Guía de Implementación del Marco de Ciberseguridad 5.0

CN.2 Realizar auditorías independientes de seguridad de la información

Requisito CN.2Realizar auditorías independientes de seguridad de la información
ObjetivoAsegurar la conveniencia, adecuación y eficacia continua de la gestión de la seguridad de la información en la organización de acuerdo al presente marco.
Controles

Nivel 1

  • CN.2-1: se han realizado análisis de brechas para detectar el nivel de cumplimiento del presente marco.
  • CN.2-2: en función de las brechas detectadas se elabora un portafolio de proyectos a incluir en el plan de seguridad de la información.

Nivel 2

  • CN.2-3: se realiza anualmente una auditoría interna sobre el cumplimiento del presente marco.

Nivel 3

  • CN.2-4: se realiza con una periodicidad predefinida una auditoría externa sobre el cumplimiento del presente marco.
  • CN.2-5: los hallazgos de auditorías generan planes de acción documentados y se realiza su seguimiento.

Nivel 4

  • CN.2-6: se evalúa periódicamente la calidad y alcance de las auditorías realizadas, incorporando lecciones aprendidas para futuras ejecuciones.
  • CN.2-7: las auditorías incluyen en su alcance la revisión completa del sistema de gestión de seguridad de la información y sus objetivos, políticas y controles definidos.
Guía de implementación

Es recomendable designar un equipo interno de la organización que no pertenezca al área de TI (por ejemplo, auditoría interna) o externo (por ejemplo, una firma consultora), con las capacidades y habilidades necesarias para planificar, ejecutar y realizar seguimiento del sistema de gestión de seguridad de la información (SGSI).

El seguimiento del SGSI debe contemplar actividades de control interno para verificar el cumplimiento de las políticas y procedimientos relacionados.

La revisión debe incluir oportunidades de evaluación para la mejora y la necesidad de cambios en el enfoque de seguridad, incluyendo la política y los objetivos de control.

Estas revisiones deben realizarse en el marco de la presente guía y en forma periódica.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Análisis de brecha de seguridad de la información.
  • Plan de seguridad de la información.
  • Informes de revisiones independientes de seguridad de la información.
  • Seguimiento realizado por la organización para eliminar las observaciones de las revisiones realizadas en forma independiente.
Normativa asociadaNo aplica

Etiquetas