GR 2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
| Objetivo | Contribuir al cumplimiento de los objetivos de seguridad de la información, prevenir o reducir los efectos no deseados y lograr la mejora continua. |
| Alcance | Cualquier organización. |
| Referencia ISO 27001 | Cualquier organización. |
| Guía de implementación | Evaluación de riesgos
Las principales tareas con relación a la evaluación de riesgos están referenciadas en la “Guía metodológica – Implantación SGSI” e “Inventario de activos y Evaluación de riesgos” (ver anexos). |
| Administración Central | - |
| Instituciones de salud | Se debe realizar una evaluación de los posibles riesgos y vulnerabilidades a la confidencialidad, integridad y disponibilidad de la Historia Clínica Electrónica (HCE). Además, se debe realizar una evaluación de riesgos con relación a la conectividad de dispositivos médicos, contemplando: identificación de activos, identificación de tipo de conectividad, casos de uso, flujos de comunicación, exposición de servicios a Internet, segregación/segmentación para ubicar estos activos, control de acceso a los dispositivos y a la red, acceso remoto, cifrado de comunicación en tránsito, uso de certificados, gestión, operación y monitoreo de los dispositivos, hardening, etc. |
| Guía de evidencia para auditoría | Inventario de riesgos identificados y seguimiento para el período auditado. Evaluación y/o análisis de riesgos. Evaluación de proveedores. |
| Normativa asociada | Decreto 452/009 |