Академический Документы
Профессиональный Документы
Культура Документы
Estado
Cumple satisfactoriamente
Cumple parcialmente
No cumple
ITEM PREGUNTA
1 La entidad cuenta con un autodiagnstico realizado para medir el avance en el establecimiento, implem
2 mantenimiento
La entidad creyun
mejora
caso continua deosu
de estudio SGSI
plan (Sistema
inicial de Gestin
del proyecto, dese
donde Seguridad de la
incluyen las informacin?
prioridades y obje
implementacin del SGSI?
3 La entidad cont con la aprobacin de la direccin para iniciar el proyecto del SGSI?
4 La entidad ha identificado los aspectos internos y externos que pueden afectar en el desarrollo del pro
implementacin del sistema de gestin de seguridad de la informacin?
5 La entidad ha identificado las partes interesadas, necesidades y expectativas de estas respecto al Sist
Gestin de Seguridad de la Informacin?
8 La entidad cuenta con una definicin del alcance y los lmites del Sistema de Gestin de Seguridad de
Informacin?
11 La entidad tiene establecido algn proceso para identificar, analizar, valorar y tratar los riesgos de segu
informacin?
12 La entidad ha realizado una declaracin de aplicabilidad que contenga los controles requeridos por la e
13 La entidad ha evaluado las competencias de las personas que realizan, bajo su control, un trabajo que
desempeo de la seguridad de la Informacin?
14 La entidad tiene definido un modelo de comunicaciones tanto internas como externas respecto a la seg
la informacin?
DESCRIPCIN
Existe, es gestionado, se esta cumpliendo con lo que la norma ISO27001 versio n 2013 solicita, esta documenta
Lo que la norma requiere (ISO27001 versio n 2013) se esta haciendo de manera parcial, se esta haciendo difer
PLANEAR
PREGUNTA
utodiagnstico realizado para medir el avance en el establecimiento, implementacin,
ntinua deosu
estudio SGSI
plan (Sistema
inicial de Gestin
del proyecto, dese
donde Seguridad de la
incluyen las informacin?
prioridades y objetivos para la
o algn proceso para identificar, analizar, valorar y tratar los riesgos de seguridad de la
DESCRIPCIN
O27001 versio n 2013 solicita, esta documentado, es conocido y aplicado por todos los involucrados en el SGSI. cumple 1
iendo de manera parcial, se esta haciendo diferente, no esta documentado, se definio y aprobo pero no se gestiona.
PLANEAR
VALORACIN EVIDENCIA
%)
RESUMEN LOGRO 1
TOTAL
1
TOTAL
RECOMENDACIN
Diligenciar autodiagnostico de seguridad de
la informacion.
Crear caso de estudio o plan inicial del
proyecto que incluya prioridades y objetivos
del SGSI, estructura del SGSI.
PESO
0.0%
0.0%
0.0%
0.0% Autodiagnstico
Estado
Cumple satisfactoriamente
Cumple parcialmente
No cumple
No aplica
ANEXO
A5 POLTICAS DE LA SEGURIDAD DE LA INFORMACION
A5.1 Orientacin de la direccin para la gestin de la seguridad de la informacin
Objetivo: Brindar orientacin y soporte, por parte de la direccin, para la seguridad de la informacin de acuerdo con
A6.2.2 Teletrabajo
A7.1.1 Seleccin
Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad d
A7.2.1 Responsabilidades de la
direccin
A7.2.2 Toma de conciencia, educacin y
formacin en la seguridad de la
informacin.
A8 GESTION DE ACTIVOS
A8.1 Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de proteccin adecuadas.
Objetivo: Asegurar que la informacin recibe un nivel apropiado de proteccin, de acuerdo con su importancia para
A9 CONTROL DE ACCESO
A9.1 Requisitos del negocio para el control de acceso
Objetivo: Limitar el acceso a informacin y a instalaciones de procesamiento de informacin.
A10 CRIPTOGRAFIA
A10.1 Controles criptogrficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografa para proteger la confidencialidad, autenticidad y/o la i
A11.2 Equipos
Objetivo: Prevenir la perdida, dao, robo o compromiso de activos, y la interrupcin de las operaciones de la organiz
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de informacin.
Objetivo: Asegurar que la seguridad de la informacin sea una parte integral de los sistemas de informacin
para sistemas de informacin que prestan servicios sobre redes .
A16.1.1 Responsabilidades y
procedimientos
A16.1.2 Reporte de eventos de
seguridad de la informacin
A17.2 Redundancias
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de informacin.
A18 CUMPLIMIENTO
A18.1 Cumplimiento de requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentacin o contractuales relacio
seguridad.
A18.1.1 Identificacin de la legislacin
aplicable.
Significado
Existe, es gestionado, se est cumpliendo con lo que la norma solicita, est documentado, es conocido y aplicado po
Lo que la norma requiere se est haciendo de manera parcial, se est haciendo diferente, no est documentado, se
El control no es aplicable para la entidad. En el campo evidencia por favor indicar la justificacin respectiva de su no
ANEXO
URIDAD DE LA INFORMACION
ccin para la gestin de la seguridad de la informacin
e, por parte de la direccin, para la seguridad de la informacin de acuerdo con los requisitos del negocio y con las leyes y reglamentos p
Control: Se debe definir un conjunto de polticas para la seguridad de la informacin, aprobada por la direccin, publicada y co
empleados y a las partes externas pertinentes.
Control: Las polticas para la seguridad de la informacin se deben revisar a intervalos planificados o si ocurren cambios signifi
asegurar su conveniencia, adecuacin y eficacia continuas.
A SEGURIDAD DE LA INFORMACION
encia de gestin para iniciar y controlar la implementacin y operacin de la seguridad de la informacin dentro de la organizacin.
Control: Se deben mantener contactos apropiados con grupos de inters especial u otros foros y asociaciones profesionales es
seguridad
Control: La seguridad de la informacin se debe tratar en la gestin de proyectos, independientemente del tipo de proyecto.
teletrabajo
eletrabajo y el uso de dispositivos mviles
Control: Se deben adoptar una poltica y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el
dispositivos mviles.
Control: Se deben implementar una poltica y unas medidas de seguridad de soporte, para proteger la informacin a la que se
que es procesada o almacenada en los lugares en los que se realiza teletrabajo.
ECURSOS HUMANOS
mpleo
y contratistas comprenden sus responsabilidades y son idneos en los roles para los que se consideran.
Control: Las verificaciones de los antecedentes de todos los candidatos a un empleo se deben llevar a cabo de acuerdo con las
reglamentaciones y tica pertinentes y deben ser proporcionales a los requisitos de negocio, a la clasificacin de la informacin
tener acceso y a los riesgos percibidos.
Control: Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las de la organizac
seguridad de la informacin.
del empleo
ados y contratistas tomen conciencia de sus responsabilidades de seguridad de la informacin y las cumplan.
Control: La direccin debe exigir a todos los empleados y contratista la aplicacin de la seguridad de la informacin de acuerdo
y procedimientos establecidos por la organizacin.
Control: Todos los empleados de la organizacin, y en donde sea pertinente, los contratistas, deben recibir la educacin y la fo
de conciencia apropiada, y actualizaciones regulares sobre las polticas y procedimientos de la organizacin pertinentes para su
Control: Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados que
una violacin a la seguridad de la informacin.
de empleo
rganizacin como parte del proceso de cambio o terminacin de empleo
Control: Las responsabilidades y los deberes de seguridad de la informacin que permanecen validos despus de la terminaci
empleo de deben definir, comunicar al empleado o contratista y se deben hacer cumplir.
os activos
acionales y definir las responsabilidades de proteccin adecuadas.
Control: Se deben identificar los activos asociados con informacin e instalaciones de procesamiento de informacin, y se debe
mantener un inventario de estos activos.
Control: Se deben identificar, documentar e implementar reglas para el uso aceptable de informacin y de activos asociados co
instalaciones de procesamiento de informacin.
Control: Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organizacin que se encuen
terminar su empleo, contrato o acuerdo.
ormacin
Control: La informacin se debe clasificar en funcin de los requisitos legales, valor, criticidad y susceptibilidad a divulgacin o
autorizada.
Control: Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la informacin, de
esquema de clasificacin de informacin adoptado por la organizacin.
Control: Se deben desarrollar e implementar procedimientos para el manejo de activos, de acuerdo con el esquema de clasific
informacin adoptado por la organizacin.
Control: Se deben implementar procedimientos para la gestin de medio removibles, de acuerdo con el esquema de clasificaci
la organizacin.
Control: Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales.
Control: Los medios que contienen informacin se deben proteger contra acceso no autorizado, uso indebido o corrupcin dur
transporte.
Control: Se debe establecer, documentar y revisar una poltica de control de acceso con base en los requisitos del negocio y de
la informacin.
Control: Solo se debe permitir acceso de los usuarios a la red y a los servicios de red para los que hayan sido autorizados espec
usuarios
arios autorizados y evitar el acceso no autorizado a sistemas y servicios.
Control: Se debe implementar un proceso formal de registro y de cancelacin de registro de usuarios, para posibilitar la asigna
derechos de acceso.
Control: Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de a
tipo de usuarios para todos los sistemas y servicios.
Control: La asignacin de informacin de autenticacin secreta se debe controlar por medio de un proceso de gestin formal.
Control: Los propietarios de los activos deben revisar los derechos de acceso de los usuarios, a intervalos regulares.
Control: Los derechos de acceso de todos los empleados y de usuarios externos a la informacin y a las instalaciones de proces
informacin se deben retirar al terminar su empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
los usuarios
n cuentas por la salvaguarda de su informacin de autenticacin.
Control: Se debe exigir a los usuarios que cumplan las prcticas de la organizacin para el uso de informacin de autenticacin
stemas y aplicaciones
o a sistemas y aplicaciones.
Control: El acceso a la informacin y a las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con la po
de acceso.
Control: Cuando lo requiere la poltica de control de acceso, el acceso a sistemas y aplicaciones se debe controlar mediante un
ingreso seguro.
Control: Los sistemas de gestin de contraseas deben ser interactivos y deben asegurar la calidad de las contraseas.
Control: Se debe restringir y controlar estrictamente el usos de programas utilitarios que podran tener capacidad de anular el
controles de las aplicaciones.
os
eficaz de la criptografa para proteger la confidencialidad, autenticidad y/o la integridad de la informacin
Control: Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la inform
Control: Se debe desarrollar e implementar una poltica sobre el uso, proteccin y tiempo de vida de las llaves criptogrficas, d
ciclo de vida.
DEL ENTORNO
Control: Se deben definir y usar permetros de seguridad, y usarlos para proteger reas que contengan informacin confidenci
instalaciones de manejo de informacin.
Control: Las reas seguras deben estar protegidas con controles de acceso apropiados para asegurar que slo se permite el acc
autorizado.
Control: Se debe disear y aplicar la seguridad fsica para oficinas, recintos e instalaciones..
Control: Se deben disear y aplicar proteccin fsica contra desastres naturales, ataques maliciosos o accidentes.
Control: Se deben controlar los puntos de acceso tales como las reas de despacho y carga y otros puntos por donde pueden e
autorizadas y, si es posible, aislarlos de las instalaciones de procesamiento de informacin para evitar el acceso no autorizado.
Control: Los equipos deben de estar ubicados y protegidos para reducir los riesgos de amenazas y peligros del entorno, y las po
acceso no autorizado.
Control: Los equipos se deben proteger contra fallas de energa y otras interrupciones causadas por fallas en los servicios de su
Control: El cableado de energa elctrica y de telecomunicaciones que porta datos o brinda soporte a los servicios de informac
proteger contra interceptacin, interferencia o dao.
Control: Los equipos se deben mantener correctamente para asegurar su disponibilidad e integridad continuas.
Control: Los equipos, informacin o software no se deben retirar de su sitio sin autorizacin previa
Control: Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de las instalaciones de la organizacin, t
cuenta los diferentes riesgos de trabajar fuera de dichas instalaciones.
Control: Se deben verificar todos los elementos de equipos que contengan medios de almacenamiento para asegurar que cual
confidencial o software licenciado haya sido retirado o sobreescrito en forma segura antes de su disposicin o reso.
Control: Los usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada.
Control: Se debe adoptar una poltica de escritorio limpio para los papeles y medios de almacenamiento removibles, y una pol
limpia en las instalaciones de procesamiento de informacin.
PERACIONES
cionales y responsabilidades
Control: Los procedimientos de operacin se deben documentar y poner a disposicin de todos los usuarios que los necesitan.
Control: Se deben controlar los cambios en la organizacin, en los procesos de negocio, en las instalaciones y en los sistemas d
de informacin que afectan la seguridad de la informacin.
Control: Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y hacer proyecciones de los requisitos de capacidad f
asegurar el desempeo requerido del sistema.
Control: Se deben separar los ambientes de desarrollo, pruebas y operacin, para reducir los riesgos de acceso o cambios no a
ambiente de operacin.
igos maliciosos
cin y las instalaciones de procesamiento de informacin estn protegidas contra cdigos maliciosos.
Control: Se deben implementar controles de deteccin, de prevencin y de recuperacin, combinados con la toma de concienc
los usuarios, para proteger contra cdigos maliciosos.
datos
Control: Se deben hacer copias de respaldo de la informacin, software e imgenes de los sistemas, y ponerlas a prueba regula
acuerdo con una poltica de copias de respaldo acordadas.
o
videncia
Control: Se deben elaborar, conservar y revisar regularmente los registros acerca de actividades del usuario, excepciones, fallas
seguridad de la informacin.
Control: Las instalaciones y la informacin de registro se deben proteger contra alteracin y acceso no autorizado.
Control: Las actividades del administrador y del operador del sistema se deben registrar, y los registros se deben proteger y rev
regularidad.
Control: Los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro de una organizacin o mbito d
deben sincronizar con una nica fuente de referencia de tiempo.
peracional
e los sistemas operacionales
Control: Se deben implementar procedimientos para controlar la instalacin de software en sistemas operativos.
bilidad tcnica
de las vulnerabilidades tcnicas
Control: Se debe obtener oportunamente informacin acerca de las vulnerabilidades tcnicas de los sistemas de informacin q
evaluar la exposicin de la organizacin a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado
Control: Se deben establecer e implementar las reglas para la instalacin de software por parte de los usuarios.
Control: Los requisitos y actividades de auditoria que involucran la verificacin de los sistemas operativos se deben planificar y
cuidadosamente para minimizar las interrupciones en los procesos del negocio.
OMUNICACIONES
ad de las redes
nformacin en las redes, y sus instalaciones de procesamiento de informacin de soporte.
Control: Las redes se deben gestionar y controlar para proteger la informacin en sistemas y aplicaciones.
Control: Se deben identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestin de todos los
e incluirlos en los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se contraten exte
Control: Los grupos de servicios de informacin, usuarios y sistemas de informacin se deben separar en las redes.
macin
nformacin transferida dentro de una organizacin y con cualquier entidad externa.
Control: Se debe contar con polticas, procedimientos y controles de transferencia informacin formales para proteger la
de informacin mediante el uso de
todo tipo de instalaciones de comunicaciones.
Control: Los acuerdos deben tratar la transferencia segura de informacin del negocio entre la organizacin y las parte
de la informacin sea una parte integral de los sistemas de informacin durante todo el ciclo de vida. Esto incluye tambin lo
estan servicios sobre redes .
Control: Los requisitos relacionados con seguridad de la informacin se deben incluir en los requisitos para nuevos sist
informacin o para mejoras a los sistemas de informacin existentes.
Control: La informacion involucrada en los servicios de las aplicaciones que pasan sobre redes pblicas se debe pro
actividades fraudulentas, disputas contractuales y divulgacin y modificacin no autorizadas.
Control: La informacin involucrada en las transacciones de los servicios de las aplicaciones se deben proteger para evitar la tr
incompleta, el enrutamiento errado, la alteracin no autorizada de mensajes, la divulgacin no autorizada, y la duplicacin o re
mensajes no autorizada.
Control: Se debe establecer y aplicar reglas para el desarrollo de software y de sistemas, a los desarrollos dentro de la organiza
Control: Los cambios a los sistemas dentro del ciclo de vida de desarrollo se deben controlar mediante el uso de procedimiento
control de cambios.
Control: Cuando se cambian las plataformas de operacin, se deben revisar las aplicaciones crticas del negocio, y someter a p
asegurar que no haya impacto adverso en las operaciones o seguridad de la organizacin.
Control: Se deben desalentar las modificaciones a los paquetes de software, los cuales se deben limitar a los cambios necesari
cambios se deben controlar estrictamente.
Control: Se deben establecer, documentar y mantener principios para la construccin de sistemas seguros, y apl
cualquier actividad de implementacin de sistemas de informacin.
Control: Las organizaciones deben establecer y proteger adecuadamente los ambientes de desarrollo seguros para las acti
desarrollo e integracin de sistemas que comprendan todo el ciclo de vida de desarrollo de sistemas.
Control: La organizacin debe supervisar y hacer seguimiento de la actividad de desarrollo de sistemas contratados exte
Control: Para los sistemas de informacin nuevos, actualizaciones y nuevas versiones, se deben establecer programas
aceptacin y criterios de aceptacin relacionados.
S PROVEEDORES
macin en las relaciones con los proveedores.
activos de la organizacin que sean accesibles a los proveedores.
Control: Los requisitos de seguridad de la informacin para mitigar los riesgos asociados con el acceso de proveedores a los ac
organizacin se deben acordar con estos y se deben documentar.
Control: Se deben establecer y acordar todos los requisitos de seguridad de la informacin pertinentes con cada proveedor qu
acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la informacin de la organiza
Control: Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad de la informacin asociado
de suministro de productos y servicios de tecnologa de informacin y comunicacin.
n de servicios de proveedores
de seguridad de la informacin y de prestacin del servicio en lnea con los acuerdos con los proveedores
Control: Las organizaciones deben hacer seguimiento, revisar y auditar con regularidad la prestacin de servicios de los provee
Control: Se deben gestionar los cambios en el suministro de servicios por parte de los proveedores, incluido el mantenimiento
las polticas, procedimientos y controles de seguridad de la informacin existentes, teniendo en cuenta la criticidad de la inform
y procesos de negocio involucrados, y la rrevaluacin de los riesgos.
Control: Se deben establecer las responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, eficaz y or
incidentes de seguridad de la informacin.
Control: Los eventos de seguridad de la informacin se deben informar a travs de los canales de gestin apropiados, tan pron
posible.
Control: Se debe exigir a todos los empleados y contratistas que usan los servicios y sistemas de informacin de la organizacin
reporten cualquier debilidad de seguridad de la informacin observada o sospechada en los sistemas o servicios.
Control: Los eventos de seguridad de la informacin se deben evaluar y se debe decidir si se van a clasificar como incidentes d
informacin.
Control: Se debe dar respuesta a los incidentes de seguridad de la informacin de acuerdo con procedimientos documentados
Control: El conocimiento adquirido al analizar y resolver incidentes de seguridad de la informacin se debe usar para reducir la
impacto de incidentes futuros.
Control: La organizacin debe definir y aplicar procedimientos para la identificacin, recoleccin, adquisicin y preservacin de
pueda servir como evidencia.
Control: La organizacin debe determinar sus requisitos para la seguridad de la informacin y la continuidad de la gestin de la
informacin en situaciones adversas, por ejemplo, durante una crisis o desastre.
Control: La organizacin debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para ase
continuidad requerido para la seguridad de la informacin durante una situacin adversa.
Control: La organizacin debe verificar a intervalos regulares los controles de continuidad de la seguridad de la informacin est
implementados, con el fin de asegurar que son vlidos y eficaces durante situaciones adversas.
Control: Las instalaciones de procesamientos de informacin se deben implementar con redundancia suficiente para cumplir lo
disponibilidad.
Control: Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes y el enfoque de la organizacin para cum
identificar y documentar explcitamente y mantenerlos actualizados para cada sistema de informacin y para la organizacin.
Control: Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, de reg
contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software patentados.
Control: Los registros se deben proteger contra perdida, destruccin, falsificacin, acceso no autorizado y liberacin no autoriz
con los requisitos legislativos, de reglamentacin, contractuales y de negocio.
Control: Se deben asegurar la privacidad y la proteccin de la informacin de datos personales, como se exige e la legislacin y
reglamentacin pertinentes, cuando sea aplicable.
Control: Se deben usar controles criptogrficos, en cumplimiento de todos los acuerdos, legislacin y reglamentacin pertinen
ad de la informacin
la informacin se implemente y opere de acuerdo con las polticas y procedimientos organizacionales.
Control: El enfoque de la organizacin para la gestin de la seguridad de la informacin y su implementacin (es decir los objeti
los controles, las polticas, los procesos y los procedimientos para seguridad de la informacin), se deben revisar independient
intervalos planificados o cuando ocurran cambios significativos.
Control: Los directores deben revisar con regularidad el cumplimiento del procesamiento y procedimientos de informacin den
responsabilidad, con las polticas y normas de seguridad apropiadas, y cualquier otro requisito de seguridad.
Control: Los sistemas de informacin se deben revisar peridicamente para determinar el cumplimiento con las polticas y nor
de la informacin.
LA INFORMACIN (40%)
pero no se gestiona.
bilidad.
ESTADO EVIDENCIA
RESUMEN LOGRO 1
CONTROLES
0 0.0%
0 0.0%
0 0.0%
0 0.0%
Estado
Cumple satisfactoriamente
Cumple parcialmente
No cumple
VERIFIC
ITEM PREGUNTA
1 La entidad tiene una metodologa para realizar seguimiento, medicin y anlisis permanente al desempeo de
Seguridad de laInformacin.?
3 La entidad cuenta con programas de auditorias aplicables al SGSI donde se incluye frecuencia, mtodos,
responsabilidades, elaboracin de informes?
6 Las revisiones realizadas por la Direccin al Sistema de Gestin de Seguridad de la Informacin, estn
debidamente documentadas?
ACTUA
PREGUNTA
ITEM
9 La entidad revisa la eficiacia de las acciones correctivas tomadas por la presencia de una no conformidad de
seguridad de la informacin?
10 La entidad realiza cambios al Sistema de Gestin de Seguridad de la Informacin despues de las acciones
tomadas?
11 La entidad documenta la informacin referente a las acciones correctivas que toma respecto a la seguridad de l
informacin?
12 La entidad realiza procesos de mejora continua para el Sistema de Gestin de Seguridad de la Informacin?
DESCRIPCIN
Existe, es gestionado, se est cumpliendo con lo que la norma ISO27001 versin 2013 solicita, est documentado, e
el SGSI. cumple 100%.
Lo que la norma requiere (ISO27001 versin 2013) se est haciendo de manera parcial, se est haciendo diferente,
se gestiona.
VERIFICAR
PREGUNTA VALORACIN
oga para realizar seguimiento, medicin y anlisis permanente al desempeo de la
ACTUAR
PREGUNTA VALORACIN
IPCIN
EVIDENCIA RECOMENDACIN
Se debe tener en cuenta que se desea medir,
cuando, quien realizar la mediciny cuando se
analizaran los resultados.
