CN 3 Revisar regularmente los sist. de inf. con pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades
Requisito CN.3 | Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades. |
| Objetivo | Conocer y mitigar las vulnerabilidades existentes en los sistemas de información de la organización de acuerdo a los requisitos de seguridad de la información establecidos en la política. |
| Alcance | Cualquier organización |
| Referencia ISO 27001 | A.18.2.3 |
| Guía de implementación | Se deben identificar los sistemas críticos a ser revisados periódicamente y se debe contar con procedimientos formales para la realización de las revisiones. Se debe definir al responsable de la gestión de las revisiones periódicas. Los procedimientos de revisión se deben incorporar al SGSI y deben actualizarse ante cualquier cambio que lo amerite. Se deben realizar como mínimo pruebas de intrusión (ethical hacking) y evaluaciones de vulnerabilidades. Las mismas pueden llevarse a cabo con recursos propios de la organización o con apoyo externo. |
| Administración Central | - |
| Instituciones de salud | Se debe considerar la revisión regular de los sistemas que sean críticos para la atención clínica (por ejemplo, HCE, LIS, RIS, PACS, equipos biomédicos, entre otros) y aquellos que afecten o puedan afectar a la infraestructura de HCEN o sus sistemas circundantes. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | N/A |