Mantenimiento (PR.MA)
El mantenimiento y las reparaciones de los componentes de los sistemas de información y de control industrial se lleva a cabo en consonancia con las políticas y procedimientos.
Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
---|---|---|---|---|
PR.MA-1. El mantenimiento y la reparación de los activos de la organización se lleva a cabo y es registrado en forma oportuna con herramientas aprobadas y controladas. | El área de tecnología gestiona y/o realiza el mantenimiento sobre los activos del centro de datos, en función de los requerimientos técnicos. | Se establecen los planes anuales de mantenimiento, gestionando el acceso a los usuarios autorizados para realizar las tareas de mantenimiento programado. Se conservan los registros del mantenimiento, fallos y cambios realizados sobre los activos. | Se cuenta con un procedimiento, donde se estandariza la planificación preventiva y correctiva de la plataforma tecnológica de la organización. | Se implementa los procesos control de cambio, la documentación requerida y la aprobación por parte del CSI, con el fin de que todos estos requerimientos de mantenimiento estén acordados por las partes y que los mismos no impacten la entrega de servicios críticos. Se cuenta con un proceso de control interno para la verificación de cumplimiento de los procedimientos de mantenimiento del equipamiento. |
PR.MA-2. El mantenimiento a distancia de los activos de la organización se aprueba, registra y lleva a cabo de forma tal que se impide el acceso no autorizado. | El área de tecnología aprueba la alta y baja de los usuarios (internos o externos) que realizan mantenimiento de forma remota a los activos informáticos del centro de datos. | El RSI realiza la gestión de aprobación de los usuarios para conexión remota a los sistemas y activos de la organización, cumpliendo con el plan anual de mantenimiento aprobado por las partes. Se lleva a cabo el registro de los eventos de accesos de cada usuario, exigiendo el estricto cumplimiento de las cláusulas de confidencialidad, integridad y disponibilidad de la información. | Se cuenta con un procedimiento que contempla que todos los eventos de conexión remota a los activos informáticos generan alertas de forma automática; las mismas permiten identificar y trazar las actividades de los usuarios que se han conectado para validar que todas las acciones de mantenimiento corresponden con las acciones esperadas o alertar de una posible desviación. | Se realiza una revisión periódica de logs de acceso y actividades de los usuarios a la plataforma de la organización. |