Ambiente de negocio (ID.AN) | Agesic

Pasar al contenido principal

Ambiente de negocio (ID.AN)

Esta categoría implica que la misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados. Esta información es utilizada para informar a los recursos de ciberseguridad sobre responsabilidades y decisiones relacionadas a la gestión de riesgos.

En la tabla siguiente se detallan cinco subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.

Subcategoría	Prioridad x Perfil			Referencias	Requisitos relacionados
Subcategoría	B	E	A	Referencias	Requisitos relacionados
ID.AN-1. Se identifica y comunica el rol de la organización en la cadena de suministro.	N/A	N/A	N/A	COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03, APO10.04, APO10.05 ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2 NIST SP 800-53 Rev. 4 CP-2, SA-12	-
ID.AN-2. El lugar que ocupa la organización en la infraestructura crítica y en su sector de industria se encuentra identificado y comunicado.	N/A	N/A	N/A	COBIT 5 APO02.06, APO03.01 ISO/IEC 27001:2013 Cláusula 4.1 NIST SP 800-53 Rev. 4 PM-8	-
ID.AN-3. Se establecen y se comunican las prioridades para la misión de la organización, sus objetivos y actividades.	P1	P1	P1	COBIT 5 APO02.01, APO02.06, APO03.01 ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6 NIST SP 800-53 Rev. 4 PM-11, SA-14 EMG 3.7, 56.7, 57	PL.1 Establecer objetivos anuales con relación a la seguridad de la información.
ID.AN-4. Se establecen las dependencias y funciones fundamentales para la entrega de servicios críticos.	P3	P2	P1	COBIT 5 APO10.01, BAI04.02, BAI09.02 ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3 NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14	SF.2 Implementar controles ambientales en los centros de datos y áreas relacionadas. SF.3 Contar con un sistema de gestión y monitoreo centralizado capaz de alertar fallas en componentes críticos. SO.3 Gestionar la capacidad de los servicios y recursos que se encuentran operativos.
ID.AN-5. Se establecen requisitos de resiliencia para soportar la entrega de servicios críticos.	P3	P2	P1	COBIT 5 BAI03.02, SS04.02 ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, A.17.2.1 NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14 EMG 62	CO.1 Contar con componentes redundantes que contribuyan al normal funcionamiento del centro de datos. CO.2 Los sistemas críticos de la infraestructura de telecomunicaciones, como el cableado, routers y switches (LAN, SAN, etc.), deben contar con redundancia. CO.3 Establecer los medios necesarios para garantizar la continuidad de las operaciones. CO.4 Planificar la continuidad de las operaciones y recuperación ante desastres. CO.5 Definir las ventanas de tiempo soportadas para la continuidad de las operaciones.

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay

¿Hay algún error en el sitio? Enviar reporte