Estrategia para la gestión de riesgos (ID.GR)
Esta categoría implica que se establecen las prioridades, restricciones, tolerancia al riesgo y supuestos de la organización y se utilizan para soportar las decisiones de los riesgos operacionales.
En la tabla siguiente se detallan tres subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
B | E | A | |||
ID.GR-1. Los procesos de gestión de riesgos se encuentran establecidos, gestionados y aprobados por todos los interesados de la organización. | P3 | P1 | P1 | CIS CSC 4 COBIT 5 APO12.04, APO12.05, APO13.02, BAI02.03, BAI04.02 ISA 62443-2-1:2009 4.3.4.2 ISO/IEC 27001:2013 Cláusula 6.1.3, Cláusula 8.3, Cláusula 9.3 NIST SP 800-53 Rev. 4 PM-9 EMG 6.8, 6.9, 15.6 | GR.1 Adoptar una metodología de Evaluación de Riesgo alineada a las necesidades del SGSI. |
ID.GR-2. Se determina y se expresa de forma clara la tolerancia al riesgo a nivel de toda la organización. | P2 | P1 | P1 | COBIT 5 APO12.06 ISA 62443-2-1:2009 4.3.2.6.5 ISO/IEC 27001:2013 Cláusula 6.1.3, Cláusula 8.3 NIST SP 800-53 Rev. 4 PM-9 EMG 6.8, 6.9, 15.6 | |
ID.GR-3. La tolerancia al riesgo de la organización es determinada por su rol y pertenencia a la infraestructura crítica y por la evaluación de riesgos específicos del sector al que pertenece. | P2 | P1 | P1 | COBIT 5 APO12.02 ISO/IEC 27001:2013 Cláusula 6.1.3, Cláusula 8.3 NIST SP 800-53 Rev. 4 SA-14, PM-8, PM-9, PM-11 EMG 6.8, 6.9, 15.6 | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
|