Función: Responder (RS)

Se gestionan las respuestas a los incidentes de ciberseguridad detectados.

Subcategoría	Prioridad Básico	Prioridad Estándar	Prioridad Avanzado	Requisitos relacionados
RS.MA-01: Se ejecuta el plan de respuesta a incidentes en coordinación con los terceros pertinentes una vez que se declara un incidente.	Baja	Baja	Media	GI.1 Planificar la gestión de los incidentes de seguridad de la información. GI.5 Responder ante incidentes de seguridad de la información.
RS.MA-02: Se clasifican y validan los informes de incidentes.	Baja	Baja	Baja	GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información. GI.5 Responder ante incidentes de seguridad de la información.
RS.MA-03: Se clasifican y priorizan los incidentes.	Baja	Baja	Baja	GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información.
RS.MA-04: Se escalan o elevan los incidentes según sea necesario.	Media	Alta	Alta	GI.3 Informar de forma completa e inmediata a las partes interesadas. GI.5 Responder ante incidentes de seguridad de la información. PD.5 Principio de seguridad de los datos.
RS.MA-05: Se aplican los criterios para iniciar la recuperación de incidentes.	Media	Media	Media	CO.4 Planificar la continuidad de las operaciones y recuperación ante desastres.

Se llevan a cabo investigaciones con el fin de garantizar una respuesta eficaz y apoyar las actividades forenses y de recuperación.

Subcategoría	Prioridad Básico	Prioridad Estándar	Prioridad Avanzado	Requisitos relacionados
RS.AN-03: Se realizan análisis para determinar lo que ocurrió durante un incidente y la causa raíz del mismo.	Baja	Baja	Baja	GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información. GI.5 Responder ante incidentes de seguridad de la información.
RS.AN-06: Se registran las acciones realizadas durante una investigación y se preservan la integridad y la procedencia de los registros.	Baja	Baja	Baja	GI.4 Registrar y reportar las violaciones a la seguridad de la información, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.
RS.AN-07: Se recopilan los datos y metadatos del incidente y se preservan su integridad y su procedencia.	Baja	Baja	Media	GI.1 Planificar la gestión de los incidentes de seguridad de la información.
RS.AN-08: Se estima y valida la magnitud de un incidente.	Baja	Baja	Baja	GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información.

Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según lo exijan las leyes, las normativas o las políticas.

Subcategoría	Prioridad Básico	Prioridad Estándar	Prioridad Avanzado	Requisitos relacionados
RS.CO-02: Se notifican los incidentes a las partes interesadas internas y externas.	Media	Alta	Alta	GI.3 Informar de forma completa e inmediata a las partes interesadas. GI.5 Responder ante incidentes de seguridad de la información. PD.5 Principio de seguridad de los datos.
RS.CO-03: La información se comparte con las partes interesadas internas y externas designadas.	Media	Alta	Alta	GI.3 Informar de forma completa e inmediata a las partes interesadas. PD.5 Principio de seguridad de los datos.

Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.

Subcategoría	Prioridad Básico	Prioridad Estándar	Prioridad Avanzado	Requisitos relacionados
RS.MI-01: Se contienen los incidentes.	Alta	Alta	Alta	GI.5 Responder ante incidentes de seguridad de la información.
RS.MI-02: Se erradican los incidentes.	Alta	Alta	Alta	GI.5 Responder ante incidentes de seguridad de la información.

Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento