CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión y evaluación de vulnerabilidades
Requisito CN.3 | Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades |
---|---|
Objetivo | Conocer y mitigar las vulnerabilidades existentes en los sistemas de información de la organización de acuerdo a los requisitos de seguridad de la información establecidos en la política. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Se deben identificar los sistemas críticos a ser revisados periódicamente y se debe contar con procedimientos formales para la realización de las revisiones. Se debe definir al responsable de la gestión de las revisiones periódicas. Los procedimientos de revisión se deben incorporar al SGSI y deben actualizarse ante cualquier cambio que lo amerite. Se deben realizar como mínimo pruebas de intrusión (ethical hacking) y evaluaciones de vulnerabilidades. Las mismas pueden llevarse a cabo con recursos propios de la organización o con apoyo externo. Asimismo, deben confeccionarse informes y comunicar los resultados y planes de acción para las correcciones a las áreas funcionales necesarias, así como a la Dirección. |
Instituciones de salud | Se debe considerar la revisión regular de los sistemas que sean críticos para la atención clínica (por ejemplo, HCE, LIS, RIS, PACS, equipos biomédicos, entre otros) y aquellos que afecten o puedan afectar a la infraestructura de HCEN o sus sistemas circundantes. En el de caso de productos cerrados, se debe exigir al proveedor la presentación del informe con resultados de la ejecución del EH, junto con la evidencia de la resolución de los hallazgos o análisis de riesgo correspondiente. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |