerdo de trabajo, todos los empleados y usuarios externos deberán devolver todos los activos de la organización que utilizan.
A.8.2 Clasificación de la información A.8.2.1 Clasificación de la
información La información
debe clasificarse de acuerdo con las regulaciones, el valor, la importancia y la sensibilidad para proteger la información de la divulgación no autorizada o la manipulación.
A.8.2.2 Identificación
de la información Deben desarrollarse e implementarse procedimientos apropiados de identificación de la información, y deben combinarse con el esquema de clasificación de la información de la organización.
A.8.2.3
Deberían desarrollarse e implementarse procedimientos de manejo de activos para que coincidan con el esquema de clasificación de información de la organización.
A.8.3 Manejo de los medios
A.8.3.1 Gestión
de los medios extraíbles Los procedimientos de gestión de los medios extraíbles deberían implementarse y combinarse con el esquema de clasificación de la organización.
A.8.3.2 Destrucción de
los medios Cuando los medios ya no sean necesarios, deberían eliminarse de manera confiable y segura de acuerdo con los procedimientos formales.
A.8.3.3 Transmisión por medios físicos
Los medios que contienen información deben protegerse para evitar el acceso no autorizado, el abuso o los daños durante el transporte.
A.9 Control de acceso
A.9.1 Requisitos comerciales
para el control de acceso A.9.1.1 Estrategia de control de acceso
Se debe establecer una estrategia de control de acceso documentada y la estrategia debe revisarse de acuerdo con los requisitos comerciales y de seguridad.
A.9.1.2 La política de uso de los servicios de red
solo debe permitir a los usuarios acceder a redes y servicios de red que estén expresamente autorizados a usar.
A.9.2 Gestión de acceso de usuario
A.9.2.1 Registro y cancelación de
registro de usuario Se debe implementar un procedimiento formal de registro y cancelación de registro de usuario para poder asignar derechos de acceso.
A.9.2.2 Provisión de derechos de acceso de usuario
Independientemente del tipo de usuario, al otorgar o revocar derechos a todos los sistemas y servicios, se debe implementar un procedimiento formal de configuración de acceso de usuario.
A.9.2.3 Gestión de privilegios
La asignación y el uso de privilegios deberían restringirse y controlarse.
A.9.2.4 Gestión de
la información de autenticación secreta de usuario La distribución de autoridad para la información de autenticación secreta de usuario debería controlarse mediante un proceso de gestión formal.
A.9.2.5 Revisión de los derechos de acceso de los usuarios Los
propietarios de activos deben revisar los derechos de acceso de los usuarios de forma regular.
A.9.2.6 Revocación o ajuste de los derechos de acceso
Después de la terminación y el ajuste de los contratos de trabajo o acuerdos con todos los empleados y contratistas, los derechos de acceso de su información y las instalaciones de procesamiento de la información se eliminarán o ajustarán en consecuencia.
A.9.3 Responsabilidades del usuario
A.9.3.1 Uso de información de autenticación secreta Se
debería exigir a los usuarios que sigan las prácticas de la organización para usar su información de autenticación secreta.
A.9.4 Control de acceso al sistema y a las aplicaciones
A.9.4.1 Restricción del acceso a la información
El acceso a la información y las funciones del sistema de aplicaciones debe restringirse según las políticas de control de acceso.
A.9.4.2 Programa de inicio de sesión de seguridad
Cuando se requiere control de acceso, se debe utilizar un programa de inicio de sesión seguro para controlar el acceso al sistema y las aplicaciones.
A.9.4.3 Sistema de gestión de contraseñas
Se debe utilizar un sistema de gestión de contraseñas interactivo para garantizar la calidad de las contraseñas.
A.9.4.4 Uso de programas de utilidad privilegiados El uso
de herramientas y programas que pueden anular el control de autoridad del sistema y la aplicación debe restringirse y controlarse estrictamente.
A.9.4.5 Control
de acceso al código fuente del programa Debe restringirse el acceso al código fuente del programa. (Continuar actualizando mañana ~)
A.10 Criptografía
A.10.1 Control de contraseñas
A.10.1.1 Política de control del uso de contraseñas
Para proteger la información, se debe desarrollar e implementar una estrategia de medidas de control de cifrado.
