Concientización y formación (PR.CF)
Esta categoría implica que el personal de la organización y socios de negocios, reciben entrenamiento y concientización sobre seguridad de la información. Están adecuadamente entrenados para cumplir con sus obligaciones referentes a la seguridad de la información y alineados con las políticas, procedimientos y acuerdos existentes.
En la tabla siguiente se detallan cinco subcategorías en los que se divide esta categoría y los requisitos que se relacionan con cada una de ellas.
Subcategoría | Prioridad x Perfil | Referencias | Requisitos relacionados | ||
PR.CF-1. Todos los usuarios se encuentran entrenados e informados. | P1 | P1 | P1 | CIS CSC 17, 18 COBIT 5 APO07.03, BAI05.07 ISA 62443-2-1:2009 4.3.2.4.2 ISO/IEC 27001:2013 A.7.2.2, A.12.2.1 NIST SP 800-53 Rev. 4 AT-2, PM-13 EMG 20, 21, 63 | GH.2 Concientizar y formar en materia de seguridad de la información a todo el personal.
|
PR.CF-2. Los usuarios privilegiados comprenden sus roles y responsabilidades. | P1 | P1 | P1 | CIS CSC 5, 17, 18 COBIT 5 APO07.02, DSS05.04, DSS06.03 ISA 62443-2-1:2009 4.3.2.4.2, 4.3.2.4.3 ISO/IEC 27001:2013 A.6.1.1, A.7.2.2 NIST SP 800-53 Rev. 4 AT-3, PM-13 EMG 63 | GH.2 Concientizar y formar en materia de seguridad de la información a todo el personal. |
PR.CF-3. Interesados externos (proveedores, clientes, socios) comprenden sus roles y responsabilidades. | P1 | P1 | P1 | CIS CSC 17 COBIT 5 APO07.03, APO07.06, APO10.04, APO10.05 ISA 62443-2-1:2009 4.3.2.4.2 ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.7.2.2 NIST SP 800-53 Rev. 4 PS-7, SA-9, SA-16 | GH.2 Concientizar y formar en materia de seguridad de la información a todo el personal. |
PR.CF-4. La gerencia ejecutiva comprende sus roles y responsabilidades. | P1 | P1 | P1 | CIS CSC 17, 19 COBIT 5 EDM01.01, APO01.02, APO07.03 ISA 62443-2-1:2009 4.3.2.4.2 ISO/IEC 27001:2013 A.6.1.1, A.7.2.2 NIST SP 800-53 Rev. 4 AT-3, PM-13 EMG 63 | GH.2 Concientizar y formar en materia de seguridad de la información a todo el personal. |
PR.CF-5. El personal de seguridad física y de seguridad de la información comprende sus roles y responsabilidades. | P2 | P2 | P1 | CIS CSC 17 COBIT 5 APO07.03 ISA 62443-2-1:2009 4.3.2.4.2 ISO/IEC 27001:2013 A.6.1.1, A.7.2.2 NIST SP 800-53 Rev. 4 AT-3, IR-2, PM13 EMG 63 | GH.2 Concientizar y formar en materia de seguridad de la información a todo el personal. |