CN.1 Cumplir con los requisitos normativos | Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Pasar al contenido principal

CN.1 Cumplir con los requisitos normativos

Requisito CN.1	Cumplir con los requisitos normativos
Objetivo	Asegurar el cumplimiento normativo relacionado con la seguridad de la información y con los requisitos de seguridad.
Controles	Nivel 1 CN.1-1: se identifican los requisitos normativos relacionados a seguridad de la información y ciberseguridad, protección de datos personales, acceso a la información pública, propiedad intelectual, y otras obligaciones legales, contractuales o políticas que resulten exigibles para la organización. Nivel 2 CN.1-2: el delegado de protección de datos personales trabaja de manera coordinada con el RSI y/o CSI. Nivel 3 CN.1-3: se han definido procedimientos para incorporar nuevos requisitos legales o normativos cuando sean publicados. CN.1-4: el resultado es comunicado al RSI y/o al CSI. Nivel 4 CN.1-5: se realizan auditorías internas para verificar el cumplimiento. CN.1-6: los resultados de las revisiones se utilizan para la mejora continua y apoyan a la toma de decisiones.
Guía de implementación	La Dirección debe velar por la identificación y documentación de los requisitos normativos relevantes que afectan a la organización, relacionados a seguridad de la información y ciberseguridad, protección de datos personales, entre otras. Tener en cuenta, además, el cumplimiento de los requisitos de derecho de propiedad intelectual y uso de productos de software patentados.
Instituciones de salud	Las instituciones de salud deben cumplir con lo establecido en el decreto de HCEN N° 242/2017 el cual, entre otras disposiciones, establece temas relacionados a seguridad. Asimismo, se debe velar por el cumplimiento de lo establecido en la ley 18.335 sobre derechos y obligaciones de pacientes y usuarios de los servicios de salud, la ley 19.286 código de ética médica y secreto profesional.
Instituciones Emisoras de Dinero Electrónico (IEDE)	Colaborar con los entes reguladores, en los proyectos futuros sobre seguridad de la información con el propósito de fortalecer la gestión de la ciberseguridad en el sector financiero y a nivel nacional.
Guía de evidencia para auditoría	Resolución u otro mecanismo o registros que evidencie formalmente la adopción de la política de seguridad de la información. Registro de base de datos (Protección de datos, Derecho de acceso a la información pública). Listado de legislación aplicable a la organización. Informes de auditoría sobre el cumplimiento normativo de la organización
Normativa asociada	Ley N° 18.331: Protección de datos personales y habeas data Ley 18:381: Derecho de acceso a la información pública Ley 19.286: Código de ética médica Leyes que declaren secreta información (secreto tributario, secreto estadístico, secreto bancario, secreto profesional, etc.)

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay