Estrategia para la gestión de riesgos (ID.GR)

Se establecen las prioridades, restricciones, tolerancia al riesgo y supuestos de la organización y se utilizan para soportar las decisiones de los riesgos operacionales.

Subcategoría	Nivel 1	Nivel 2	Nivel 3	Nivel 4
ID.GR-1. Los procesos de gestión de riesgos se encuentran establecidos, gestionados y aprobados por todos los interesados de la organización.	Se cuenta con un proceso para la gestión de riesgos de los componentes del centro de datos y servicios críticos de forma independiente.	Se cuenta con una metodología de gestión de riesgo que permite evaluar los riesgos de ciberseguridad de forma periódica. Se establece un plan de trabajo para el tratamiento del riesgo. Se ha definido un responsable de la gestión de riesgos de la ciberseguridad.	Ver ID.ER-3 (nivel 3).	Ver ID.ER-3 (nivel 4).
ID.GR-2. Se determina y se expresa de forma clara la tolerancia al riesgo a nivel de toda la organización.	Se define la tolerancia de los riesgos inherentes que pueden afectar los activos que se encuentran en el centro de datos y que soportan los servicios críticos para el funcionamiento de la organización.	Se establece claramente los umbrales de tolerancia al riesgo, basados en análisis de riesgo o análisis de impacto del negocio (BIA) para las áreas vinculadas a tecnología.	La metodología de gestión de riesgo permite delimitar las tolerancias que puede soportar la organización en base a sus objetivos, RTO, RPO y BIA entre otros. Los niveles de servicios de los proveedores se ajustan conforme la gestión de riesgo de la organización. Se define la tolerancia al riesgo para todos los procesos considerados críticos para la organización.	La tolerancia establecida se revisa periódicamente y se modifica ante cambios o las necesidades del negocio, la cual es apoyada por todas las partes interesadas, dirección y gerencias.
ID.GR-3. La tolerancia al riesgo de la organización es determinada por su rol y pertenencia a la infraestructura crítica y por la evaluación de riesgos específicos del sector al que pertenece.	La tolerancia al riesgo es determinada por la posición de la organización con respecto a la entrega de los servicios que suministran y que puedan afectar el desempeño de otras organizaciones (en particular la que se hayan identificado como prioritarias o críticas para el sector) que estén interconectadas y dependan de sus servicios.	Ver ID.GR-2 (nivel 2)	Ver ID.GR-2 (nivel 3)	Ver ID.GR-2 (nivel 4)

Subcategoría

Nivel 1

Nivel 2

Nivel 3

Nivel 4

ID.GR-1. Los procesos de gestión de riesgos se encuentran establecidos, gestionados y aprobados por todos los interesados de la organización.

Se cuenta con un proceso para la gestión de riesgos de los componentes del centro de datos y servicios críticos de forma independiente.

Se cuenta con una metodología de gestión de riesgo que permite evaluar los riesgos de ciberseguridad de forma periódica.

Se establece un plan de trabajo para el tratamiento del riesgo.

Se ha definido un responsable de la gestión de riesgos de la ciberseguridad.

Ver ID.ER-3 (nivel 3).

Ver ID.ER-3 (nivel 4).

ID.GR-2. Se determina y se expresa de forma clara la tolerancia al riesgo a nivel de toda la organización.

Se define la tolerancia de los riesgos inherentes que pueden afectar los activos que se encuentran en el centro de datos y que soportan los servicios críticos para el funcionamiento de la organización.

Se establece claramente los umbrales de tolerancia al riesgo, basados en análisis de riesgo o análisis de impacto del negocio (BIA) para las áreas vinculadas a tecnología.

La metodología de gestión de riesgo permite delimitar las tolerancias que puede soportar la organización en base a sus objetivos, RTO, RPO y BIA entre otros. Los niveles de servicios de los proveedores se ajustan conforme la gestión de riesgo de la organización.

Se define la tolerancia al riesgo para todos los procesos considerados críticos para la organización.

La tolerancia establecida se revisa periódicamente y se modifica ante cambios o las necesidades del negocio, la cual es apoyada por todas las partes interesadas, dirección y gerencias.

ID.GR-3. La tolerancia al riesgo de la organización es determinada por su rol y pertenencia a la infraestructura crítica y por la evaluación de riesgos específicos del sector al que pertenece.

La tolerancia al riesgo es determinada por la posición de la organización con respecto a la entrega de los servicios que suministran y que puedan afectar el desempeño de otras organizaciones (en particular la que se hayan identificado como prioritarias o críticas para el sector) que estén interconectadas y dependan de sus servicios.

Ver ID.GR-2 (nivel 2)

Ver ID.GR-2 (nivel 3)

Ver ID.GR-2 (nivel 4)

Etiquetas

Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Marco de Ciberseguridad

Estrategia para la gestión de riesgos (ID.GR)

Etiquetas