A.10.1.2 Gestión de claves
Para el uso, la protección y la gestión de la validez de las claves de cifrado, se debe desarrollar e implementar una estrategia que se ejecute a lo largo de todo el ciclo de vida de las claves.
A.11 Seguridad física y ambiental
A.11.1 Área de seguridad A.11.1.1
Límite de seguridad física
Se debe definir un límite de seguridad para proteger el área que contiene información sensible o crítica y las instalaciones de procesamiento de información.
A.11.1.2 Control de acceso físico El
área de seguridad debe estar protegida por un control de acceso apropiado para asegurar que solo el personal autorizado pueda ingresar.
A.11.1.3
Protección de seguridad de oficinas, salas e instalaciones La seguridad física de oficinas, salas y todo el equipo debe diseñarse e implementarse para proteger.
A.11.1.4 Protección de seguridad contra amenazas externas y ambientales
Deben diseñarse y aplicarse medidas de protección física para hacer frente a desastres naturales, ataques maliciosos o accidentes.
A.11.1.5 Trabajar en un área segura
Deben diseñarse y aplicarse procedimientos para trabajar en un área segura .
A.11.1.6 Área de entrega y traspaso / área de entrega y carga Las áreas de
acceso tales como áreas de carga y descarga, y otros lugares donde pueden entrar personas no autorizadas deben ser controladas; si es posible, las instalaciones de procesamiento de información deben estar aisladas para evitar el acceso no autorizado.
A.11.2 Equipo
A.11.2.1 Colocación y protección del equipo El equipo
debe colocarse y protegerse adecuadamente para reducir las amenazas y peligros del medio ambiente y reducir la posibilidad de acceso no autorizado.
A.11.2.2 Equipo de soporte El equipo
debe estar protegido contra cortes de energía y otras interrupciones causadas por la falla de las instalaciones de soporte.
A.11.2.3 Seguridad de los cables
Los cables de alimentación y comunicación que transmiten datos o servicios de información de apoyo deben protegerse contra interrupciones o daños.
A.11.2.4 Mantenimiento del equipo El equipo
debería recibir un mantenimiento adecuado para asegurar su disponibilidad e integridad continuas.
A.11.2.5 Transferencia de activos
Sin autorización, no se puede retirar ningún equipo, información ni software.
A.11.2.6 Seguridad de activos y equipos
fuera del sitio: Los activos fuera del sitio deben protegerse, teniendo en cuenta los diferentes riesgos de trabajar fuera de los límites de la organización.
A.11.2.7 Desecho o reutilización del
equipo Todo el equipo que contenga medios de almacenamiento debe revisarse antes de desecharlo o reutilizarlo para asegurarse de que cualquier dato sensible y software autorizado se elimine o reescriba de manera segura.
A.11.2.8 Equipo de usuario desatendido El
usuario debe asegurarse de que el equipo desatendido esté debidamente protegido.
A.11.2.9 Limpiar el escritorio y limpiar la pantalla
Se debe adoptar la estrategia de limpiar el papel del escritorio y los medios de almacenamiento extraíbles, y la estrategia de limpiar la pantalla de la instalación de procesamiento de información.
A.12 Seguridad operacional
A.12.1 Procedimientos y responsabilidades
operacionales A.12.1.1 Procedimientos operacionales documentados
Deberían prepararse procedimientos operacionales documentados y asegurarse de que todos los usuarios que los necesiten estén disponibles.
A.12.1.2 Gestión de cambios Se
deberían controlar los cambios de la organización, los procesos de negocio, las instalaciones de procesamiento de información y los sistemas que afectan la seguridad de la información.
A.12.1.3 Gestión de la capacidad
El uso de recursos debe ser monitoreado y ajustado, y los requisitos de capacidad futuros deben reflejarse para asegurar el desempeño del sistema.
A.12.1.4 Separación de los entornos de desarrollo, prueba y operación Los entornos de desarrollo, prueba y operación
deben estar separados para reducir el riesgo de acceso no autorizado o cambios en el entorno operativo.
