Escaneando documentos e ISO-27001

Navega tus respuestas
3

Estamos planeando enviar un proyecto a nuestros gerentes para escanear todos los documentos de nuestra oficina y tratar con PDF en lugar de documentos de formato físico.

Para hacer eso, estamos buscando algún tipo de apoyo, si existe, para afirmar que el escaneado de documentos es una buena práctica que está alineada con las políticas ISO / IEC-27001.

Sabemos que el propósito principal de un SGSI, basado en los requisitos de ISO / IEC 27001, es reducir el riesgo de perder información o el acceso no autorizado a él.

Sin embargo, ¿cree que podríamos alinear la actividad de escaneo de documentos con las recomendaciones de ISO / IEC 27001?

Pensamos que obtener archivos PDF reduce el riesgo de perder documentos en formato físico, porque los procedimientos de copia de seguridad de archivos son más seguros que la protección de documentos.

    
pregunta Delmonte 31.10.2014 - 17:02
fuente

2 respuestas

3

En teoría, es totalmente posible que la digitalización de documentos en papel pueda mejorar su seguridad general, pero depende de los detalles y de qué tan bien protegido / controlado esté el entorno actual, y de si se mejorará una vez que se despliegue el nuevo proyecto.

Si desea establecer este caso, puede consultar el registro de riesgos actual de su organización para ver si hay algo relacionado con el almacenamiento y la gestión de documentos físicos y luego evaluar si su proyecto abordará estos riesgos. Si así fuera, podría fácilmente afirmar que el proyecto está en línea con los objetivos de ISO27001.

Por supuesto, eso podría ser un poco falso ya que no tiene en cuenta los nuevos riesgos introducidos por el proyecto, pero es de esperar que ya los tenga bajo control en el registro de riesgos del proyecto.

    
respondido por el Rоry McCune 31.10.2014 - 20:32
fuente
0

El lugar donde desea alinearse sería principalmente con su Sistema de gestión de seguridad de la información:

  • Declaración de aplicabilidad: ¿existen requisitos legales / reglamentarios adicionales y obligaciones contractuales de las partes interesadas en el ámbito de su SGSI (por ejemplo, el almacenamiento electrónico de ciertos datos del titular de la tarjeta no cumple con los requisitos de PCI DSS, un acuerdo contractual con su cliente establece que los datos no debe ser duplicado sin su permiso).
  • Evaluación / tratamiento de riesgos: (hay un riesgo mayor e inaceptable para la CIA si almacena / transmite / divulga información electrónicamente en comparación con una copia impresa)
  • Continuidad comercial: (cómo el almacenamiento de información de una manera u otra afecta la capacidad de operar funciones empresariales críticas si los medios no están disponibles)

Su declaración de aplicabilidad del SGSI probablemente ya debería cubrir los controles de Manejo de medios (A.8), Control de acceso (A.9) y Criptografía (A.10) que incluirían información tanto en formato físico como electrónico.

    
respondido por el phiz 22.04.2015 - 10:32
fuente

Lea otras preguntas en las etiquetas

¿Por qué Shellshock funciona en una cadena de usuario? ¿Son los conductores paravirtualizados un riesgo de seguridad?