MANUAL ADMINISTRATIVO DE APLICACIN GENERAL EN LAS MATERIAS DE

TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIN

Apndice IV. A Formatos para los Productos de los procesos del MAAGTICSI

ASI- Administracin de la seguridad de la informacin

Documento de definicin del SGSI. Formato ASI F4

1. DEFINICIN DEL SGSI:

Situacin actual
[Sealar el estado actual en materia proteccin de activos tecnolgicos y sistemas informticos, deber tomarse en cuenta la
informacin recabada del Anlisis de riesgos.]

Anlisis de riesgos
[Especificar las principales directrices del Anlisis de riesgos elaborado y aquellas otras relevantes derivadas de los procesos del
manual.]

Requerimientos
[Sealar los requerimientos que debe de cumplir el SGSI, deber considerar los factores crticos de gobernabilidad.]

Estrategias a corto, mediano y largo plazo

[Asociar a cada riesgo identificado una estrategia de seguridad en base a los principios de la Institucin y la directriz de
administracin de riesgos.]

Estrategias, directrices y mecanismos

[Asociar a cada riesgo identificado una estrategia, directriz y mecanismo, en base a los objetivos de la Institucin.]

Formato ASI F4, v 1.0. 1

 MANUAL ADMINISTRATIVO DE APLICACIN GENERAL EN LAS MATERIAS DE
TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIN
Apndice IV. 4 Formatos para los Productos de los procesos del MAAGTICSI

Controles de seguridad
[Listar los controles de seguridad que se estima debern ser utilizados en el sistema en base a las directivas y controles ya definidos
de manera conceptual en los factores crticos de las actividades estratgicas del proceso.]

2. PROGRAMA DE IMPLANTACIN DEL SGSI:

Datos generales del programa

[Integrar los datos generales relevantes del programa de implantacin del SGSI.]

Cronograma para la implantacin

[Especificar todos los procesos, sus actividades para la realizacin de los mismos, as como el responsable o grupo responsable de
dicha actividad, la relacin entre ellas, la fecha de inicio y terminacin de la actividad, establecer puntos de control sobre el
cronograma, en caso de ser necesario los recursos tecnolgicos. Par este apartado deber elaborar e integrar el archivo electrnico
del proyecto de acuerdo a la herramienta de software que posea la institucin.]

Mtricas de desempeo
[Especificar las mtricas de desempeo de la implantacin del SGSI.]

Formato ASI F4, v 1.0. 2

 MANUAL ADMINISTRATIVO DE APLICACIN GENERAL EN LAS MATERIAS DE
TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIN
Apndice IV. 4 Formatos para los Productos de los procesos del MAAGTICSI

3. PROGRAMA DE EVALUACIONES DEL SGSI:

Cronograma (avance)
[Comparativo de la lnea base del cronograma contra el avance real del mismo. Deber asegurar haber integrado a este producto el
cronograma correspondiente recibido del GESI, que incluya (al menos) actividades, duraciones, responsables y recursos.]

Reporte y anlisis de desviaciones

[Analizar y reportar las desviaciones encontradas durante la implantacin.]

Acciones correctivas y contingentes

[Analizar y reportar las acciones correctivas ejecutadas durante la implantacin.]

Informe de cambios
[Analizar y documentar en este apartado los cambios ejecutados durante la implantacin.]

Acciones de mejora contina

[Sealar las actividades a realizar para la obtencin de mejores resultados.]

Formato ASI F4, v 1.0. 3

 MANUAL ADMINISTRATIVO DE APLICACIN GENERAL EN LAS MATERIAS DE
TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIN
Apndice IV. 4 Formatos para los Productos de los procesos del MAAGTICSI

4. IMPLANTACIN DE LA MEJORA AL SGSI:

a) Informe de evaluaciones al SGSI

Anlisis de incidentes y acciones de mejora

[Indicar los incidentes reportados, as como las acciones de mejora para mitigar dichos incidentes y responsables.]

