AutodiagnosticoSGSI v2 09072015

AUTODIAGNSTICO SGSI LOGRO 1: DEFI
Por favor, conteste la siguiente encuesta de acuerdo con el instructivo.
Estado
Cumple satisfactoriamente
Cumple parcialmente
No cumple
ITEM PREGUNTA
1 La entidad cuenta con un autodiagnstico realizado para medir el avance en el establecimiento, implem
2 mantenimiento
La entidad creyun
mejora
caso continua deosu
de estudio SGSI
plan (Sistema
inicial de Gestin
del proyecto, dese
donde Seguridad de la
incluyen las informacin?
prioridades y obje
implementacin del SGSI?
3 La entidad cont con la aprobacin de la direccin para iniciar el proyecto del SGSI?
4 La entidad ha identificado los aspectos internos y externos que pueden afectar en el desarrollo del pro
implementacin del sistema de gestin de seguridad de la informacin?
5 La entidad ha identificado las partes interesadas, necesidades y expectativas de estas respecto al Sist
Gestin de Seguridad de la Informacin?
6 La entidad ha evaluado los objetivos y las necesidades respecto a la Seguridad de la Informacin?
7 En la entidad se ha definido un Cmite de Seguridad de la Informacin?
8 La entidad cuenta con una definicin del alcance y los lmites del Sistema de Gestin de Seguridad de
Informacin?
9 En la entidad existe un documento de poltica del Sistema de Gestin de Seguridad de la Informacin,

sido aprobado por la Direccin?
10 En la entidad existe un documento de roles, responsabilidades y autoridades en seguridad de la inform
11 La entidad tiene establecido algn proceso para identificar, analizar, valorar y tratar los riesgos de segu
informacin?
12 La entidad ha realizado una declaracin de aplicabilidad que contenga los controles requeridos por la e
13 La entidad ha evaluado las competencias de las personas que realizan, bajo su control, un trabajo que
desempeo de la seguridad de la Informacin?
14 La entidad tiene definido un modelo de comunicaciones tanto internas como externas respecto a la seg
la informacin?
15 La entidad tiene la informacin referente al Sistema de Gestin de Seguridad de la Informacin debida

documentada y controlada?
Fuente: NTC-ISO-IEC 27001:2013

AUTODIAGNSTICO SGSI LOGRO 1: DEFICININ DE MARCO DE SEGURIDAD Y PRIV
e encuesta de acuerdo con el instructivo.
DESCRIPCIN
Existe, es gestionado, se esta cumpliendo con lo que la norma ISO27001 versio n 2013 solicita, esta documenta
Lo que la norma requiere (ISO27001 versio n 2013) se esta haciendo de manera parcial, se esta haciendo difer
No existe y/o no se esta haciendo.
PLANEAR
PREGUNTA
utodiagnstico realizado para medir el avance en el establecimiento, implementacin,
ntinua deosu
estudio SGSI
plan (Sistema
inicial de Gestin
del proyecto, dese
donde Seguridad de la
incluyen las informacin?
prioridades y objetivos para la
obacin de la direccin para iniciar el proyecto del SGSI?
os aspectos internos y externos que pueden afectar en el desarrollo del proyecto de

a de gestin de seguridad de la informacin?
as partes interesadas, necesidades y expectativas de estas respecto al Sistema de
Informacin?
objetivos y las necesidades respecto a la Seguridad de la Informacin?
o un Cmite de Seguridad de la Informacin?
definicin del alcance y los lmites del Sistema de Gestin de Seguridad de la
umento de poltica del Sistema de Gestin de Seguridad de la Informacin, el cual ha

cin?
umento de roles, responsabilidades y autoridades en seguridad de la informacin?
o algn proceso para identificar, analizar, valorar y tratar los riesgos de seguridad de la
a declaracin de aplicabilidad que contenga los controles requeridos por la entidad?

competencias de las personas que realizan, bajo su control, un trabajo que afecta el
d de la Informacin?
n modelo de comunicaciones tanto internas como externas respecto a la seguridad de
cin referente al Sistema de Gestin de Seguridad de la Informacin debidamente

?
ININ DE MARCO DE SEGURIDAD Y PRIVACIDAD DE LA ENTIDAD (30%)
DESCRIPCIN
O27001 versio n 2013 solicita, esta documentado, es conocido y aplicado por todos los involucrados en el SGSI. cumple 1
iendo de manera parcial, se esta haciendo diferente, no esta documentado, se definio y aprobo pero no se gestiona.
PLANEAR
VALORACIN EVIDENCIA
%)
RESUMEN LOGRO 1
TOTAL
dos los involucrados en el SGSI. cumple 100%.

0
efinio y aprobo pero no se gestiona.

0
1
TOTAL
RECOMENDACIN
Diligenciar autodiagnostico de seguridad de
la informacion.
Crear caso de estudio o plan inicial del
proyecto que incluya prioridades y objetivos
del SGSI, estructura del SGSI.
Debe existir un documento preliminar de

aprobacin firmado por parte de la
direccin donde se aprueba el inicio del
proyecto.
Se deben identificar los temas tanto

externos como internos que pueden afectar
el desarrollo de los resultados del sistema.
Se requiere que se identifiquen las partes
interesadas tanto internas como externas,
detallando cules son sus necesidades y
expectativas en la implantacin del Sistema
de Gestin de Seguridad de la Informacin.
Realizar la identificacin de los objetivos y

las necesidades que tiene la entidad
respecto a la seguridad de la Informacin.
Definir mediante acto administrativo el

comite de seguridad de la informacion que
describa las responsabilidades de los
integrantes, reuniones entre otros.
Crear un documento de alcance del

Sistema de Gestin de Seguridad de la
Informacin y sus respectivos lmites en
cuanto a TIC, lmites fsicos, temas internos
y externos.
Crear un documento que defina la poltica

general del Sistema de Gestin de
Seguridad de la Informacin y sus
respectivos lmites. Tener en cuenta
objetivos del SGSI, marco regulatorio, el
cual debe estar debidamente documentado
y socializado.
Se deben definir roles y responsabilidades

para cada etapa de la Implementacin.
Se debe seleccionar una metodologa para

gestionar los riesgos y describir en una
matriz de riesgos los resultados de acuerdo
a los criterios de aceptacin de los mismos.
Nota: Si la entidad ya tiene una matriz de
riesgos, se deben identificar los riesgos que
apunten a la seguridad de la informacin.
Crear documento de declaracin de

aplicabilidad donde se justifique la inclusin
y exclusin de controles del Anexo A de la
norma ISO27001 versin 2013.
Se debe conservar la informacin que
evidencie las competencias del personal
que se encuentre involucrado con la
seguridad de la informacin de la entidad.
Se debe definir un plan de capacitacin con
el fin de que dichas personas adquieran las
competencias respectivas.
Se debe desarrollar un modelo que indique

el contenido de la comunicacin; fechas, a
quin se comunica y quin comunica.
Toda la documentacin generada del

Informacin debe estar debidamente
documentada.
RESUMEN LOGRO 1
PESO
0.0%
0.0%
0.0%
0.0% Autodiagnstico
0.0% Plan de trabajo

0.0%
AUTODIAGNSTICO SGSI LO
Por favor, conteste la siguiente encuesta, de acuerdo con el instructivo.
Estado
Cumple parcialmente
No cumple
No aplica
ANEXO
A5 POLTICAS DE LA SEGURIDAD DE LA INFORMACION
A5.1 Orientacin de la direccin para la gestin de la seguridad de la informacin
Objetivo: Brindar orientacin y soporte, por parte de la direccin, para la seguridad de la informacin de acuerdo con
A5.1.1 Polticas para la seguridad de la

informacin
A5.1.2 Revisin de las polticas para la

seguridad de la informacin.
A6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION

A6.1 Organizacin interna
Objetivo: Establecer un marco de referencia de gestin para iniciar y controlar la implementacin y operacin de la s
A6.1.1 Roles y responsabilidades para

la seguridad de la informacin
A6.1.2 Separacin de deberes
A6.1.3 Contacto con las autoridades
A6.1.4 Contacto con grupos de inters

especial
A6.1.5 Seguridad de la informacin en

la gestin de proyectos.
A6.2 Dispositivos mviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos mviles
A6.2.1 Poltica para dispositivos mviles
A6.2.2 Teletrabajo
A7 SEGURIDAD DE LOS RECURSOS HUMANOS

A7.1 Antes de asumir el empleo
Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idneos en los roles pa
A7.1.1 Seleccin
A7.1.2 Trminos y condiciones del

empleo
A7.2 Durante la ejecucin del empleo
Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad d
A7.2.1 Responsabilidades de la
direccin
A7.2.2 Toma de conciencia, educacin y
formacin en la seguridad de la
informacin.
A7.2.3 Proceso disciplinario
A7.3 Terminacin y cambio de empleo

Objetivo: Proteger los intereses de la organizacin como parte del proceso de cambio o terminacin de empleo
A7.3.1 Terminacin o cambio de

responsabilidades de empleo
A8 GESTION DE ACTIVOS
A8.1 Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de proteccin adecuadas.
A8.1.1 Inventario de activos
A8.1.2 Propiedad de los activos
A8.1.3 Uso aceptable de los activos
A8.1.4 Devolucin de activos
A8.2 Clasificacin de la informacin
Objetivo: Asegurar que la informacin recibe un nivel apropiado de proteccin, de acuerdo con su importancia para
A8.2.1 Clasificacin de la informacin
A8.2.2 Etiquetado de la informacin

A8.2.3 Manejo de activos
A8.3 Manejo de medios

Objetivo: Evitar la divulgacin, la modificacin, el retiro o la destruccin no autorizados de informacin almacenada
A8.3.1 Gestin de medio removibles
A8.3.2 Disposicin de los medios
A8.3.3 Transferencia de medios fsicos
A9 CONTROL DE ACCESO
A9.1 Requisitos del negocio para el control de acceso
Objetivo: Limitar el acceso a informacin y a instalaciones de procesamiento de informacin.
A9.1.1 Poltica de control de acceso
A9.1.2 Acceso a redes y a servicios en

red
A9.2 Gestin de acceso de usuarios

Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.
A9.2.1 Registro y cancelacin del

registro de usuarios
A9.2.2 Suministro de acceso de

usuarios
A9.2.3 Gestin de derechos de acceso

privilegiado
A9.2.4 Gestin de informacin de
autenticacin secreta de
usuarios
A9.2.5 Revisin de los derechos de

acceso de usuarios
A9.2.6 Retiro o ajuste de los derechos
de acceso
A9.3 Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su informacin de autenticacin.
A9.3.1 Uso de informacin de

autenticacin secreta
A9.4 Control de acceso a sistemas y aplicaciones

Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
A9.4.1 Restriccin de acceso a la
informacin
A9.4.2 Procedimiento de ingreso

seguro
A9.4.3 Sistema de gestin de

contraseas
A9.4.4 Uso de programas utilitarios

privilegiados
A9.4.5 Control de acceso a cdigos

fuente de programas
A10 CRIPTOGRAFIA
A10.1 Controles criptogrficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografa para proteger la confidencialidad, autenticidad y/o la i
A10.1.1 Poltica sobre el uso de controles

criptogrficos
A10.1.2 Gestin de llaves
A11 SEGURIDAD FISICA Y DEL ENTORNO

A11.1 reas seguras
Objetivo: Prevenir el acceso fsico no autorizado, el dao e la interferencia a la informacin y a las instalaciones de pr
A11.1.1 Permetro de seguridad fsica
A11.1.2 Controles de acceso fsicos

A11.1.3 Seguridad de oficinas, recintos e
instalaciones.
A11.1.4 Proteccin contra amenazas

externas y ambientales.
A11.1.5 Trabajo en reas seguras.
A11.1.6 reas de carga, despacho y

acceso pblico
A11.2 Equipos
Objetivo: Prevenir la perdida, dao, robo o compromiso de activos, y la interrupcin de las operaciones de la organiz
A11.2.1 Ubicacin y proteccin de los

equipos
A11.2.2 Servicios de suministro
A11.2.3 Seguridad en el cableado.
A11.2.4 Mantenimiento de los equipos.
A11.2.5 Retiro de activos
A11.2.6 Seguridad de equipos y activos

fuera de las instalaciones
A11.2.7 Disposicin segura o

reutilizacin de equipos
A11.2.8 Equipos de usuario desatendido
A11.2.9 Poltica de escritorio limpio y

pantalla limpia
A12 SEGURIDAD DE LAS OPERACIONES
A12.1 Procedimientos operacionales y responsabilidades
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de informacin.
A12.1.1 Procedimientos de operacin

documentados
A12.1.2 Gestin de cambios
A12.1.3 Gestin de capacidad
A12.1.4 Separacin de los ambientes de

desarrollo, pruebas y operacin
A12.2 Proteccin contra cdigos maliciosos

Objetivo: Asegurarse de que la informacin y las instalaciones de procesamiento de informacin estn protegidas co
A12.2.1 Controles contra cdigos

maliciosos
A12.3 Copias de respaldo

Objetivo: Proteger contra la perdida de datos
A12.3.1 Respaldo de la informacin
A12.4 Registro y seguimiento

Objetivo: Registrar eventos y generar evidencia
A12.4.1 Registro de eventos
A12.4.2 Proteccin de la informacin de

registro
A12.4.3 Registros del administrador y del
operador
A12.4.4 Sincronizacin de relojes
A12.5 Control de software operacional

Objetivo: Asegurarse de la integridad de los sistemas operacionales
A12.5.1 Instalacin de software en
sistemas operativos
A12.6 Gestin de la vulnerabilidad tcnica

Objetivo: Prevenir el aprovechamiento de las vulnerabilidades tcnicas
A12.6.1 Gestin de las vulnerabilidades
tcnicas
A12.6.2 Restricciones sobre la

instalacin de software
A12.7 Consideraciones sobre auditorias de sistemas de informacin
Objetivo: Minimizar el impacto de las actividades de auditoria sobre los sistemas operativos
A12.7.1 Controles de auditoras de

sistemas de informacin
A13 SEGURIDAD DE LAS COMUNICACIONES

A13.1 Gestin de la seguridad de las redes
Objetivo: Asegurar la proteccin de la informacin en las redes, y sus instalaciones de procesamiento de informacin
A13.1.1 Controles de redes
A13.1.2 Seguridad de los servicios

de red
A13.1.3 Separacin en las redes
A13.2 Transferencia de informacin

Objetivo: Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier entidad ex
A13.2.1 Polticas y procedimientos de

transferencia de
informacin
A13.2.2 Acuerdos sobre

transferencia de
informacin
A13.2.3 Mensajera Electronica

A13.2.4 Acuerdos de
confidencialidad o de no
divulgacin
A14 Adquisicin, desarrollo y mantenimiento de sistemas

A14.1 Requisitos de seguridad de los sistemas de informacin
Objetivo: Asegurar que la seguridad de la informacin sea una parte integral de los sistemas de informacin
para sistemas de informacin que prestan servicios sobre redes .
A.14.1.1 Anlisis y especificacin de

requisitos de seguridad de la
informacin
A.14.1.2 Seguridad de servicios de las

aplicaciones en redes
pblicas
A.14.1.3 Proteccin de transaccciones

de los servicios de las
aplicaciones.
A14.2 Seguridad en los procesos de Desarrollo y de Soporte

Objetivo: Asegurar que la seguridad de la informacin este diseada e implementada dentro del ciclo de vida de des
A.14.2.1 Poltica de desarrollo seguro
A.14.2.2 Procedimientos de control de

cambios en sistemas
A.14.2.3 Revisin tcnica de las

aplicaciones despus de
cambios en la plataforma de
operacin
A.14.2.4 Restricciones en los cambios a

los paquetes de software
A.14.2.5 Principio de Construccin de los
Sistemas Seguros.
A.14.2.6 Ambiente de desarrollo seguro
A.14.2.7 Desarrollo contratado

externamente
A.14.2.8 Pruebas de seguridad de

sistemas
A.14.2.9 Prueba de aceptacin de
sistemas
A14.3 Datos de prueba

Objetivo: Asegurar la proteccin de los datos usados para pruebas.
A.14.3.1 Proteccin de datos de

prueba
A15 RELACIONES CON LOS PROVEEDORES
A15.1 Seguridad de la informacin en las relaciones con los proveedores.
Objetivo: Asegurar la proteccin de los activos de la organizacin que sean accesibles a los proveedores.
A15.1.1 Poltica de seguridad de la

informacin para las relaciones
con proveedores
A15.1.2 Tratamiento de la seguridad

dentro de los acuerdos con
proveedores
A15.1.3 Cadena de suministro de

tecnologa de informacin y
comunicacin
A15.2 Gestin de la prestacin de servicios de proveedores

Objetivo: Mantener el nivel acordado de seguridad de la informacin y de prestacin del servicio en lnea con los acu
A15.2.1 Seguimiento y revisin de los

servicios de los proveedores
A15.2.2 Gestin del cambio en los
servicios de los proveedores
A16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION

A16.1 Gestin de incidentes y mejoras en la seguridad de la informacin
Objetivo: Asegurar un enfoque coherente y eficaz para la gestin de incidentes de seguridad de la informacin, inclui
A16.1.1 Responsabilidades y
procedimientos
A16.1.2 Reporte de eventos de
seguridad de la informacin
A16.1.3 Reporte de debilidades de

A16.1.4 Evaluacin de eventos de

seguridad de la informacin y
decisiones sobre ellos
A16.1.5 Respuesta a incidentes de

A16.1.6 Aprendizaje obtenido de los

incidentes de seguridad de la
informacin
A16.1.7 Recoleccin de evidencia
A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTION DE CONTINUIDAD DE NEGOCIO

A17.1 Continuidad de Seguridad de la informacin
Objetivo: La continuidad de seguridad de la informacin se debe incluir en los sistemas de gestin de la continuidad
A17.1.1 Planificacin de la continuidad

de la seguridad de la
informacin
A17.1.2 Implementacin de la
continuidad de la seguridad de
la informacin
A17.1.3 Verificacin, revisin y

evaluacin de la continuidad de
la seguridad de la informacin
A17.2 Redundancias
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de informacin.
A17.2.1 Disponibilidad de instalaciones

de procesamiento de
informacin
A18 CUMPLIMIENTO
A18.1 Cumplimiento de requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentacin o contractuales relacio
seguridad.
A18.1.1 Identificacin de la legislacin
aplicable.
A18.1.2 Derechos propiedad intelectual

(DPI)
A18.1.3 Proteccin de registros
A18.1.4 Privacidad y proteccin de

informacin de datos personales
A18.1.5 Reglamentacin de controles

criptogrficos.
A18.2 Revisiones de seguridad de la informacin

Objetivo: Asegurar que la seguridad de la informacin se implemente y opere de acuerdo con las polticas y procedim
A18.2.1 Revisin independiente de la

A18.2.2 Cumplimiento con las polticas y

normas de seguridad
A18.2.3 Revisin del cumplimiento

tcnico

AUTODIAGNSTICO SGSI LOGRO 2: IMPLEMENTACIN DEL PLAN DE SSEGURIDAD Y PRIVACI
e acuerdo con el instructivo.
Significado
Existe, es gestionado, se est cumpliendo con lo que la norma solicita, est documentado, es conocido y aplicado po
Lo que la norma requiere se est haciendo de manera parcial, se est haciendo diferente, no est documentado, se
No existe y/o no se est haciendo.
El control no es aplicable para la entidad. En el campo evidencia por favor indicar la justificacin respectiva de su no
ANEXO
URIDAD DE LA INFORMACION
ccin para la gestin de la seguridad de la informacin
e, por parte de la direccin, para la seguridad de la informacin de acuerdo con los requisitos del negocio y con las leyes y reglamentos p
Control: Se debe definir un conjunto de polticas para la seguridad de la informacin, aprobada por la direccin, publicada y co
empleados y a las partes externas pertinentes.
Control: Las polticas para la seguridad de la informacin se deben revisar a intervalos planificados o si ocurren cambios signifi
asegurar su conveniencia, adecuacin y eficacia continuas.
A SEGURIDAD DE LA INFORMACION
encia de gestin para iniciar y controlar la implementacin y operacin de la seguridad de la informacin dentro de la organizacin.
Control: Se deben definir y asignar todas las responsabilidades de la seguridad de la informacin.

