A.8.1 ISO 27002:2022
¿OmniControl mantiene un inventario formal y actualizado de información y otros activos asociados (software, APIs, repositorios, datos, llaves criptográficas, dominios) con propietario, criticidad y clasificación?
Solicitar el inventario de activos vigente. Verificar que cubra al menos: aplicaciones (ERP, módulos), APIs publicadas, repositorios de código, bases de datos, certificados digitales (DIAN), llaves KMS, dominios DNS, integraciones externas. Para cada activo confirmar: propietario, criticidad, clasificación de información tratada, fecha de última revisión.
Documento o herramienta CMDB con el inventario. Si solo existe una hoja de cálculo desactualizada, sin propietarios o sin clasificación, constituye no conformidad.
Sin inventario formal de activos no es posible realizar Threat Modeling exhaustivo (P-02), gestionar parches (A.8.8), ni clasificar la información (Ley 1581). El inventario es el cimiento del SGSI según ISO 27001 Cl. 8.1 y A.8.1 ISO 27002:2022.
- 01¿Existe un inventario formal (CMDB o equivalente) de activos de información?
- 02¿Cubre aplicaciones, APIs, repos, datos, llaves criptográficas y dominios?
- 03¿Cada activo tiene propietario, criticidad y clasificación de información?
- 04¿Hay frecuencia definida de revisión y actualización?
- 05¿El inventario coincide con los activos efectivamente desplegados en AWS?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.