¿El Propietario de la Información de que se trate, lleva a cabo un proceso forma de revisión de los derechos de acceso de los usuarios, a intervalos regulares no mayores a 6 meses?
En respuesta a Rocío Belén CORRAL
Re: 9.2.5 Revisión de derechos de acceso de usuarios
de Rocío Belén CORRAL -
Requerimientos iniciales:
- Registros de derechos o permisos de acceso de usuarios sobre la información en cuestión.
- Registros históricos de asignación/revocación de derechos o permisos a usuarios sobre el activo.
- Registros históricos de acceso al activo.
- Registros históricos de recursos humanos sobre reasignación de empleados, contrataciones y desvinculaciones.
- Registros de derechos o permisos de acceso de usuarios sobre la información en cuestión.
- Registros históricos de asignación/revocación de derechos o permisos a usuarios sobre el activo.
- Registros históricos de acceso al activo.
- Registros históricos de recursos humanos sobre reasignación de empleados, contrataciones y desvinculaciones.
En respuesta a Rocío Belén CORRAL
Re: 9.2.5 Revisión de derechos de acceso de usuarios
de Rocío Belén CORRAL -
1. Procedimiento de control sustantivo:
- Realizar cada intervalos periódicos revisiones exhaustivas de los derechos de acceso de los usuarios, incluidos los privilegios y los roles asignados, para garantizar que reflejen el mínimo acceso necesario para cumplir las responsabilidades laborales de cada empleado.
- Modificar los derechos de acceso de los usuarios que han cambiado de rol o que han sido desvinculados de la empresa.
2. Procedimiento de control de cumplimiento:
- Revisar los registros históricos que demuestren la realización de revisiones y actualizaciones de derechos de acceso de los usuarios cada intervalos regulares de no más de 6 meses.
- Revisar que los registros históricos de modificación de derechos de acceso reflejen los movimientos de personal de la organización previo a los últimos 6 meses.
3. Procedimiento de control de cumplimiento:
- Confirmar que se hayan tomado medidas correctivas basadas en los hallazgos de las revisiones de derechos de acceso históricos y que estas acciones queden claramente documentadas.
- Verificar que el nivel de acceso definido para cada rol dentro de la organización se vea reflejado en los derechos de acceso asignados a los distintos usuarios de la organización.
- Realizar cada intervalos periódicos revisiones exhaustivas de los derechos de acceso de los usuarios, incluidos los privilegios y los roles asignados, para garantizar que reflejen el mínimo acceso necesario para cumplir las responsabilidades laborales de cada empleado.
- Modificar los derechos de acceso de los usuarios que han cambiado de rol o que han sido desvinculados de la empresa.
2. Procedimiento de control de cumplimiento:
- Revisar los registros históricos que demuestren la realización de revisiones y actualizaciones de derechos de acceso de los usuarios cada intervalos regulares de no más de 6 meses.
- Revisar que los registros históricos de modificación de derechos de acceso reflejen los movimientos de personal de la organización previo a los últimos 6 meses.
3. Procedimiento de control de cumplimiento:
- Confirmar que se hayan tomado medidas correctivas basadas en los hallazgos de las revisiones de derechos de acceso históricos y que estas acciones queden claramente documentadas.
- Verificar que el nivel de acceso definido para cada rol dentro de la organización se vea reflejado en los derechos de acceso asignados a los distintos usuarios de la organización.