A.12.2 Protección contra malware
A.12.2.1 Control de malware Las
medidas de detección, prevención y recuperación deben implementarse para hacer frente al malware, combinadas con programas adecuados de concienciación del usuario.
A.12.3 Copia de seguridad A.12.3.1 Copia de
seguridad de la información Realice una copia de
seguridad de la información, el software y las imágenes del sistema de acuerdo con la estrategia de copia de seguridad establecida y pruébelos periódicamente.
A.12.4 Registro y monitoreo
A.12.4.1 Registro de eventos Se
debe generar un registro para registrar las actividades de los usuarios, los accidentes y los eventos de seguridad de la información, y el registro se debe mantener y revisar periódicamente.
A.12.4.2 Protección de la información del registro La
instalación del registro y la información del registro deben protegerse contra la manipulación y el acceso no autorizado.
A.12.4.3 Los registros del administrador y del operador
deberían registrar las actividades de los administradores y operadores del sistema, y llevar a cabo la protección de los registros y la revisión periódica.
A.12.4.4 Sincronización de reloj
Los relojes de todos los sistemas de procesamiento de información relevantes dentro de la organización o el dominio de seguridad deben sincronizarse de acuerdo con una única fuente de tiempo de referencia.
A.12.5 Control del
software operativo A.12.5.1 Instalación del software del sistema operativo El
programa controlará la instalación del software del sistema operativo.
A.12.6 Gestión de vulnerabilidades técnicas
A.12.6.1 Gestión
de vulnerabilidades técnicas La información sobre las vulnerabilidades técnicas del sistema de información utilizado por la organización debe obtenerse de manera oportuna, las vulnerabilidades deben ser evaluadas y deben tomarse las medidas apropiadas. para resolver los riesgos relacionados.
A.12.6.2
Instalación de software restringida Deben establecerse e implementarse reglas para administrar la instalación del software del usuario.
A.12.7 Consideraciones
sobre la auditoría del sistema de información A.12.7.1 Control de la auditoría del sistema de información
Los requisitos de auditoría y las actividades involucradas en la verificación del sistema operativo deben planificarse cuidadosamente y permitirse para minimizar la interrupción del proceso comercial.
A.13 Seguridad de las comunicaciones
A.13.1 Gestión de la seguridad de la red
A.13.1.1 Control de la
red La red debería gestionarse y controlarse para proteger la información del sistema y las aplicaciones.
A.13.1.2 Seguridad de
los servicios de red Los mecanismos de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red deben identificarse e incluirse en el acuerdo de servicio de red, independientemente de si dichos servicios se prestan internamente o se subcontratan.
A.13.1.3 Aislamiento de la red Los
servicios de información, los usuarios y los sistemas de información deben estar aislados en la red.
A.13.2 Transmisión de información
A.13.2.1 Estrategias y procedimientos de
transmisión de información Deben establecerse estrategias, procedimientos y controles formales de transmisión para proteger la seguridad de todo tipo de información transmitida a través de las instalaciones de comunicación.
A.13.2.2 Acuerdo de transmisión de información El
acuerdo debe abordar la transmisión segura de información comercial entre la organización y partes externas.
A.13.2.3 Mensajes electrónicos
La información contenida en los mensajes electrónicos debería estar debidamente protegida.
A.13.2.4 Acuerdo de confidencialidad o no divulgación El acuerdo
de confidencialidad o no divulgación de la organización debe identificarse, revisarse y registrarse periódicamente, y el acuerdo debe reflejar los requisitos de la organización para la protección de la información.
A.14 Adquisición, desarrollo y mantenimiento de
sistemas
A.14.1 Requisitos de seguridad del sistema de información A.14.1.1 Análisis y especificación de requisitos de seguridad Los
nuevos sistemas de información o las mejoras a los sistemas de información existentes deberían incluir requisitos relacionados con la seguridad de la información.
A.14.1.2 Protección de la seguridad de
los servicios de aplicaciones en redes públicas La información transmitida a través de redes públicas en los servicios de aplicaciones debe protegerse para evitar fraudes, disputas contractuales, fugas y modificaciones no autorizadas.
A.14.1.3 La protección de las transacciones / transmisiones del servicio de la aplicación
debería proteger la información en la transmisión del servicio de la aplicación para evitar la transmisión incompleta, errores de enrutamiento, modificación no autorizada de mensajes, fugas no autorizadas, copia no autorizada y reproducción de información.
