Matriz calificacin anexo tcnico

Numeral

1.1. EVALUACIN Y DIAGNSTICO BAJO LA NORMA ISO/IEC 27001

Entregables
Resultados de evaluacin y diagnstico, en donde se indican por cada dominio de
la norma ISO/IEC 17799:2005. En los resultados del diagnstico se deben incluir los
objetivos de control y los controles de seguridad de la norma.
Resultados de evaluacin y diagnstico de revisin documental del modelo actual
de seguridad de la informacin.
Vulnerabilidades encontradas en los sistemas expuestos a Internet y de los
sistemas en la red interna, y el grado de riesgo tcnico asociada con estos. Hasta
donde se logr acceder en los sistemas de informacin y un nivel de riesgo general
de la institucin su exposicin desde el punto de vista tcnico.
Describir las clases de ataques que se utilizaran.
El reporte deber estar acompaado de la evidencia sobre la informacin y accesos
que se pudo obtener sobre los sistemas de informacin.
De igual forma se deben presentar dos Informes en espaol que incluyan:
o Informe Ejecutivo

1.2. EVALUACIN Y DIAGNOSTICO DE LA INFRAESTRUCTURA

TECNOLGICA DE LA UTP
o Informe Tcnico de seguridad:

o Listado de vulnerabilidades encontradas en los elementos de la plataforma

tecnolgica:

2. INVENTARIO DE ACTIVOS DE INFORMACIN

Informe de resultados del levantamiento de informacin.

Inventario de activos de informacin de la Universidad Tecnolgica de
Pereira, junto con el proceso de inventario de activos de informacin y los
formatos para su definicin, actualizacin y mantenimiento.

Metodologa Alcances
Folio/Pgina

Folio/Pgina

Cumple
Si

No

3. CLASIFICACIN DE ACTIVOS DE INFORMACIN

4. ANLISIS, EVALUACIN Y TRATAMIENTO DEL RIESGO

5. DEFINICIN DE POLTICA DE SEGURIDAD, ORGANIZACIN DE LA

SEGURIDAD Y DECLARACIN DE APLICABILIDAD DEL SGSI

Instructivo de clasificacin de activos de informacin de la Universidad

Tecnolgica de Pereira y su nivel de clasificacin, incluyendo las
recomendaciones en cuanto a:
o Acceso permitido.
o Mtodos de distribucin.
o Restricciones en la distribucin electrnica.
o Recomendaciones a cerca de el Almacenamiento y/o archivado.
o Recomendaciones a cerca de su disposicin y destruccin.
o Activos de informacin clasificados, segn inventario e instructivo de
clasificacin.
o Matriz de valoracin riesgos de seguridad de la informacin priorizada,
identificando los activos, las amenazas, las vulnerabilidades, impactos, los
riesgos y las recomendaciones para su mitigacin del nivel del riesgo
residual.
o Informe de identificacin de procedimientos y controles necesarios para
mitigar o transferir el riesgo.
o Plan de tratamiento de riesgos y cronograma de implementacin.
o Informe de los resultados del anlisis de impacto generado en los procesos
por la aplicacin de los controles propuestos.
o Informe de revisin de las polticas de seguridad que poseen en la
actualidad la Universidad Tecnolgica de Pereira.
o Polticas de seguridad corporativa, objetivos del SGSI y procedimientos
para su implementacin y gestin.
o Formatos y documentos para llevar los registros necesarios y exigidos por
la norma.
o Declaracin de aplicabilidad.
o Proceso de control de documentos y de control de registros.
o Indicadores de gestin base de primer nivel para el SGSI.