| Objetivo | Lograr que los temas relativos a seguridad de la información y ciberseguridad estén incluidos en todos los proyectos desde su inicio. |
| Controles | Nivel 1 - OR.4-1: se tiene una lista actualizada de proyectos (finalizados, en curso o planificados) de la organización.
Nivel 2 - OR.4-2: se incluye al RSI o a quien éste designe en la etapa de planificación o inicio de los proyectos.
- OR.4-3: los contratos y pliegos vinculados a los proyectos contemplan cláusulas de seguridad.
Nivel 3 - OR.4-4: la documentación de los proyectos incluye requisitos de seguridad de la información.
- OR.4-5: la evaluación de riesgos del proyecto incluye riesgos de seguridad de la información.
- OR.4-6: los informes de avance del proyecto deben incluir el seguimiento del tratamiento de los riesgos de seguridad.
Nivel 4 - OR.4-7: se evalúa el cumplimiento de los requisitos de seguridad al finalizar un proyecto.
- OR.4-8: se documentan las lecciones aprendidas sobre seguridad para la gestión de proyectos futuros.
|
| Guía de implementación | Se deben incluir requerimientos de seguridad de la información dentro de los requerimientos de los proyectos, por ejemplo, en el acta de constitución del proyecto.
En la evaluación de riesgos del proyecto deben incluirse riesgos de seguridad de la información.
Se gestiona la seguridad de la información y la ciberseguridad en los proyectos que impliquen la adopción de nuevas tecnologías. |
| Instituciones de salud | Todo proyecto que incluya dispositivos médicos con conectividad debe tener una evaluación de riesgos específica, y contemplar requisitos de ciberseguridad dentro de la gestión del proyecto.
En particular, considerar proyectos relacionados a sistemas que interactúan con la plataforma HCEN, como: HIS, LIS, RIS, PACS, entre otros. |
| Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
| Guía de evidencia para auditoría | - Lista de proyectos llevados a cabo o en proceso durante el período a auditar.
- Documentación de los proyectos (por ejemplo, acta de constitución del proyecto, lista inicial de requerimientos, etc.) que incluya requisitos de seguridad de la información requeridos.
- Registros de realización y seguimiento de la evaluación de riesgos de los proyectos que incluyan riesgos relativos a la seguridad de la información.
- Informes de avance de los proyectos donde se incluye puntos que tratan sobre la evaluación de los riesgos de seguridad de la información.
- Actas de cierre con evaluación de cumplimiento de requisitos de seguridad.
- Contratos y pliegos de los proyectos.
- Documento de lecciones aprendidas del proyecto.
|
| Normativa asociada | No aplica |
