Status of ISO/IEC 27001 implementation

SECCIÓN ISO/IEC 27001 REQUISITO ESTADO Nota

4 Contexto de la organización
4.1 Contexto organizacional
Determine los objetivos del SGSI de la organización y cualquier problema que pueda afectar su
4.1 efectividad Defined

4.2 Partes interesadas

Actualmente cuenta con certificado en COMPLIACE PENAL UNE 19601, Así mismo
4.2 (a) Identificar a las partes interesadas, incluidas las leyes, reglamentos, contratos, aplicables, etc.. Initial cuenta con la Iso 9001.
4.2 (b) Determinar sus requisitos y obligaciones relevantes para la seguridad de la información Initial Tiene los requerimientos pero aún no cuenta con la certificación

4.3 Alcance ISMS

4.3 Determinar y documentar el alcance del SGSI Nonexistent Endesa no cuenta con el alcance del SGSI

4.4 ISMS
4.4 Establecer, implementar, mantener y mejorar continuamente un SGSI de acuerdo con el estandar. Initial Endesa hace constantes pruebas de hacking etico

5 Liderazgo
5.1 Liderazgo y compromiso
Endesa esta comprometido con el tema de seguridad de informacion, prueba de ellos
5.1 La alta gerencia debe demostrar liderazgo y compromiso con el SGSI Initial son las actividades que realiza año a año en materia de seguridad de la información

5.2 Política
Debido a que Endesa es una Hidroelectrica, tiene documentada mayormente sus
5.2 Documentar la política de seguridad de la información Initial politicas en materia de seguridad laboral

5.3 Roles organizativos, responsabilidades y autoridades

Endesa tiene definido los roles , funciones y responsables en los temas de Seguridad de
5.3 Asignar y comunicar funciones y responsabilidades de seguridad de la información Initial la informacion.

6 Planificación
6.1 Acciones para abordar riesgos y oportunidades
Endesa tiene definido los riesgos y oportunidades concerniente al SGSI, de manera que
6.1.1 Diseñe / planifique el SGSI para satisfacer los requisitos, abordando riesgos y oportunidades Initial hay un involucramiento de manera inicial.
Endesa desarrolla un proceso estándar para la evaluación de riesgos de seguridad de la
6.1.2 Definir y aplicar un proceso de evaluación de riesgos de seguridad de la información Initial información
Endesa desarrolla un proceso estándar para el tratamiento de riesgos de seguridad de la
6.1.3 Documentar y aplicar un proceso de tratamiento de riesgos de seguridad de la información Initial información

6.2 Objetivos y planes de seguridad de la información

Endesa tiene fundamentos basados en los objetivo y planes de seguridad de la
6.2 Establecer y documentar los objetivos y planes de seguridad de la información Initial información considerados prioridad.

7 Apoyo
7.1 Recursos
Endesa tiene asignados recursos te tecnologia de la informacion especialmente al are
7.1 Determinar y asignar los recursos necesarios para el SGSI Initial de ICT

7.2 Competencia
Endesa tiene controles, responsabilidades, para que los colabores sean competentes en
7.2 Determinar, documentar y poner a disposición las competencias necesarias Defined materia de Seguridad de la Informacion

7.3 Conciencia
7.3 Establecer un programa de concientización de seguridad Defined Tienen un cronograma anual de actividades en materia de seguridad de la informacion

7.4 Comunicación
Endesa cuenta con una comunicación fluida entre sus areas internas de trabajo como
7.4 Determine la necesidad de comunicaciones internas y externas relevantes para el SGSI Initial con sus stakeholders

7.5 Información documentada

7.5.1 Promorcionar documentación requerida por el estandar , ademas de lo requerido por la organización Defined Endesa cumple con poner a disposicion la informacion necesaria

Antes de publicar o poner a disposicion la informacion, esta requiere una aprobacion

7.5.2 Proporcione títulos de documentos, autores, etc., formatéelos consistentemente y revíselos y apruebe. Defined despues de una previa revision.
7.5.3 Controle la documentación adecuadamente Defined Debido a un intento de phishing, Endesa tiene un mayor en la documentacion

8 Operación
8.1 Planificación y control operacional
Planificar, implementar, controlar y documentar los procesos de ISMS para administrar riesgos (es Endesa cuenta con un planificacion enfocada en materia de Seguridad laboral mas no
8.1 decir, un plan de tratamiento de riesgos) Initial en Seguridad de la Informacion

8.2 Evaluación de riesgos de seguridad de la información

Endesa no tiene una evaluacion adecuada para los riesgos en materia de Seguridad de
8.2 (Re) evaluar y documentar los riesgos de seguridad de la información regularmente y en los cambios Initial la Informacion

8.3 Tratamiento de riesgo de seguridad de la información

Endesa cuenta con un plan de tratamiento de riesgos pero enfocados mayormente en
8.3 Implemente el plan de tratamiento de riesgos (¡trate los riesgos!) Y documente los resultados Initial materia de seguridad laboral

9 Evaluación del desempeño

9.1 Monitoreo, medición, análisis y evaluación
Endesa cuenta con actividades en materia de Seguridad de Informacion que le permite
9.1 Monitorear, medir, analizar y evaluar el ISMS y los controles Initial realizar una revision de sus actuales Sistemas de Seguridad

9.2 Auditoria interna

9.2 Planificar y realizar auditorías internas del SGSI Initial Endesa cuenta con un area de auditoria, pero no en materia de SGSI

9.3 Revisión de gestión

Endesa cuenta con actividades en materia de Seguridad de Informacion que le permite
9.3 Llevar a cabo revisiones de gestión regulares del SGSI Initial realizar una revision de sus actuales Sistemas de Seguridad

10 Mejora
10.1 No conformidad y acción correctiva
Identificar, corregir y tomar medidas para evitar la recurrencia de no conformidades, documentando
10.1 las acciones Initial Endesa no cuenta con un plan de accion documentado para con las nos conformidades.

10.2 Mejora continua

Endesa se encuentra en un proceso inicial de mejora continua, donde trata de llevar la
10.2 Mejorar continuamente el SGSI Initial seguridad laboral en conjunto con la Seguridad de la Informacion como una prioridad.
27 Number of requirements

06/23/2018 Page1 of 2
 Proportion of
Status Meaning
ISMS
requirements ISMS implementation status
? Unknown Ni siquiera se ha comprobado aún 0%

Nonexistent Completa falta de política reconocible,

procedimiento, control, etc. 4% ? Unknown
Nonexistent
Initial
El desarrollo apenas ha comenzado y requerirá
Initial un trabajo significativo para cumplir con los
requisitos
74% Limited
Defined
Managed
Optimized
Limited Avanza bien, pero aún no está completo 0%
Not applicable

El desarrollo es más o menos completo aunque

Defined faltan detalles y / o aún no está implementado,
aplicado y respaldado activamente por la alta 22%
dirección.

El desarrollo está completo, el proceso /

Managed control se ha implementado y recientemente
comenzó a funcionar
0%

El requisito está completamente satisfecho,

está funcionando completamente como se
Optimized activamente,
esperaba, se está monitoreando y mejorando
y existe evidencia sustancial para
0%
probar todo eso a los auditores

TODOS los requisitos en el cuerpo principal de

Not applicable ISO / IEC 27001 son obligatorios SI su ISMS
debe ser certificado. De lo contrario, 0%
managemnent puede ignorarlos.

Total 100%