GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos
Requisito GR.2 | Realizar de manera sistemática el proceso de evaluación de riesgos |
---|---|
Objetivo | Contribuir al cumplimiento de los objetivos de seguridad de la información, prevenir o reducir los efectos no deseados y lograr la mejora continua. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Evaluación de riesgos
Los riesgos deben ser evaluados en toda la cadena de suministro y delegar obligaciones en los casos que corresponda. |
Instituciones de salud | Se debe realizar una evaluación de los posibles riesgos y vulnerabilidades a la confidencialidad, integridad y disponibilidad de la Historia Clínica Electrónica (HCE). Además, se debe realizar una evaluación de riesgos con relación a la conectividad de dispositivos médicos, contemplando: identificación de activos, identificación de tipo de conectividad, casos de uso, flujos de comunicación, exposición de servicios a Internet, segregación/segmentación para ubicar estos activos, control de acceso a los dispositivos y a la red, acceso remoto, cifrado de comunicación en tránsito, uso de certificados, gestión, operación y monitoreo de los dispositivos, hardening, etc. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | Se gestionan los riesgos de las API o Servicios Web suministrados por los proveedores de servicios de computación en la nube. |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |