Guía de Implementación del Marco de Ciberseguridad 5.0

PL.1 Establecer objetivos anuales con relación a la Seguridad de la Información

Requisito PL.1Establecer objetivos anuales con relación a la Seguridad de la Información
ObjetivoEstablecer la estrategia de seguridad de la información mediante objetivos claros en plazos anuales, alineados a la estrategia de la organización.
Controles

Nivel 1

  • PL.1-1: están establecidos los objetivos anuales de seguridad de la información.
  • PL.1-2: están definidas las acciones para lograr el cumplimiento de los objetivos.

Nivel 2

  • PL.1-3: los objetivos forman parte de un plan de acción de seguridad de la información.
  • PL.1-4: los objetivos están documentados y aprobados por el CSI.

Nivel 3

  • PL.1-5: los objetivos anuales de seguridad de la información son difundidos al personal y partes interesadas.
  • PL.1-6: el plan de acción para cumplir con los objetivos se desarrolla y ejecuta de manera coordinada con los distintos actores de la organización.
  • PL.1-7: se definen indicadores para el seguimiento del cumplimiento de los objetivos.

Nivel 4

  • PL.1-8: los objetivos se traducen en proyectos o iniciativas de seguridad de la información.
  • PL.1-9: se revisa periódicamente el cumplimiento de los objetivos y el avance del plan de acción.
Guía de implementación

Estrategia y objetivos
Se debe establecer una estrategia de ciberseguridad y seguridad de la información alineada a la estrategia de la organización. La Dirección debe proporcionar lineamientos claros y un apoyo de gestión visible para las iniciativas de seguridad de la información dentro de la organización.

Se deben establecer objetivos de seguridad de la información, al menos anualmente, a nivel de la organización. Estos objetivos pueden estar asociados a la adopción del marco de ciberseguridad, implementar nuevos requisitos y/o avanzar en el modelo de madurez. Los objetivos deberán organizarse en un plan de acción.

Es recomendable que los lineamientos y objetivos vinculados a seguridad de la información sean planteados por el Comité de Seguridad de la Información (CSI) y sean difundidos a las partes interesadas. Del plan de acción deben derivar proyectos concretos de seguridad de la información.

Se pueden establecer indicadores para el seguimiento del cumplimiento de los objetivos planteados.

Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría● Listado de objetivos anuales de la organización relacionados con seguridad de la información.
● Plan de acción.
● Proyectos de seguridad de la información.
● Indicadores de seguimiento.
Normativa asociadaNo aplica

Etiquetas