Control: Los deberes y reas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificacin no
intencional, o el uso indebido de los activos de la organizacin
Control: Se deben mantener contactos apropiados con las autoridades pertinentes.
Control: Se deben mantener contactos apropiados con grupos de inters especial u otros foros y asociaciones profesionales es
seguridad
Control: La seguridad de la informacin se debe tratar en la gestin de proyectos, independientemente del tipo de proyecto.
teletrabajo
eletrabajo y el uso de dispositivos mviles
Control: Se deben adoptar una poltica y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el
dispositivos mviles.
Control: Se deben implementar una poltica y unas medidas de seguridad de soporte, para proteger la informacin a la que se
que es procesada o almacenada en los lugares en los que se realiza teletrabajo.
ECURSOS HUMANOS
mpleo
y contratistas comprenden sus responsabilidades y son idneos en los roles para los que se consideran.
Control: Las verificaciones de los antecedentes de todos los candidatos a un empleo se deben llevar a cabo de acuerdo con las
reglamentaciones y tica pertinentes y deben ser proporcionales a los requisitos de negocio, a la clasificacin de la informacin
tener acceso y a los riesgos percibidos.
Control: Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las de la organizac
del empleo
ados y contratistas tomen conciencia de sus responsabilidades de seguridad de la informacin y las cumplan.
Control: La direccin debe exigir a todos los empleados y contratista la aplicacin de la seguridad de la informacin de acuerdo
y procedimientos establecidos por la organizacin.
Control: Todos los empleados de la organizacin, y en donde sea pertinente, los contratistas, deben recibir la educacin y la fo
de conciencia apropiada, y actualizaciones regulares sobre las polticas y procedimientos de la organizacin pertinentes para su
Control: Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados que
una violacin a la seguridad de la informacin.
de empleo
rganizacin como parte del proceso de cambio o terminacin de empleo
Control: Las responsabilidades y los deberes de seguridad de la informacin que permanecen validos despus de la terminaci
empleo de deben definir, comunicar al empleado o contratista y se deben hacer cumplir.
os activos
acionales y definir las responsabilidades de proteccin adecuadas.
Control: Se deben identificar los activos asociados con informacin e instalaciones de procesamiento de informacin, y se debe
mantener un inventario de estos activos.
Control: Los activos mantenidos en el inventario deben tener un propietario.
Control: Se deben identificar, documentar e implementar reglas para el uso aceptable de informacin y de activos asociados co
instalaciones de procesamiento de informacin.
Control: Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organizacin que se encuen
terminar su empleo, contrato o acuerdo.
ormacin
recibe un nivel apropiado de proteccin, de acuerdo con su importancia para la organizacin.
Control: La informacin se debe clasificar en funcin de los requisitos legales, valor, criticidad y susceptibilidad a divulgacin o
autorizada.
Control: Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la informacin, de
esquema de clasificacin de informacin adoptado por la organizacin.
Control: Se deben desarrollar e implementar procedimientos para el manejo de activos, de acuerdo con el esquema de clasific
informacin adoptado por la organizacin.
ficacin, el retiro o la destruccin no autorizados de informacin almacenada en los medios
Control: Se deben implementar procedimientos para la gestin de medio removibles, de acuerdo con el esquema de clasificaci
la organizacin.
Control: Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales.
Control: Los medios que contienen informacin se deben proteger contra acceso no autorizado, uso indebido o corrupcin dur
transporte.
o para el control de acceso

n y a instalaciones de procesamiento de informacin.
Control: Se debe establecer, documentar y revisar una poltica de control de acceso con base en los requisitos del negocio y de
la informacin.
Control: Solo se debe permitir acceso de los usuarios a la red y a los servicios de red para los que hayan sido autorizados espec
usuarios
arios autorizados y evitar el acceso no autorizado a sistemas y servicios.
Control: Se debe implementar un proceso formal de registro y de cancelacin de registro de usuarios, para posibilitar la asigna
derechos de acceso.
Control: Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de a
tipo de usuarios para todos los sistemas y servicios.
Control: Se debe restringir y controlar la asignacin y uso de derechos de acceso privilegiado
Control: La asignacin de informacin de autenticacin secreta se debe controlar por medio de un proceso de gestin formal.
Control: Los propietarios de los activos deben revisar los derechos de acceso de los usuarios, a intervalos regulares.
Control: Los derechos de acceso de todos los empleados y de usuarios externos a la informacin y a las instalaciones de proces
informacin se deben retirar al terminar su empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
los usuarios
n cuentas por la salvaguarda de su informacin de autenticacin.
Control: Se debe exigir a los usuarios que cumplan las prcticas de la organizacin para el uso de informacin de autenticacin
stemas y aplicaciones
o a sistemas y aplicaciones.
Control: El acceso a la informacin y a las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con la po
de acceso.
Control: Cuando lo requiere la poltica de control de acceso, el acceso a sistemas y aplicaciones se debe controlar mediante un
ingreso seguro.
Control: Los sistemas de gestin de contraseas deben ser interactivos y deben asegurar la calidad de las contraseas.
Control: Se debe restringir y controlar estrictamente el usos de programas utilitarios que podran tener capacidad de anular el
controles de las aplicaciones.
Control: Se debe restringir el acceso a los cdigos fuente de los programas.
os
eficaz de la criptografa para proteger la confidencialidad, autenticidad y/o la integridad de la informacin
Control: Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la inform
Control: Se debe desarrollar e implementar una poltica sobre el uso, proteccin y tiempo de vida de las llaves criptogrficas, d
ciclo de vida.
DEL ENTORNO
utorizado, el dao e la interferencia a la informacin y a las instalaciones de procesamiento de informacin de la organizacin.
Control: Se deben definir y usar permetros de seguridad, y usarlos para proteger reas que contengan informacin confidenci
instalaciones de manejo de informacin.
Control: Las reas seguras deben estar protegidas con controles de acceso apropiados para asegurar que slo se permite el acc
autorizado.
Control: Se debe disear y aplicar la seguridad fsica para oficinas, recintos e instalaciones..
Control: Se deben disear y aplicar proteccin fsica contra desastres naturales, ataques maliciosos o accidentes.
Control: Se deben disear y aplicar procedimientos para trabajo en reas seguras.
Control: Se deben controlar los puntos de acceso tales como las reas de despacho y carga y otros puntos por donde pueden e
autorizadas y, si es posible, aislarlos de las instalaciones de procesamiento de informacin para evitar el acceso no autorizado.
bo o compromiso de activos, y la interrupcin de las operaciones de la organizacin.
Control: Los equipos deben de estar ubicados y protegidos para reducir los riesgos de amenazas y peligros del entorno, y las po
acceso no autorizado.
Control: Los equipos se deben proteger contra fallas de energa y otras interrupciones causadas por fallas en los servicios de su
Control: El cableado de energa elctrica y de telecomunicaciones que porta datos o brinda soporte a los servicios de informac
proteger contra interceptacin, interferencia o dao.
Control: Los equipos se deben mantener correctamente para asegurar su disponibilidad e integridad continuas.
Control: Los equipos, informacin o software no se deben retirar de su sitio sin autorizacin previa
Control: Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de las instalaciones de la organizacin, t
cuenta los diferentes riesgos de trabajar fuera de dichas instalaciones.
Control: Se deben verificar todos los elementos de equipos que contengan medios de almacenamiento para asegurar que cual
confidencial o software licenciado haya sido retirado o sobreescrito en forma segura antes de su disposicin o reso.
Control: Los usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada.
Control: Se debe adoptar una poltica de escritorio limpio para los papeles y medios de almacenamiento removibles, y una pol
limpia en las instalaciones de procesamiento de informacin.
PERACIONES
cionales y responsabilidades
rectas y seguras de las instalaciones de procesamiento de informacin.
Control: Los procedimientos de operacin se deben documentar y poner a disposicin de todos los usuarios que los necesitan.
Control: Se deben controlar los cambios en la organizacin, en los procesos de negocio, en las instalaciones y en los sistemas d
de informacin que afectan la seguridad de la informacin.
Control: Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y hacer proyecciones de los requisitos de capacidad f
asegurar el desempeo requerido del sistema.
Control: Se deben separar los ambientes de desarrollo, pruebas y operacin, para reducir los riesgos de acceso o cambios no a
ambiente de operacin.
igos maliciosos
cin y las instalaciones de procesamiento de informacin estn protegidas contra cdigos maliciosos.
Control: Se deben implementar controles de deteccin, de prevencin y de recuperacin, combinados con la toma de concienc
los usuarios, para proteger contra cdigos maliciosos.
datos
Control: Se deben hacer copias de respaldo de la informacin, software e imgenes de los sistemas, y ponerlas a prueba regula
acuerdo con una poltica de copias de respaldo acordadas.
o
videncia
Control: Se deben elaborar, conservar y revisar regularmente los registros acerca de actividades del usuario, excepciones, fallas
Control: Las instalaciones y la informacin de registro se deben proteger contra alteracin y acceso no autorizado.
Control: Las actividades del administrador y del operador del sistema se deben registrar, y los registros se deben proteger y rev
regularidad.
Control: Los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro de una organizacin o mbito d
deben sincronizar con una nica fuente de referencia de tiempo.
peracional
e los sistemas operacionales
Control: Se deben implementar procedimientos para controlar la instalacin de software en sistemas operativos.
bilidad tcnica
de las vulnerabilidades tcnicas
Control: Se debe obtener oportunamente informacin acerca de las vulnerabilidades tcnicas de los sistemas de informacin q
evaluar la exposicin de la organizacin a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado
Control: Se deben establecer e implementar las reglas para la instalacin de software por parte de los usuarios.
e auditorias de sistemas de informacin

ctividades de auditoria sobre los sistemas operativos
Control: Los requisitos y actividades de auditoria que involucran la verificacin de los sistemas operativos se deben planificar y
cuidadosamente para minimizar las interrupciones en los procesos del negocio.
OMUNICACIONES
ad de las redes
nformacin en las redes, y sus instalaciones de procesamiento de informacin de soporte.
Control: Las redes se deben gestionar y controlar para proteger la informacin en sistemas y aplicaciones.
Control: Se deben identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestin de todos los
e incluirlos en los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se contraten exte
Control: Los grupos de servicios de informacin, usuarios y sistemas de informacin se deben separar en las redes.
macin
nformacin transferida dentro de una organizacin y con cualquier entidad externa.
Control: Se debe contar con polticas, procedimientos y controles de transferencia informacin formales para proteger la
de informacin mediante el uso de
todo tipo de instalaciones de comunicaciones.
Control: Los acuerdos deben tratar la transferencia segura de informacin del negocio entre la organizacin y las parte
Control: Se debe proteger adecuadamente la informacin incluida en la mensajera electrnica.

Control: Se deben identificar, revisar regularmente y documentar los requisitos para los acuerdos de confidencialidad
divulgacin que reflejen las necesidades de la organizacin para la proteccin de la informacin.
ollo y mantenimiento de sistemas

dad de los sistemas de informacin
de la informacin sea una parte integral de los sistemas de informacin durante todo el ciclo de vida. Esto incluye tambin lo
estan servicios sobre redes .
Control: Los requisitos relacionados con seguridad de la informacin se deben incluir en los requisitos para nuevos sist
informacin o para mejoras a los sistemas de informacin existentes.
Control: La informacion involucrada en los servicios de las aplicaciones que pasan sobre redes pblicas se debe pro
actividades fraudulentas, disputas contractuales y divulgacin y modificacin no autorizadas.
Control: La informacin involucrada en las transacciones de los servicios de las aplicaciones se deben proteger para evitar la tr
incompleta, el enrutamiento errado, la alteracin no autorizada de mensajes, la divulgacin no autorizada, y la duplicacin o re
mensajes no autorizada.
esos de Desarrollo y de Soporte

la informacin este diseada e implementada dentro del ciclo de vida de desarrollo de los sistemas de informacin.
Control: Se debe establecer y aplicar reglas para el desarrollo de software y de sistemas, a los desarrollos dentro de la organiza
Control: Los cambios a los sistemas dentro del ciclo de vida de desarrollo se deben controlar mediante el uso de procedimiento
control de cambios.
Control: Cuando se cambian las plataformas de operacin, se deben revisar las aplicaciones crticas del negocio, y someter a p
asegurar que no haya impacto adverso en las operaciones o seguridad de la organizacin.
Control: Se deben desalentar las modificaciones a los paquetes de software, los cuales se deben limitar a los cambios necesari
cambios se deben controlar estrictamente.
Control: Se deben establecer, documentar y mantener principios para la construccin de sistemas seguros, y apl
cualquier actividad de implementacin de sistemas de informacin.
Control: Las organizaciones deben establecer y proteger adecuadamente los ambientes de desarrollo seguros para las acti
desarrollo e integracin de sistemas que comprendan todo el ciclo de vida de desarrollo de sistemas.
Control: La organizacin debe supervisar y hacer seguimiento de la actividad de desarrollo de sistemas contratados exte
Control: Durante el desarrollo se deben llevar a cabo pruebas de funcionalidad de la seguridad.
Control: Para los sistemas de informacin nuevos, actualizaciones y nuevas versiones, se deben establecer programas
aceptacin y criterios de aceptacin relacionados.
os datos usados para pruebas.
Control:Los datos de prueba se deben seleccionar, proteger y controlar cuidadosamente.
S PROVEEDORES
macin en las relaciones con los proveedores.
activos de la organizacin que sean accesibles a los proveedores.
Control: Los requisitos de seguridad de la informacin para mitigar los riesgos asociados con el acceso de proveedores a los ac
organizacin se deben acordar con estos y se deben documentar.
Control: Se deben establecer y acordar todos los requisitos de seguridad de la informacin pertinentes con cada proveedor qu
acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la informacin de la organiza
Control: Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad de la informacin asociado
de suministro de productos y servicios de tecnologa de informacin y comunicacin.
n de servicios de proveedores
de seguridad de la informacin y de prestacin del servicio en lnea con los acuerdos con los proveedores
Control: Las organizaciones deben hacer seguimiento, revisar y auditar con regularidad la prestacin de servicios de los provee
Control: Se deben gestionar los cambios en el suministro de servicios por parte de los proveedores, incluido el mantenimiento
las polticas, procedimientos y controles de seguridad de la informacin existentes, teniendo en cuenta la criticidad de la inform
y procesos de negocio involucrados, y la rrevaluacin de los riesgos.
TES DE SEGURIDAD DE LA INFORMACION

y mejoras en la seguridad de la informacin
nte y eficaz para la gestin de incidentes de seguridad de la informacin, incluida la comunicacin sobre eventos de seguridad y debilidad
Control: Se deben establecer las responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, eficaz y or
incidentes de seguridad de la informacin.
Control: Los eventos de seguridad de la informacin se deben informar a travs de los canales de gestin apropiados, tan pron
posible.
Control: Se debe exigir a todos los empleados y contratistas que usan los servicios y sistemas de informacin de la organizacin
reporten cualquier debilidad de seguridad de la informacin observada o sospechada en los sistemas o servicios.
Control: Los eventos de seguridad de la informacin se deben evaluar y se debe decidir si se van a clasificar como incidentes d
informacin.
Control: Se debe dar respuesta a los incidentes de seguridad de la informacin de acuerdo con procedimientos documentados
Control: El conocimiento adquirido al analizar y resolver incidentes de seguridad de la informacin se debe usar para reducir la
impacto de incidentes futuros.
Control: La organizacin debe definir y aplicar procedimientos para la identificacin, recoleccin, adquisicin y preservacin de
pueda servir como evidencia.
DAD DE LA INFORMACIN DE LA GESTION DE CONTINUIDAD DE NEGOCIO

idad de la informacin
de la informacin se debe incluir en los sistemas de gestin de la continuidad de negocio de la organizacin.
Control: La organizacin debe determinar sus requisitos para la seguridad de la informacin y la continuidad de la gestin de la
informacin en situaciones adversas, por ejemplo, durante una crisis o desastre.
Control: La organizacin debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para ase
continuidad requerido para la seguridad de la informacin durante una situacin adversa.
Control: La organizacin debe verificar a intervalos regulares los controles de continuidad de la seguridad de la informacin est
implementados, con el fin de asegurar que son vlidos y eficaces durante situaciones adversas.
instalaciones de procesamiento de informacin.
Control: Las instalaciones de procesamientos de informacin se deben implementar con redundancia suficiente para cumplir lo
disponibilidad.
uisitos legales y contractuales

as obligaciones legales, estatutarias, de reglamentacin o contractuales relacionadas con seguridad de la informacin y de cualquier req
Control: Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes y el enfoque de la organizacin para cum
identificar y documentar explcitamente y mantenerlos actualizados para cada sistema de informacin y para la organizacin.
Control: Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, de reg
contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software patentados.
Control: Los registros se deben proteger contra perdida, destruccin, falsificacin, acceso no autorizado y liberacin no autoriz
con los requisitos legislativos, de reglamentacin, contractuales y de negocio.
Control: Se deben asegurar la privacidad y la proteccin de la informacin de datos personales, como se exige e la legislacin y
reglamentacin pertinentes, cuando sea aplicable.
Control: Se deben usar controles criptogrficos, en cumplimiento de todos los acuerdos, legislacin y reglamentacin pertinen
ad de la informacin
la informacin se implemente y opere de acuerdo con las polticas y procedimientos organizacionales.
Control: El enfoque de la organizacin para la gestin de la seguridad de la informacin y su implementacin (es decir los objeti
los controles, las polticas, los procesos y los procedimientos para seguridad de la informacin), se deben revisar independient
intervalos planificados o cuando ocurran cambios significativos.
Control: Los directores deben revisar con regularidad el cumplimiento del procesamiento y procedimientos de informacin den
responsabilidad, con las polticas y normas de seguridad apropiadas, y cualquier otro requisito de seguridad.
Control: Los sistemas de informacin se deben revisar peridicamente para determinar el cumplimiento con las polticas y nor
de la informacin.
LA INFORMACIN (40%)
os los involucrados en el SGSI. cumple 100%.
pero no se gestiona.
bilidad.
ESTADO EVIDENCIA
RESUMEN LOGRO 1
CONTROLES
0 0.0%
0 0.0%
0 0.0%
0 0.0%
No. Controles que le

aplican 114
TOTAL 0.0%
AUTODIAGNSTICO SGSI LOGRO 3: MON
Por favor, conteste la siguiente encuesta de acuerdo con el instructivo.
Estado
Cumple parcialmente
No cumple
VERIFIC
ITEM PREGUNTA
1 La entidad tiene una metodologa para realizar seguimiento, medicin y anlisis permanente al desempeo de
Seguridad de laInformacin.?
2 La entidad ha realizado auditorias internas al Sistema de Gestin de Seguridad de la Informacin?
3 La entidad cuenta con programas de auditorias aplicables al SGSI donde se incluye frecuencia, mtodos,
responsabilidades, elaboracin de informes?
4 La alta direccin realiza revisiones periodicas al Sistema de Gestin de Seguridad de la Informacin?

5 En las revisiones realizadas al sistema por la Direccin, se realizan procesos de retroalimentacin sobre el
desempeo de la seguridad de la informacin?
6 Las revisiones realizadas por la Direccin al Sistema de Gestin de Seguridad de la Informacin, estn
debidamente documentadas?
ACTUA
PREGUNTA
ITEM
7 La entidad da respuesta a las no conformidades referentes a la seguridad de la informacin presentadas en los

planes de auditoria?
8 La entidad ha implementado acciones a las no conformidades de seguridad de la informacin presentadas?
9 La entidad revisa la eficiacia de las acciones correctivas tomadas por la presencia de una no conformidad de
seguridad de la informacin?
10 La entidad realiza cambios al Sistema de Gestin de Seguridad de la Informacin despues de las acciones
tomadas?
11 La entidad documenta la informacin referente a las acciones correctivas que toma respecto a la seguridad de l
informacin?
12 La entidad realiza procesos de mejora continua para el Sistema de Gestin de Seguridad de la Informacin?

AUTODIAGNSTICO SGSI LOGRO 3: MONITOREO Y MEJORAMIENTO CONTINUO (30 %)
e encuesta de acuerdo con el instructivo.
DESCRIPCIN
Existe, es gestionado, se est cumpliendo con lo que la norma ISO27001 versin 2013 solicita, est documentado, e
el SGSI. cumple 100%.
Lo que la norma requiere (ISO27001 versin 2013) se est haciendo de manera parcial, se est haciendo diferente,
se gestiona.
No existe y/o no se est haciendo.
VERIFICAR
PREGUNTA VALORACIN
oga para realizar seguimiento, medicin y anlisis permanente al desempeo de la
orias internas al Sistema de Gestin de Seguridad de la Informacin?
mas de auditorias aplicables al SGSI donde se incluye frecuencia, mtodos,

n de informes?
ones periodicas al Sistema de Gestin de Seguridad de la Informacin?

sistema por la Direccin, se realizan procesos de retroalimentacin sobre el
e la informacin?
a Direccin al Sistema de Gestin de Seguridad de la Informacin, estn
ACTUAR
PREGUNTA VALORACIN
no conformidades referentes a la seguridad de la informacin presentadas en los
acciones a las no conformidades de seguridad de la informacin presentadas?
e las acciones correctivas tomadas por la presencia de una no conformidad de
Sistema de Gestin de Seguridad de la Informacin despues de las acciones
macin referente a las acciones correctivas que toma respecto a la seguridad de la
mejora continua para el Sistema de Gestin de Seguridad de la Informacin?

ENTO CONTINUO (30 %)
IPCIN
3 solicita, est documentado, es conocido y aplicado por todos los involucrados en
cial, se est haciendo diferente, no est documentado, se defini y aprob pero no
EVIDENCIA RECOMENDACIN
Se debe tener en cuenta que se desea medir,
cuando, quien realizar la mediciny cuando se
analizaran los resultados.
Se deben programar auditorias en un intervalo

de tiempo con el fin de evaluar y verificar la
conformidad y cumplimiento del Sistema de
Gestin de Seguridad de la Informacin.
Se debe planificar, establecer, implementar y

mantener uno o varios programas de auditora
donde se incluye frecuencia, mtodos,
responsabilidades, elaboracin de informes.
Se deben realizar revisiones a intervalos planificados

del Sistema de Gestin de Seguridad de la
Informacin.
Se debe documentar las revisiones realizadas
por la Alta Direccin con el fin de verificar el
estado del sistema de seguridad de la
informacin, cambios que se presenten a nivel
interno o externo que puedan afectar la
seguridad de la informacin y evaluacion de las
no conformidades y acciones correctivas. Esta
revisin debe incluir las decisiones relacionadas
con las oportunidades de mejora
EVIDENCIA RECOMENDACIN
Se deben tomar acciones para eliminar las

causas de las no conformidades, para que no
vuelvan a ocurrir.
Toda la informacin de acciones realizadas al

Informacin debe ser documentada.
Se debe evaluar la eficacia de las acciones
correctivas con el fin de verificar que la no
conformidad no se vuelva a presentar.
Toda la informacin de cambios al Sistema de

Gestin de Seguridad de la Informacin debe
ser documentada.
Toda la informacin de cambios al Sistema de
ser documentada.
Toda la informacin de mejora al Sistema de
ser documentada.
VERIFICAR ACTUAR
TOTAL PESO TOTAL PESO
0 0.0% 0 0.0%
0 0.0% 0 0.0%
0 0.0% 0 0.0%
TOTAL 0.0% TOTAL 0.0%
TOTAL LOGRO 0.0%

AVANCES LOGROS SGSI
120%
100%
80%
60% META
40% TOTAL EJECUTADO
20%
0%
PLANEAR HACER VERIFICAR ACTUAR TOTAL
FASE META TOTAL EJECUTADO

LOGRO1 PLANEAR 30% 0.0%
LOGRO2 HACER 40% 0.0%
VERIFICAR 15% 0.0%
LOGRO3
ACTUAR 15% 0.0%
TOTAL 100% 0.0%
POR DOMINIO DE CONTROL
NOMBRE DOMINIOS DE CONTROL CONTROLES QUE APLICAN
DOMINIO 5 - POLTICAS DE SEGURIDAD DE LA

INFORMACIN
DOMINIO 6 - ORGANIZACIN DE LA SEGURIDAD DE LA 2
INFORMACIN 7
DOMINIO 7 - SEGURIDAD DE LOS RECURSOS HUMANOS 6
DOMINIO 8 - GESTIN DE ACTIVOS 10
DOMINIO 9 - CONTROL DE ACCESO 14
DOMINIO 10 - CRIPTOGRAFA 2
DOMINIO 11 - SEGURIDAD FSICA Y DEL ENTORNO 15
DOMINIO 12 - SEGURIDAD DE LAS OPERACIONES 14
DOMINIO
DOMINIO 13
14 -- SEGURIDAD DEDESARROLLO
ADQUISICIN, LAS COMUNICACIONES
Y 7
MANTENIMIENTO DE SISTEMAS 13
DOMINIO 15 - RELACIN CON LOS PROVEEDORES 5
DOMINIO 16 - GESTIN DE INCIDENTES DE SEGURIDAD DE
LA INFORMACIN 7
DOMINIO 17 - ASPECTOS DE SEGURIDAD DE LA

INFORMACIN DE LA GESTION DE CONTINUIDAD DE
NEGOCIO 4
DOMINIO 18 - SEGURIDAD DE LAS COMUNICACIONES 8
114
AVANCES POR DOMINIO DE CONTROL
DOMINIO 5 - POLTICAS DE SEGURIDAD DE LA 6INFORMACIN

DOMINIO 18 - SEGURIDAD DE LAS COMUNICACIONES DOMINIO - ORGANIZACI
DOMINIO 17 - ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTION DE CONTINUIDAD DE NEGOCIO 20 DOMINIO 7 - SEGURID
10
DOMINIO 16 - GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN DOMINIO 8 - GESTI
0
DOMINIO 15 - RELACIN CON LOS PROVEEDORES DOMINIO 9 - CONTR
DOMINIO 14 - ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DOMINIO 10 - CRIPTO

DOMINIO 13 - SEGURIDAD DE LASDOMINIO
COMUNICACIONES DOMINIO 11 - SEGURIDAD
12 - SEGURIDAD DE LAS OPERACIONES
POR DOMINIO DE CONTROL
PESO CONTROLES IMPLEMENTADOS Y IMPLEMENTADOS PARCIALMENTE NO CUMPLE NO APLICA

