Gestión de activos (ID.GA)
Esta categoría implica que los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de negocio, se identifican y gestionan en forma consistente, en relación con los objetivos y la estrategia de riesgo de la organización.
En la tabla siguiente se detallan seis subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
B | E | A | |||
ID.GA-1. Los dispositivos físicos y sistemas se encuentran inventariados.
| P1 | P1 | P1 | COBIT 5 BAI09.01, BAI09.02 CIS CSC 1 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8, PM-5 |
GA.3 Pautar el uso aceptable de los activos.
|
ID.GA-2. Las plataformas de software y aplicaciones se encuentran inventariadas. | P1 | P1 | P1 | CIS CSC 2 COBIT 5 BAI09.01, BAI09.02, BAI09.05 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1 NIST SP 800-53 Rev. 4 CM-8, PM-5 EMG 63 |
GA.3 Pautar el uso aceptable de los activos.
|
ID.GA-3. Se utilizan medidas de seguridad y procedimientos de gestión para proteger y controlar el flujo de información interna y externa. | P2 | P2 | P1 | CIS CSC 12 COBIT 5 DSS05.02 ISA 62443-2-1:2009 4.2.3.4 ISO/IEC 27001:2013 A.13.2.1, A.13.2.2 NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8 | |
ID.GA-4. El equipamiento y los sistemas de información utilizados fuera de las instalaciones se encuentran identificados y se aplican medidas para mantener la seguridad de la información. | P2 | P1 | P1 | CIS CSC 12 COBIT 5 APO02.02, APO10.04, DSS01.02 ISO/IEC 27001:2013 A.11.2.6 NIST SP 800-53 Rev. 4 AC-20, SA-9 | |
ID.GA-5. Los activos (por ejemplo: hardware, dispositivos, datos y software) se encuentran clasificados en función del tipo de información que contienen o procesan y en el valor que poseen para el negocio. | P2 | P2 | P1 | CIS CSC 13, 14 COBIT 5 APO03.03, APO03.04, APO12.01, BAI04.02, BAI09.02 ISA 62443-2-1:2009 4.2.3.6 ISO/IEC 27001:2013 A.8.2.1 NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6 EMG 63 | |
ID.GA-6. Los roles y responsabilidades de seguridad de la información y ciberseguridad se encuentran asignados. | P1 | P1 | P1 | CIS CSC 17, 19 COBIT 5 APO01.02, APO07.06, APO13.01, DSS06.03 ISA 62443-2-1:2009 4.3.2.3.3 ISO/IEC 27001:2013 A.6.1.1 NIST SP 800-53 Rev. 4 CP-2, PS-7, PM-11 | OR.1 Designar un Responsable de la Seguridad de la Información.
|