A.14.2 Seguridad en el proceso de desarrollo y soporte
A.14.2.1 Estrategia de desarrollo de seguridad Se
deben establecer las pautas internas de desarrollo de software y sistemas de la organización.
A.14.2.2 Procedimientos de control de cambios
Se debe adoptar un procedimiento formal de control de cambios para controlar la implementación de los cambios del sistema en el ciclo de vida del desarrollo.
A.14.2.3 Evaluación técnica de aplicaciones después de
que se cambia la plataforma operativa Cuando se cambia la plataforma operativa, los sistemas de aplicaciones comerciales críticas deben revisarse y probarse para garantizar que los cambios no tendrán un impacto negativo en las operaciones o la seguridad de la organización.
A.14.2.4 Restricciones sobre los cambios en los paquetes de software
No se recomiendan los cambios en los paquetes de software y los cambios necesarios deben controlarse estrictamente.
A.14.2.5 Procedimientos de desarrollo del sistema / principios de ingeniería de los sistemas de seguridad Los principios de ingeniería de los sistemas de seguridad
deberían establecerse, registrarse, mantenerse y aplicarse, e implementarse en cualquier sistema de información.
A.14.2.6 Entorno de desarrollo seguro La
organización debe establecer y garantizar adecuadamente la seguridad del entorno de desarrollo durante el desarrollo y la integración del sistema a lo largo del ciclo de vida de desarrollo del sistema.
A.14.2.7 Desarrollo de subcontratación La
organización debe supervisar y monitorear las actividades de desarrollo de subcontratación del sistema.
A.14.2.8 Pruebas de seguridad del sistema
Durante el proceso de desarrollo, deben realizarse pruebas de seguridad.
A.14.2.9 Prueba de aceptación del sistema Deben establecerse
los procedimientos de prueba de aceptación y las normas relacionadas para los nuevos sistemas de información, las actualizaciones del sistema y las nuevas versiones.
A.14.3 Datos de prueba
A.14.3.1 Protección de datos de prueba Los datos de prueba
deben seleccionarse, protegerse y controlarse cuidadosamente.
A.15 Relación de suministro A.15.1 Seguridad de
la relación de suministro A.15.1.1 Estrategia
de seguridad de la información de la relación de suministro Para reducir los riesgos causados por el acceso de los proveedores a los activos de la organización, es aconsejable negociar con los proveedores y registrar la seguridad de la información relevante requisitos.
A.15.1.2 Enfatizar la seguridad en los acuerdos con proveedores El acuerdo
firmado con cada proveedor debe cubrir todos los requisitos de seguridad relevantes. Por ejemplo, puede involucrar el acceso, procesamiento, almacenamiento y comunicación de la información y los componentes de la infraestructura de TI de la organización.
A.15.1.3 Cadena de suministro de tecnología de la información y la comunicación Los
acuerdos con los proveedores deben incluir la información, los servicios de tecnología de la comunicación y los riesgos de seguridad de la información relacionados con la cadena de suministro del producto.
A.15.2 Gestión de la prestación de servicios del proveedor
A.15.2.1 Monitoreo y revisión de los servicios del proveedor La
organización debe monitorear, revisar y revisar periódicamente la prestación de servicios de los proveedores.
A.15.2.2 Gestión de cambios en el servicio del proveedor El cambio de los servicios del proveedor
se debe gestionar, incluyendo el mantenimiento y mejora de las estrategias, procedimientos y medidas de control de seguridad de la información existentes, y considerando la reevaluación de la criticidad y el riesgo de la información, los sistemas y los procesos del negocio.
A.16 Gestión de incidentes de seguridad de la información
A.16.1 Gestión de incidentes de seguridad de la información y mejora continua
A.16.1.1 Responsabilidades y procedimientos Deben establecerse responsabilidades y procedimientos de
gestión para responder a los incidentes de seguridad de la información de forma rápida, eficaz y ordenada.
A.16.1.2 Notificación de incidentes de seguridad de la información Los incidentes de seguridad de la información
deben notificarse lo antes posible a través de los canales de gestión adecuados.