PARCIALMENTE IMPLEMENTADOS
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
INIO DE CONTROL
EGURIDAD DE LA 6INFORMACIN
DOMINIO - ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
20 DOMINIO 7 - SEGURIDAD DE LOS RECURSOS HUMANOS
10
DOMINIO 8 - GESTIN DE ACTIVOS
0
DOMINIO 9 - CONTROL DE ACCESO
DOMINIO 10 - CRIPTOGRAFA
DOMINIO 11 - SEGURIDAD FSICA Y DEL ENTORNO
DAD DE LAS OPERACIONES
INSTRUCCIONES DE DILIGENCIAMIENTO
Objetivo del
autodiagnstico
Logro 1
Logro 2
Logro 3
Norma Referente
Datos a diligenciar hoja "GAP LOGRO1"
ITEM
PREGUNTA
VALORACION
EVIDENCIA
RECOMENDACION
ANEXO
ESTADO
EVIDENCIA
ITEM
PREGUNTA
VALORACION
EVIDENCIA
RECOMENDACION
INSTRUCCIONES DE DILIGENCIAMIENTO
Determinar el nivel de madurez que presenta la entidad respecto a los temas relacionados con
Seguridad de la Informacion.
Definicion del Marco de Seguridad y Privacidad de la Entidad. Tiene un peso del 30% del total
del componente.
Implementacion
10% - Diagnosticodel
dePlan de Seguridad
Seguridad y Privacidad.
y Privacidad
20% - Identificacion y analisis de
Proposito de Seguridad riesgos. de la Informacion.
y Privacidad
20% - Plan de tratamiento de riesgos, clasificacion y gestion de controles.
Monitoreo y mejoramiento continuo

20% - Actividades de seguimiento, medicion, analisis y evaluacion.
NTC-ISO-IEC 27001:2013
20% - Revision e Implementacion de Acciones de Mejora.
Consecutivo de la pregunta de seguridad de la informacin.
Pregunta de seguridad de la informacion.
Seleccionar de acuerdo a:
1. No cumple: Tiene conocimiento del requisito. No existe y/o no se est haciendo.
2. Cumple parcialmente: Lo que la norma requiere (ISO27001 versin 2013) se est haciendo
de manera parcial, se est haciendo diferente, no est documentado, se defini y aprob pero
no se gestiona.
3. Cumple satisfactoriamente: Existe, es gestionado, se est cumpliendo con lo que la norma
ISO27001 versin 2013 solicita, est documentado, es conocido y aplicado por todos los
involucrados en el SGSI.
Describir brevemente cumple 100%.
la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
o sistema donde se pueda verificar el mismo.
Pautas que se deben llevar a cabo para dar cumplimiento al requisito.
Informacin que corresponde a los controles del Anexo A de la Norma ISO 27001:2013. La
entidad debe verificar el cumplimiento del control
0. No aplica: El control no es aplicable para la entidad. En el campo evidencia por
favor indicar la justificacin respectiva de su no aplicabilidad.
no se gestiona.
involucrados en el SGSI. cumple 100%.
Describir brevemente la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
Consecutivo de la pregunta de seguridad de la informacin.
Pregunta de seguridad de la informacion.
no se gestiona.
involucrados en el SGSI. cumple 100%.
Describir brevemente la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
Pautas que se deben llevar a cabo para dar cumplimiento al requisito.
SI
NO

AutodiagnosticoSGSI v2 09072015

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

AutodiagnosticoSGSI v2 09072015

Загружено:

Авторское право:

Доступные форматы

AUTODIAGNSTICO SGSI LOGRO 1: DEFI

Por favor, conteste la siguiente encuesta de acuerdo con el instructivo.

6 La entidad ha evaluado los objetivos y las necesidades respecto a la Seguridad de la Informacin?

7 En la entidad se ha definido un Cmite de Seguridad de la Informacin?

9 En la entidad existe un documento de poltica del Sistema de Gestin de Seguridad de la Informacin,

10 En la entidad existe un documento de roles, responsabilidades y autoridades en seguridad de la inform

15 La entidad tiene la informacin referente al Sistema de Gestin de Seguridad de la Informacin debida

Fuente: NTC-ISO-IEC 27001:2013

e encuesta de acuerdo con el instructivo.

No existe y/o no se esta haciendo.

obacin de la direccin para iniciar el proyecto del SGSI?

os aspectos internos y externos que pueden afectar en el desarrollo del proyecto de

objetivos y las necesidades respecto a la Seguridad de la Informacin?

o un Cmite de Seguridad de la Informacin?

definicin del alcance y los lmites del Sistema de Gestin de Seguridad de la

umento de poltica del Sistema de Gestin de Seguridad de la Informacin, el cual ha

umento de roles, responsabilidades y autoridades en seguridad de la informacin?

a declaracin de aplicabilidad que contenga los controles requeridos por la entidad?

n modelo de comunicaciones tanto internas como externas respecto a la seguridad de

cin referente al Sistema de Gestin de Seguridad de la Informacin debidamente

dos los involucrados en el SGSI. cumple 100%.

efinio y aprobo pero no se gestiona.

Debe existir un documento preliminar de

Se deben identificar los temas tanto

Realizar la identificacin de los objetivos y

Definir mediante acto administrativo el

Crear un documento de alcance del

Crear un documento que defina la poltica

Se deben definir roles y responsabilidades

Se debe seleccionar una metodologa para

Crear documento de declaracin de

Se debe desarrollar un modelo que indique

Toda la documentacin generada del

0.0% Plan de trabajo

Por favor, conteste la siguiente encuesta, de acuerdo con el instructivo.

A5.1.1 Polticas para la seguridad de la

A5.1.2 Revisin de las polticas para la

A6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION

A6.1.1 Roles y responsabilidades para

A6.1.3 Contacto con las autoridades

A6.1.4 Contacto con grupos de inters

A6.1.5 Seguridad de la informacin en

A6.2 Dispositivos mviles y teletrabajo

A6.2.1 Poltica para dispositivos mviles

A7 SEGURIDAD DE LOS RECURSOS HUMANOS

A7.1.2 Trminos y condiciones del

A7.2 Durante la ejecucin del empleo

A7.2.3 Proceso disciplinario

A7.3 Terminacin y cambio de empleo

A7.3.1 Terminacin o cambio de

A8.1.1 Inventario de activos

A8.1.2 Propiedad de los activos

A8.1.3 Uso aceptable de los activos

A8.1.4 Devolucin de activos

A8.2 Clasificacin de la informacin

A8.2.1 Clasificacin de la informacin

A8.2.2 Etiquetado de la informacin

A8.3 Manejo de medios

A8.3.1 Gestin de medio removibles

A8.3.2 Disposicin de los medios

A8.3.3 Transferencia de medios fsicos

A9.1.1 Poltica de control de acceso

A9.1.2 Acceso a redes y a servicios en