Gobernanza (ID.GO)
Esta categoría implica que las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales, ambientales y operativos de la organización, son comprendidos y se informa a las gerencias sobre los riesgos de ciberseguridad.
En la tabla siguiente se detallan cuatro subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
B | E | A | |||
ID.GO-1. La política de seguridad de la información se encuentra establecida. | P1 | P1 | P1 | CIS CSC 19 COBIT 5 APO01.03, APO13.01, EDM01.01, EDM01.02 ISA 62443-2-1:2009 4.3.2.6 ISO/IEC 27001:2013 A.5.1.1 NIST SP 800-53 Rev. 4-1 controles de todas las familias de control de seguridad EMG 3.7, 56.7, 57 | |
ID.GO-2. Los roles y las responsabilidades de la seguridad de la información están coordinados y alineados con roles internos y socios externos. | P1 | P1 | P1 | CIS CSC 19 COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04 ISA 62443-2-1:2009 4.3.2.3.3 ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1 NIST SP 800-53 Rev. 4 PS-7, PM1, PM-2 EMG 3.7, 56.7, 57 | OR.1 Designar un Responsable de la Seguridad de la Información.
|
ID.GO-3. Los requisitos legales y regulatorios sobre la ciberseguridad, incluyendo las obligaciones de privacidad, son comprendidos y se gestionan. | P1 | P1 | P1 | CIS CSC 19 COBIT 5 BAI02.01, MEA03.01, MEA03.04 ISA 62443-2-1:2009 4.4.3.7 ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5 NIST SP 800-53 Rev. 4-1 controles de todas las familias de control de seguridad EMG 20, 21, 63 | CN.1 Cumplir con los requisitos normativos.
|
ID.GO-4. Construcción de procesos de gobernanza y administración de riesgos dirigidos a atender los problemas de ciberseguridad. | P2 | P1 | P1 | COBIT 5 EDM03.02, APO12.02, APO12.05, DSS04.02 ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3 ISO/IEC 27001:2013 Cláusula 6 NIST SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM9, PM10, PM-11 EMG 3.7, 6.8, 6.9, 15.6, 56.7, 57 | GR.1 Adoptar una metodología de Evaluación de Riesgo alineada a las necesidades del SGSI.
PL.1 Establecer objetivos anuales con relación a la Seguridad de la Información. |