CA 2: Revisar los privilegios de acceso lógico | Agesic

Pasar al contenido principal

CA 2: Revisar los privilegios de acceso lógico

Requisito
Objetivo	Revisar y controlar periódicamente los derechos de acceso lógico a los activos de información (incluyendo los permisos de los usuarios privilegiados).
Alcance	Cualquier organización
Referencia ISO 27001	A.9.2.5
Guía de implementación	Se debe definir un procedimiento periódico para la revisión de los derechos de acceso lógico de todos los usuarios, incluidos los usuarios con acceso privilegiado, con asignación de responsables y documentación que evidencie la revisión realizada. En el caso de los usuarios privilegiados, se deben verificar periódicamente sus competencias para evaluar si dicho acceso está alineado con sus funciones en la organización. Se recomienda definir la periodicidad de las revisiones de acceso lógico. A la hora de la revisión, siempre se debe tener presente la necesidad de acceso y el otorgamiento del mínimo privilegio.
Administración Central	-
Instituciones de salud	Asegurar que los datos de salud de los usuarios son accedidos únicamente por personal autorizado y no por otros roles que no requieren conocimiento de este tipo de información.
Guía de evidencia para auditoría	Política de control de acceso lógico. Procedimiento de revisión de privilegio de acceso. Listado de usuarios con acceso privilegiado. Evidencia de la revisión de usuarios y usuarios privilegiados en el período auditado (en el caso de los usuarios privilegiados, se busca contar con evidencia de que la organización determina lo adecuado de su asignación).
Normativa asociada	N/A

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay