Anexo A norma de Gestión de la Información ISO 27001

Informacion, Normas ISO

El Anexo A de la norma ISO 27001 no es tan conocido como el Anexo SL, que es la guía para las estructuras de Alto Nivel.

A diferencia del Anexo SL, el Anexo A de la ISO 27001 establece la guía para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).

¿Qué es el Anexo A de la ISO 27001?

Por lo tanto, el Anexo A es un documento que pertenece a la norma de Seguridad de la Información y ofrece un listado de controles de seguridad específicos a la norma de referencia. Cada uno de estos controles tienen un objetivo principal, que es mejorar la seguridad de la información.

La parte buena, es que si bien la implementación de estos ítems es obligatoria, no son necesarios incorporarlos si no aplican a nuestra compañía.

La parte buena, es que si bien la implementación de estos ítems es obligatoria, no son necesarios incorporarlos si no aplican a nuestra compañía.

¿Por cuántos controles está compuesto el Anexo?

Estos controles suman 114 puntos, que no todos están ligados a la ciberseguridad. Tal como lo describió el experto que entrevistamos anteriormente, la Seguridad de la información va más allá e incluye temas en los que la información se encuentra de forma física y en diferentes áreas como Recursos Humanos, Finanzas, Producción, etc.

Como se ha especificado más arriba, estos controles son obligatorios pero en caso de que haya algunos que no apliquen a la organización, no es necesario incorporarlos.

Contar con un experto

Asimismo, se recomienda contar con un profesional en Seguridad de la Información que pueda interpretar dichos controles, seleccionarlos y aplicarlos. Y no solo se trata de realizar esta tarea, sino que también es muy importante:

  • Medir la efectividad de los controles
  • Establecer responsabilidades para su gestión
  • Implementar acciones correctivas en el caso de desvíos.

Estas tareas se deben desarrollar desde el máximo conocimiento, ya que una correcta aplicación de dichos controles y requisitos puede determinar el éxito o fracaso de la implementación del Anexo A e ISO 27001 y en el SGSI en general.

 

¿Cuáles son los controles más destacados?

  • A.5: Políticas de Seguridad de la Información: hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.

     

  • A.6: Organización de la Seguridad de la información: los controles se encargan de establecer responsables. Al mismo tiempo también se centra en dispositivos móviles y situaciones como la de teletrabajo.

  • A.7: Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.

  • A.8: Gestión de Recursos: establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.

  • A.9: Control de Acceso: control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.

  • A.10: Criptografía: controles para gestionar encriptación de información.

  • A.11: Seguridad física y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.

  • A.12: Seguridad Operacional: controles relacionados con gestión de la protección de malware o vulnerabilidades.

  • A.13: Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisión de información, mensajería.

  • A.14: Adquisición, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.

  • A.15: Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.

  • A.16: Gestión de Incidentes en Seguridad de la Información: sirven para reportar eventos las debilidades, así como procedimientos de respuesta.

  • A.17: Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio: referidos a la planificación de continuidad de negocio.

  • A.18: Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.

 

¿Kahuna APP Software ISO puede administrar esta norma?

¡Claro que sí! Gracias a que con nuestra herramienta es posible establecer flujos de trabajo personalizados, como así también integrar diferentes tipos de normas, es posible incorporar también en la administración de tus Sistemas de Gestión a la norma ISO 27011 Sistemas de Gestión de Seguridad de la Información.

Llevar a cabo un Sistema de Gestión por supuesto siempre es más fácil si cuentas con un Software ISO como Kahuna APP que te ayudará a administrarlo fácilmente.

Si quieres conocer más de nuestra herramienta, ingresa aquí

¡No te olvides de seguirnos en Redes Sociales!

https://facebook.com/APPKahuna

https://instagram.com/APPKahuna

https://linkedin.com/company/APPKahuna

Recibí nuestro newsletter

Posts relacionados

Capacitaciones al personal

Capacitaciones al personal

Según la norma ISO 45001, es súper importante que el personal esté involucrado en el Sistema de Gestión de la Salud y Seguridad Ocupacional, para que puedan...

Chat
1
KahunaAPP
Bienvenido, ¿En que podemos ayudarte?