Incidente Acciones de mejora preventivas / correctivas Responsable

Conclusiones y lecciones aprendidas

[Sealar la conclusin de las acciones tomadas y las lecciones aprendidas del procedimiento aplicado.]

Documentacin de referencia
[Indicar y describir los documentos base para la realizacin de las acciones.]

Seguimiento de las acciones de mejora

[Indicar el seguimiento a las acciones correctivas y preventivas.]

Formato ASI F4, v 1.0. 4

 MANUAL ADMINISTRATIVO DE APLICACIN GENERAL EN LAS MATERIAS DE
TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIN
Apndice IV. 4 Formatos para los Productos de los procesos del MAAGTICSI

Nueva fecha
Acciones de mejora Nivel de Hallazgos o reas de Impacto y mejora de la
compromiso
preventivas / correctivas cumplimiento oportunidad eficiencia
para revisin

b) Implantacin

Identificacin del Programa [Indicar el nmero de identificacin y nombre corto del programa de implantacin de mejora
al SGSI para reducir un riesgo a niveles aceptables.]

Descripcin [Proporcionar una descripcin breve de implantacin de la mejora, indicado el activo de TIC
afectado.]
Impacto [Proporcionar una descripcin breve del impacto que causara a la Institucin en caso de no
haber implantado la mejora.]
Controles Asociados [Indicar los controles de mejora implantados y su relacin con el riesgo asociado.]
Fecha de implantacin [Proporcionar la fecha de implantacin del o los controles.]
Responsable de la implantacin [Indicar responsable de la implantacin del Programa.]
Responsable de verificar el
[Indicar responsable de realizar la actividad de verificacin del cumplimiento del Programa.]
cumplimiento

Actividades a realizar
Nmero Fecha inicio Fecha final Justificacin
Actividad Responsable Descripcin [Indicar la fecha [Indicar la fecha [Indicar las bases de
[Indicar el [Indicar responsable de [Indicar las tareas que se en que se en que se
realizar la actividad] realizarn en la actividad] iniciar la terminar la
la decisin de realizar
nmero de la
actividad] actividad] actividad] la actividad]

Formato ASI F4, v 1.0. 5

 MANUAL ADMINISTRATIVO DE APLICACIN GENERAL EN LAS MATERIAS DE
TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIN
Apndice IV. 4 Formatos para los Productos de los procesos del MAAGTICSI

5. INFORME DE REVISIN DEL SGSI:

Documentacin de referencia
[Listar los documentos base para el desarrollo del Informe de revisin del SGSI. Deber indicarse la identificacin de cada
documento, su nombre, una breve descripcin y su localizacin.]

Incidentes y evaluacin
[Documentar los incidentes registrados, los intentos de violacin a los controles de seguridad, los accesos no
autorizados, y registrar la evaluacin, por medio de sus mtricas, del grado de cumplimiento y efectividad de los
controles y acciones de seguridad implantados considerando si stos se ejecutaron adecuadamente.]

Anlisis y Evaluacin del

Descripcin del Incidente /Violacin Resultado del intento Control aplicado para
restablecer la cumplimiento
de seguridad [Sealar si resulto Exitoso
[uno por rengln] o No exitoso] seguridad [Indicar la mtrica /indicador
utilizado]

Conclusiones
[Desarrollar las conclusiones de la revisin del SGSI. Se deber anexar en este apartado la lista de los documentos de soporte y
justificacin de las conclusiones, incluir la localizacin de los documentos en repositorios o archivos de la UTIC y/o cualquier otra
rea involucrada.]

Firmas y fechas de elaboracin, revisin y aprobacin

[En este apartado se debern asentar los nombres y cargos de los servidores pblicos responsables de la elaboracin, revisin y
aprobacin del Documento de definicin del SGSI, incluyendo a los responsables por parte de ste; asimismo se debern incluir las
fechas de firma.]

Formato ASI F4, v 1.0. 6