Ambiente de negocio (ID.AN)
Esta categoría implica que la misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados. Esta información es utilizada para informar a los recursos de ciberseguridad sobre responsabilidades y decisiones relacionadas a la gestión de riesgos.
En la tabla siguiente se detallan cinco subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
B | E | A | |||
ID.AN-1. Se identifica y comunica el rol de la organización en la cadena de suministro. | N/A | N/A | N/A | COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03, APO10.04, APO10.05 ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2 NIST SP 800-53 Rev. 4 CP-2, SA-12 | - |
ID.AN-2. El lugar que ocupa la organización en la infraestructura crítica y en su sector de industria se encuentra identificado y comunicado. | N/A | N/A | N/A | COBIT 5 APO02.06, APO03.01 ISO/IEC 27001:2013 Cláusula 4.1 NIST SP 800-53 Rev. 4 PM-8 | - |
ID.AN-3. Se establecen y se comunican las prioridades para la misión de la organización, sus objetivos y actividades. | P1 | P1 | P1 | COBIT 5 APO02.01, APO02.06, APO03.01 ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6 NIST SP 800-53 Rev. 4 PM-11, SA-14 EMG 3.7, 56.7, 57 | PL.1 Establecer objetivos anuales con relación a la seguridad de la información. |
ID.AN-4. Se establecen las dependencias y funciones fundamentales para la entrega de servicios críticos. | P3 | P2 | P1 | COBIT 5 APO10.01, BAI04.02, BAI09.02 ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3 NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14 | SF.2 Implementar controles ambientales en los centros de datos y áreas relacionadas.
SO.3 Gestionar la capacidad de los servicios y recursos que se encuentran operativos. |
ID.AN-5. Se establecen requisitos de resiliencia para soportar la entrega de servicios críticos. | P3 | P2 | P1 | COBIT 5 BAI03.02, SS04.02 ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, A.17.2.1 NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14 EMG 62 |
CO.3 Establecer los medios necesarios para garantizar la continuidad de las operaciones.
CO.4 Planificar la continuidad de las operaciones y recuperación ante desastres.
CO.5 Definir las ventanas de tiempo soportadas para la continuidad de las operaciones. |