Evaluación de riesgos (ID.ER)
Esta categoría implica que la empresa comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.
En la tabla siguiente se detallan seis subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
B | E | A | |||
ID.ER-1. Se identifican y documentan las vulnerabilidades de los activos. | P2 | P2 | P1 | CIS CSC 4 COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, DSS05.01, DSS05.02 ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 A.12.6.1, A.18.2.3 NIST SP 800-53 Rev. 4 CA2, CA-7, CA-8, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5 EMG 63 | SO.1 Gestionar las vulnerabilidades técnicas.
|
ID.ER-2. Recepción de información sobre amenazas y vulnerabilidades por parte de grupos y fuentes especializadas. | P2 | P2 | P1 | CIS CSC 4 COBIT 5 BAI08.01 ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 A.6.1.4 NIST SP 800-53 Rev. 4 SI-5, PM-15, PM-16 EMG 63 | OR.3 Definir los mecanismos para el contacto formal con autoridades y equipo de respuesta. |
ID.ER-3. Identificación y documentación de las amenazas internas y externas. | P1 | P1 | P1 | CIS CSC 4 COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04 ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 Cláusula 6.1.2 NIST SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16 EMG 63 | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI. |
ID.ER-4. Identificación del impacto potencial en el negocio y la probabilidad de ocurrencia. | P1 | P1 | P1 | CIS CSC 4 COBIT 5 DSS04.02 ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 ISO/IEC 27001:2013 A.16.1.6, Cláusula 6.1.2 NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9, PM-11 EMG 6.8, 6.9, 15.6 | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
|
ID.ER-5. Las amenazas, vulnerabilidades, probabilidad de ocurrencia e impactos se utilizan para determinar el riesgo. | P1 | P1 | P1 | CIS CSC 4 COBIT 5 APO12.02 ISO/IEC 27001:2013 A.12.6.1 NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16 EMG 6.8, 6.9, 15.6 | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
|
ID.ER-6. Identificación y priorización de las respuestas a los riesgos. | P2 | P1 | P1 | CIS CSC 4 COBIT 5 APO12.05, APO13.02 ISO/IEC 27001:2013 Cláusula 6.1.3 NIST SP 800-53 Rev. 4 PM-4, PM-9 |