Gestión de activos (ID.GA) | Agesic

Pasar al contenido principal

Gestión de activos (ID.GA)

Esta categoría implica que los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de negocio, se identifican y gestionan en forma consistente, en relación con los objetivos y la estrategia de riesgo de la organización.

En la tabla siguiente se detallan seis subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.

Subcategoría	Prioridad x Perfil			Referencias	Requisitos relacionados
Subcategoría	B	E	A	Referencias	Requisitos relacionados
ID.GA-1. Los dispositivos físicos y sistemas se encuentran inventariados.	P1	P1	P1	COBIT 5 BAI09.01, BAI09.02 CIS CSC 1 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 NIST SP 800-53 Rev. 4 CM-8, PM-5	GA.1 Identificar formalmente los activos de la organización junto con la definición de su responsable. GA.3 Pautar el uso aceptable de los activos. OR.5 Pautar el uso de dispositivos móviles.
ID.GA-2. Las plataformas de software y aplicaciones se encuentran inventariadas.	P1	P1	P1	CIS CSC 2 COBIT 5 BAI09.01, BAI09.02, BAI09.05 ISA 62443-2-1:2009 4.2.3.4 ISA 62443-3-3:2013 SR 7.8 ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1 NIST SP 800-53 Rev. 4 CM-8, PM-5 EMG 63	GA.1 Identificar formalmente los activos de la organización junto con la definición de su responsable. GA.3 Pautar el uso aceptable de los activos. CN.4 Gestionar las licencias de software.
ID.GA-3. Se utilizan medidas de seguridad y procedimientos de gestión para proteger y controlar el flujo de información interna y externa.	P2	P2	P1	CIS CSC 12 COBIT 5 DSS05.02 ISA 62443-2-1:2009 4.2.3.4 ISO/IEC 27001:2013 A.13.2.1, A.13.2.2 NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8	SC.14 Mantener la seguridad de la información durante su intercambio dentro o fuera de la organización.
ID.GA-4. El equipamiento y los sistemas de información utilizados fuera de las instalaciones se encuentran identificados y se aplican medidas para mantener la seguridad de la información.	P2	P1	P1	CIS CSC 12 COBIT 5 APO02.02, APO10.04, DSS01.02 ISO/IEC 27001:2013 A.11.2.6 NIST SP 800-53 Rev. 4 AC-20, SA-9	GA.3 Pautar el uso aceptable de los activos.
ID.GA-5. Los activos (por ejemplo: hardware, dispositivos, datos y software) se encuentran clasificados en función del tipo de información que contienen o procesan y en el valor que poseen para el negocio.	P2	P2	P1	CIS CSC 13, 14 COBIT 5 APO03.03, APO03.04, APO12.01, BAI04.02, BAI09.02 ISA 62443-2-1:2009 4.2.3.6 ISO/IEC 27001:2013 A.8.2.1 NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6 EMG 63	GA.2 Clasificar y proteger la información de acuerdo a la normativa y a los criterios de valoración definidos.
ID.GA-6. Los roles y responsabilidades de seguridad de la información y ciberseguridad se encuentran asignados.	P1	P1	P1	CIS CSC 17, 19 COBIT 5 APO01.02, APO07.06, APO13.01, DSS06.03 ISA 62443-2-1:2009 4.3.2.3.3 ISO/IEC 27001:2013 A.6.1.1 NIST SP 800-53 Rev. 4 CP-2, PS-7, PM-11	OR.1 Designar un Responsable de la Seguridad de la Información. OR.2 Conformar un Comité de Seguridad de la Información.

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay

¿Hay algún error en el sitio? Enviar reporte