Gobernanza (ID.GO) | Agesic

Pasar al contenido principal

Gobernanza (ID.GO)

Esta categoría implica que las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales, ambientales y operativos de la organización, son comprendidos y se informa a las gerencias sobre los riesgos de ciberseguridad.

En la tabla siguiente se detallan cuatro subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.

Subcategoría	Prioridad x Perfil			Referencias	Requisitos relacionados
Subcategoría	B	E	A	Referencias	Requisitos relacionados
ID.GO-1. La política de seguridad de la información se encuentra establecida.	P1	P1	P1	CIS CSC 19 COBIT 5 APO01.03, APO13.01, EDM01.01, EDM01.02 ISA 62443-2-1:2009 4.3.2.6 ISO/IEC 27001:2013 A.5.1.1 NIST SP 800-53 Rev. 4-1 controles de todas las familias de control de seguridad EMG 3.7, 56.7, 57	PS.1 Adoptar una Política de Seguridad de la Información.
ID.GO-2. Los roles y las responsabilidades de la seguridad de la información están coordinados y alineados con roles internos y socios externos.	P1	P1	P1	CIS CSC 19 COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04 ISA 62443-2-1:2009 4.3.2.3.3 ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1 NIST SP 800-53 Rev. 4 PS-7, PM1, PM-2 EMG 3.7, 56.7, 57	OR.1 Designar un Responsable de la Seguridad de la Información. OR.2 Conformar un Comité de Seguridad de la Información.
ID.GO-3. Los requisitos legales y regulatorios sobre la ciberseguridad, incluyendo las obligaciones de privacidad, son comprendidos y se gestionan.	P1	P1	P1	CIS CSC 19 COBIT 5 BAI02.01, MEA03.01, MEA03.04 ISA 62443-2-1:2009 4.4.3.7 ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5 NIST SP 800-53 Rev. 4-1 controles de todas las familias de control de seguridad EMG 20, 21, 63	CN.1 Cumplir con los requisitos normativos. SC.1 Los portales Web institucionales de los organismos de la Administración Central y sus dependencias deben identificarse con la extensión “gub.uy” y “mil.uy”, según corresponda. SC.2 Los portales Web institucionales de Unidades Ejecutoras, aplicaciones, portales y sitios Web correspondientes a proyectos y programas, sitios promocionales y temáticos, incluyendo zonas restringidas de acceso mediante usuario y contraseña disponibles para ciudadanos y funcionarios del organismo (contenidos Web), deberán ser subdominios del dominio del inciso correspondiente. SC.3 El portal del organismo jerarca deberá hacer referencia a todos los dominios y subdominios que se correspondan con todos los contenidos Web que le reporten. SC.4 Los nombres de dominio del organismo o dependencias serán sus iniciales, su acrónimo, o el nombre con el cual se los conoce públicamente. Deberá justificarse que la denominación elegida sea la más representativa. SC.5 La información de contacto de los responsables de los dominios y subdominios deberá ser comunicada a Agesic y actualizada en períodos de seis meses. SC.7 Los servidores de correo electrónico (MTA) de dominios gubernamentales deben alojarse dentro del territorio nacional, y no se permite su implementación sobre tecnologías que no garanticen dicho requerimiento.
ID.GO-4. Construcción de procesos de gobernanza y administración de riesgos dirigidos a atender los problemas de ciberseguridad.	P2	P1	P1	COBIT 5 EDM03.02, APO12.02, APO12.05, DSS04.02 ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3 ISO/IEC 27001:2013 Cláusula 6 NIST SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM9, PM10, PM-11 EMG 3.7, 6.8, 6.9, 15.6, 56.7, 57	GR.1 Adoptar una metodología de Evaluación de Riesgo alineada a las necesidades del SGSI. PL.1 Establecer objetivos anuales con relación a la Seguridad de la Información.

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay

¿Hay algún error en el sitio? Enviar reporte