¿Es un requisito de ISO27001 registrar los detalles de todos los mensajes instantáneos?

Por lo general, ISO27k no requiere la implementación de métodos específicos. Sin embargo, requiere documentos específicos (como el perímetro y la política del SGSI, una descripción del método de análisis de riesgo, una Declaración de aplicabilidad, ...). Nunca leerá "tiene que implementar una retención completa de registros para mensajes instantáneos".

El ISO27002 define algunas de las mejores prácticas para implementar el ISO27001, tal vez encuentre aquí que se sugiere este tipo de control. Pero de nuevo no es obligatorio.

Lo que puede (normalmente) suceder para que esto sea un requisito es:

• Has declarado en tus documentos que lo haces
• Usted indicó en sus documentos que debe cumplir con el reglamento X que requiere mantener estos registros.

ISO27k es un marco que dicta cómo debe ir la administración de la seguridad, no cómo debe implementarse la seguridad. Sin embargo, le pedirá que escriba descripciones de lo que está haciendo y las auditorías verificarán que hace lo que dice que está haciendo.

ISO 27001 es un estándar de administración y no le dice directamente qué hacer para estar seguro.

En cambio, le indica cómo crear una herramienta llamada Sistema de gestión de seguridad de la información (SGSI); luego utiliza el SGSI para descubrir qué necesita hacer.

Por lo tanto, la respuesta a su pregunta "si debemos iniciar sesión en Skype" es "¿qué nos dice el SGSI que hagamos?".

(PS no debe ser mezquino, pero esto es muy fundamental. Si no tienes esta idea central, entonces no entiendes el 27001 y debes solucionarlo antes de preocuparte por los detalles de los controles).

ISO / IEC 27001: 2013 4.2 dice que debe definir las necesidades y expectativas de las partes interesadas que podrían incluir los requisitos legales / reglamentarios asociados y las obligaciones contractuales. En 6.1.2 establece un proceso de evaluación de riesgos de seguridad de la información que identifica / analiza / evalúa / prioriza los riesgos de seguridad de la información de su organización según el alcance de su Sistema de gestión de seguridad de la información, luego en 6.1.3 define / aplica / documenta su tratamiento de riesgos proceso.

En lo que se refiere a un ejemplo práctico, supongamos que realiza una evaluación de riesgo (requerida) y determina que el uso de IM pública puede exponer a su organización a riesgos de privacidad, seguridad y responsabilidad legal debido a la capacidad de filtrar información personal y descargar virus / Información con derechos de autor. Si el nivel de riesgo identificado excede los criterios de aceptación de riesgo que define a través de 6.1.2, sería un requisito definir / aplicar / documentar un plan de tratamiento de riesgos que aborde el riesgo. El plan de tratamiento de riesgos puede incluir la autenticación, el cifrado, la auditoría, el registro y la supervisión del tráfico de mensajería instantánea.

Algunas áreas donde podría tener requisitos de registro, incluido el registro de IM:

• A.12.4.1 - Registro de eventos: incluye el registro de actividades del usuario
• A.13.2.1 - Políticas y procedimientos de transferencia de información: pautas de retención y disposición para la correspondencia comercial, incluidos los mensajes
• A.18.1.1 - Identificación de la legislación aplicable y requisitos contractuales: es posible que esté legalmente obligado a registrar comunicaciones, por ejemplo, si las comunicaciones son públicas o cumplen con las obligaciones contractuales.