EVIDENCIA RECOMENDACIN
0 0.0% 0 0.0%
0 0.0% 0 0.0%
0 0.0% 0 0.0%
TOTAL 0.0% TOTAL 0.0%
20%
0%
PLANEAR HACER VERIFICAR ACTUAR TOTAL
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
INIO DE CONTROL
EGURIDAD DE LA 6INFORMACIN
DOMINIO - ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
20 DOMINIO 7 - SEGURIDAD DE LOS RECURSOS HUMANOS
10
DOMINIO 8 - GESTIN DE ACTIVOS
0
DOMINIO 9 - CONTROL DE ACCESO
DOMINIO 10 - CRIPTOGRAFA
DOMINIO 11 - SEGURIDAD FSICA Y DEL ENTORNO
DAD DE LAS OPERACIONES
INSTRUCCIONES DE DILIGENCIAMIENTO
Objetivo del
autodiagnstico
Logro 1
Logro 2
Logro 3
Norma Referente
Datos a diligenciar hoja "GAP LOGRO1"
ITEM
PREGUNTA
VALORACION
EVIDENCIA
RECOMENDACION
Datos a diligenciar hoja "GAP LOGRO2"
ANEXO
ESTADO
EVIDENCIA
Datos a diligenciar hoja "GAP LOGRO3"
ITEM
PREGUNTA
VALORACION
EVIDENCIA
RECOMENDACION
INSTRUCCIONES DE DILIGENCIAMIENTO
Determinar el nivel de madurez que presenta la entidad respecto a los temas relacionados con
Seguridad de la Informacion.
Definicion del Marco de Seguridad y Privacidad de la Entidad. Tiene un peso del 30% del total
del componente.
Implementacion
10% - Diagnosticodel
dePlan de Seguridad
Seguridad y Privacidad.
y Privacidad
20% - Identificacion y analisis de
Proposito de Seguridad riesgos. de la Informacion.
y Privacidad
20% - Plan de tratamiento de riesgos, clasificacion y gestion de controles.
Seleccionar de acuerdo a:
1. No cumple: Tiene conocimiento del requisito. No existe y/o no se est haciendo.
2. Cumple parcialmente: Lo que la norma requiere (ISO27001 versin 2013) se est haciendo
de manera parcial, se est haciendo diferente, no est documentado, se defini y aprob pero
no se gestiona.
3. Cumple satisfactoriamente: Existe, es gestionado, se est cumpliendo con lo que la norma
ISO27001 versin 2013 solicita, est documentado, es conocido y aplicado por todos los
involucrados en el SGSI.
Describir brevemente cumple 100%.
la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
o sistema donde se pueda verificar el mismo.
Pautas que se deben llevar a cabo para dar cumplimiento al requisito.
Datos a diligenciar hoja "GAP LOGRO2"
Informacin que corresponde a los controles del Anexo A de la Norma ISO 27001:2013. La
entidad debe verificar el cumplimiento del control
Seleccionar de acuerdo a:
0. No aplica: El control no es aplicable para la entidad. En el campo evidencia por
favor indicar la justificacin respectiva de su no aplicabilidad.
1. No cumple: Tiene conocimiento del requisito. No existe y/o no se est haciendo.
2. Cumple parcialmente: Lo que la norma requiere (ISO27001 versin 2013) se est haciendo
de manera parcial, se est haciendo diferente, no est documentado, se defini y aprob pero
no se gestiona.
3. Cumple satisfactoriamente: Existe, es gestionado, se est cumpliendo con lo que la norma
ISO27001 versin 2013 solicita, est documentado, es conocido y aplicado por todos los
involucrados en el SGSI. cumple 100%.
Describir brevemente la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
o sistema donde se pueda verificar el mismo.
Datos a diligenciar hoja "GAP LOGRO3"
Consecutivo de la pregunta de seguridad de la informacin.
Pregunta de seguridad de la informacion.
Seleccionar de acuerdo a:
1. No cumple: Tiene conocimiento del requisito. No existe y/o no se est haciendo.
2. Cumple parcialmente: Lo que la norma requiere (ISO27001 versin 2013) se est haciendo
de manera parcial, se est haciendo diferente, no est documentado, se defini y aprob pero
no se gestiona.
3. Cumple satisfactoriamente: Existe, es gestionado, se est cumpliendo con lo que la norma
ISO27001 versin 2013 solicita, est documentado, es conocido y aplicado por todos los
involucrados en el SGSI. cumple 100%.
Describir brevemente la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
o sistema donde se pueda verificar el mismo.
Pautas que se deben llevar a cabo para dar cumplimiento al requisito.
SI
NO