Evaluación de riesgos (ID.ER) | Agesic

Pasar al contenido principal

Evaluación de riesgos (ID.ER)

Esta categoría implica que la empresa comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.

En la tabla siguiente se detallan seis subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.

Subcategoría	Prioridad x Perfil			Referencias	Requisitos relacionados
Subcategoría	B	E	A	Referencias	Requisitos relacionados
ID.ER-1. Se identifican y documentan las vulnerabilidades de los activos.	P2	P2	P1	CIS CSC 4 COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, DSS05.01, DSS05.02 ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 A.12.6.1, A.18.2.3 NIST SP 800-53 Rev. 4 CA2, CA-7, CA-8, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5 EMG 63	SO.1 Gestionar las vulnerabilidades técnicas. CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades.
ID.ER-2. Recepción de información sobre amenazas y vulnerabilidades por parte de grupos y fuentes especializadas.	P2	P2	P1	CIS CSC 4 COBIT 5 BAI08.01 ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 A.6.1.4 NIST SP 800-53 Rev. 4 SI-5, PM-15, PM-16 EMG 63	OR.3 Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta.
ID.ER-3. Identificación y documentación de las amenazas internas y externas.	P1	P1	P1	CIS CSC 4 COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04 ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 Cláusula 6.1.2 NIST SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16 EMG 63	GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
ID.ER-4. Identificación del impacto potencial en el negocio y la probabilidad de ocurrencia.	P1	P1	P1	CIS CSC 4 COBIT 5 DSS04.02 ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 A.16.1.6, Cláusula 6.1.2 NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9, PM-11 EMG 6.8, 6.9, 15.6	GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI. GI.6 Establecer los mecanismos que le permitan a la organización aprender de los incidentes ocurridos.
ID.ER-5. Las amenazas, vulnerabilidades, probabilidad de ocurrencia e impactos se utilizan para determinar el riesgo.	P1	P1	P1	CIS CSC 4 COBIT 5 APO12.02 ISO/IEC 27001:2013 A.12.6.1 NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16 EMG 6.8, 6.9, 15.6	GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
ID.ER-6. Identificación y priorización de las respuestas a los riesgos.	P2	P1	P1	CIS CSC 4 COBIT 5 APO12.05, APO13.02 ISO/IEC 27001:2013 Cláusula 6.1.3 NIST SP 800-53 Rev. 4 PM-4, PM-9	GR.3 Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes.

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay

¿Hay algún error en el sitio? Enviar reporte