GA 1 Identificar formalmente los activos de la organización junto con la definición de su responsable.
| Objetivo | Garantizar la gestión de los activos asociados a la información y los sistemas e instalaciones para su procesamiento. |
| Alcance | Cualquier organización |
| Referencia ISO | A.8.1.1, A.8.1.2 |
| Guía de implementación | Inventario de activos Se debe identificar e inventariar los activos que contienen información y las instalaciones de su procesamiento, incluyendo todo activo que tenga asignada una IP y incluyendo los servicios alojados en la nube. Asimismo, es necesario identificar el software de base y de aplicación. Es importante identificar la ubicación de los activos de información y, de ser posible, si se trata de un dispositivo móvil (celulares, notebooks, tablets, etc.) y/o si es personal o de la organización. Responsables de los activos Se debe identificar un responsable de gestión para cada activo mantenido en el inventario. Herramientas de apoyo Es recomendable la utilización de software de inventario que permita su clasificación y, cuando sea posible su uso, que se definan procesos que permitan la automatización del inventario. Dichos procesos (y/o procedimientos asociados) deben documentarse. |
| Administración Central | - |
| Instituciones de salud | Es recomendable identificar especialmente los activos de información que procesan y/o almacenan información de los usuarios (sistemas de historias clínicas, equipamiento médico, etc.). Es deseable que se identifique al responsable de la gestión del activo y al responsable técnico. Es necesario que todo aquel equipamiento que procese o almacene información de salud se ubique en el centro de datos. En aquellos casos que esto no sea posible, es necesario documentar la justificación y tomar las medidas de seguridad pertinentes y de similares características a las definidas en el centro de datos. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | N/A |