A.16.1.3 Informar las debilidades de seguridad de
la información Se debería exigir a los empleados y contratistas que utilicen los sistemas y servicios de información de la organización que presten atención e informen sobre cualquier debilidad de seguridad de la información descubierta o sospechada en los sistemas o servicios.
A.16.1.4 Evaluación y determinación de incidentes de seguridad de la información Los incidentes de seguridad de la información
deben evaluarse para determinar si se identifican como incidentes de seguridad de la información.
A.16.1.5 Respuesta a incidentes de seguridad de la información
Se debe responder a los incidentes de seguridad de la información de acuerdo con los procedimientos documentados.
A.16.1.6 Revisión de incidentes de seguridad de la información / aprendizaje de incidentes de seguridad de la información
El conocimiento adquirido al analizar y resolver incidentes de seguridad de la información debe usarse para reducir la posibilidad o el impacto de incidentes futuros.
A.16.1.7 Recopilación de evidencia La
organización debe establecer y adoptar procedimientos para identificar, recopilar, recopilar y almacenar información que pueda usarse como evidencia.
A.17 Gestión de la continuidad del negocio de seguridad de la
información
A.17.1 Continuidad de la seguridad de la información A.17.1.1 Planificación de la continuidad de la seguridad de la información La
organización debe determinar sus necesidades para garantizar la seguridad de la información y la continuidad de la gestión de la seguridad de la información en circunstancias adversas Sexo, como en un crisis o desastre.
A.17.1.2 Lograr la continuidad de la seguridad de la información La
organización debe establecer, registrar, implementar y mantener procedimientos y procesos de control para asegurar la continuidad de la seguridad de la información requerida durante una situación adversa.
A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información La
organización debe verificar periódicamente los controles de continuidad de la seguridad de la información establecidos e implementados para asegurar que sean efectivos e igualmente efectivos en circunstancias adversas.
A.17.2 Redundancia
A.17.2.1 Disponibilidad de
instalaciones de procesamiento de información Las instalaciones de procesamiento de información deberían implementar suficiente redundancia para cumplir con los requisitos de disponibilidad.
A.18 Cumplimiento
A.18.1 Cumplimiento de los requisitos de leyes y contratos
A.18.1.1 Los requisitos para identificar y utilizar leyes y contratos
deben especificar claramente todas las leyes, reglamentos y requisitos contractuales relevantes, así como los métodos de la organización para cumplir estos requisitos y documentarlos, y actualizarlos para cada sistema de información y organización.
A.18.1.2 Los derechos de propiedad intelectual (DPI)
deben implementar procedimientos apropiados para asegurar el cumplimiento de las leyes, regulaciones y requisitos contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software patentados.
A.18.1.3 Protección de registros Los registros
deberán estar protegidos contra pérdida, destrucción, acceso no autorizado y divulgación no autorizada, o falsificación y alteración de acuerdo con las leyes, regulaciones, contratos y requisitos comerciales.
A.18.1.4 Privacidad y protección de la información de identificación personal Es necesario
asegurarse de que la privacidad y la protección de la información de identificación personal sean requeridas de acuerdo con las leyes y regulaciones aplicables.
A.18.1.5 Leyes y regulaciones de control de cifrado
Cuando utilice el control de contraseña, asegúrese de cumplir con los acuerdos, leyes y regulaciones pertinentes.
A.18.2 Revisión de la seguridad de la información
A.18.2.1 La revisión independiente de la seguridad de la información
debería revisar los métodos de gestión de la seguridad de la información de la organización y su implementación (por ejemplo, objetivos de control de seguridad de la información, medidas de control, estrategias, procesos y procedimientos) para una revisión independiente.
A.18.2.2 Cumplimiento de las políticas y estándares de seguridad
Los gerentes deben revisar periódicamente que el procesamiento de la información y los procedimientos cumplan con las políticas y estándares de seguridad apropiados y cualquier otro requisito de seguridad dentro de su alcance de responsabilidad.
A.18.2.3 Inspección de cumplimiento técnico El grado de cumplimiento entre el
sistema de información y las políticas y estándares de seguridad de la información de la organización debe revisarse periódicamente.