Matriz calificación anexo técnico

Metodología Alcances Cumple

Numeral
1.1. EVALUACIÓN Y DIAGNÓSTICO BAJO LA NORMA ISO/IEC 27001
1.2. EVALUACIÓN Y DIAGNOSTICO DE LA INFRAESTRUCTURA
TECNOLÓGICA DE LA UTP
Entregables
Folio/Página Folio/Página Si No
• Resultados de evaluación y diagnóstico, en donde se indican por cada dominio de la
norma ISO/IEC 17799:2005. En los resultados del diagnóstico se deben incluir los
objetivos de control y los controles de seguridad de la norma.
• Resultados de evaluación y diagnóstico de revisión documental del modelo actual de
seguridad de la información.
• Vulnerabilidades encontradas en los sistemas expuestos a Internet y de los sistemas
en la red interna, y el grado de riesgo técnico asociada con estos. Hasta donde se
logró acceder en los sistemas de información y un nivel de riesgo general de la
institución su exposición desde el punto de vista técnico.
• Describir las clases de ataques que se utilizaran.
• El reporte deberá estar acompañado de la evidencia sobre la información y accesos
que se pudo obtener sobre los sistemas de información.
• De igual forma se deben presentar dos Informes en español que incluyan:
o Informe Ejecutivo
 Descripción del trabajo realizado
 Resumen de las actividades realizadas
 Descripción del informe final entregado
 Descripción de principales hallazgos
 Conclusiones
 Recomendaciones
o Informe Técnico de seguridad:
 Descripción de las pruebas realizadas
 Metodología utilizada
 Elemento evaluado
 Puertos y servicios habilitados

o Listado de vulnerabilidades encontradas en los elementos de la plataforma

tecnológica:
 Descripción de la vulnerabilidad
 Nivel de criticidad (Alto, Medio, Bajo)
 Riesgo asociado o impacto
 Recomendación
 Procedimiento de corrección.

• Informe de resultados del levantamiento de información.

• Inventario de activos de información de la Universidad Tecnológica de
2. INVENTARIO DE ACTIVOS DE INFORMACIÓN
Pereira, junto con el proceso de inventario de activos de información y los
formatos para su definición, actualización y mantenimiento.

3. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
4. ANÁLISIS, EVALUACIÓN Y TRATAMIENTO DEL RIESGO
5. DEFINICIÓN DE POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA
SEGURIDAD Y DECLARACIÓN DE APLICABILIDAD DEL SGSI
• Instructivo de clasificación de activos de información de la Universidad
Tecnológica de Pereira y su nivel de clasificación, incluyendo las
recomendaciones en cuanto a:
o Acceso permitido.
o Métodos de distribución.
o Restricciones en la distribución electrónica.
o Recomendaciones a cerca de el Almacenamiento y/o archivado.
o Recomendaciones a cerca de su disposición y destrucción.
o Activos de información clasificados, según inventario e instructivo de
clasificación.
o Matriz de valoración riesgos de seguridad de la información priorizada,
identificando los activos, las amenazas, las vulnerabilidades, impactos, los
riesgos y las recomendaciones para su mitigación del nivel del riesgo
residual.
o Informe de identificación de procedimientos y controles necesarios para
mitigar o transferir el riesgo.
o Plan de tratamiento de riesgos y cronograma de implementación.
o Informe de los resultados del análisis de impacto generado en los procesos
por la aplicación de los controles propuestos.
o Informe de revisión de las políticas de seguridad que poseen en la
actualidad la Universidad Tecnológica de Pereira.
o Políticas de seguridad corporativa, objetivos del SGSI y procedimientos para
su implementación y gestión.
o Formatos y documentos para llevar los registros necesarios y exigidos por
la norma.
o Declaración de aplicabilidad.
o Proceso de control de documentos y de control de registros.
o Indicadores de gestión base de primer nivel para el SGSI.