CLASIFICACION

N° N.C REQUISITO DE LA NORMA

DE LA N.C

La organización debe llevar a cabo la

valoraciónes de la seguridad de la
información a intervalos planificados o
cuando se proponga u ocurran cambios
significativos, teniendo en cuenta los
1 REQUISITO 8.2 MENOR criterios establecidos en el numeral
6.1.2 a).
La organización debe conservar
información documentada de los
resultados de las valoraciones de riesgo
de la seguridad de la información.

No se asegura que la informacion

reciba un nivel apropiado de
proteccion de acuerdo a su importancia
2 8.1-A8.2.1 MENOR para la organización debido a que se
lasifican de una forma y se etiquetam
de otra.

No se evidencia que la organización

proporcione los recursos necesarios
3 7.1 MENOR para el mantenimiento y mejora del
SGSI.

La organización no obtiene
oportunamente información acerca de
4 8.1-A12.6.1 MENOR las vulnerabilidades tecnicas para
evaluar su exposicion a estas
vulnerabilidades.
 Se evidencia que la organización no ha
verificado a intervalos regulares los
controles de seguridad de la
5 8.1-A.17.1.3 MENOR informacion establecidos con el fin de
asegurar que son validos y eficaces
durante una situacion adversa.
 FECHA DE
EVIDENCIA ANALISIS DE CAUSA
DETECCION

Al finalizar la mayoria de los

la ultima valoracion de riesgos se contratos outsourcing de la
realizo en diciembre de 2015, lo cual organización, la
no asegura un control apropiado sobre administracion no recurrio al
la evolucion de los riesgos y su 17 y 18 de mayo analisis de riesgo por el
tratamiento. En dicha valoracion para 2017 descenso de las labores
el riesgo perdida de informacion del administrativas al igual que
proceso gestion documental no se los contratados
selecciona la opcion de tratamiento ni considerando no necesaria
los controles para tratarlo. su revisión.

Se evidencia en el listado maestro de
registros que las carpetas de RRHH se
clasifican como libres pero se rotulan
con el sello restringido.
La clasificaicon de la
informacion no se
encontraba alineada a las
17 y 18 de mayo legislacion nacionales ni
2017 modelo de clasificacion
interno manejado en el
momento.

Se dio la renuncia
El administrador de la infraestructura inesperada del señor
17 y 18 de mayo
renuncion en Enero de 2017 y a la Roberto Zambrano a
2017
fecha no se ha reemplazado. principios de la vigencia
2017.

EL encargado de la actividad
No se evidencia la realizacion de 17 y 18 de mayo no cumplia con el perfil
analisis de vulnerabilidades tecnicas. 2017 profesional para asumir este
rol en la organización.

No se evidencia la realización de
pruebas del plan de continuidad de
seguridad de la información.
EL procedimiento de plan de
continuidad no era
17 y 18 de mayo efectuado por el encargado
2017 de la infraestructura de
comunicaciones por falta de
experticia en el tema.
 FECHA DE
ACCION CORRECTIVA PROPUESTA EVIDENCIA
IMPLEMENTACION

Al finalizar la auditoria de
seguimiento la administración Actas de reunion y en
incluyo dentro de la agenda caso de requerirse
programativa de sistemasticas y acciones de mejora
actividades de los sistemas de y/o correccion.
gestion el proceso de revision de los
riesgos de la norma ISO 27001.

Se clasificara los niveles de acceso y

tratamiento de la informacion
basados en un a analisis de Listado Maestro de
calasificacion de la informacion Registros CAF-05
basados en leyes, y criticidad y/o
sensibilidad de la informacion.

Se evaluara dar ampliacional rango Vinculo contraactual o

de cobertura de las actividades de Programa de
apoyo del Ing. Harry Ramirez para los actividades que se
proyectos en ejecucion en Cartagena desarrollaran durante
y Bogota. Para esto se evaluara una la vigencia
propuesta contraactual que permita
cumplir con las metas del SGSI. (Planeador).

Se evaluaran las herramientas

hardwares de los dispositivos de Especificaciones
comunicación de la empresa tecnicas de los
realizacion actualizacion periodicas equipos de
según lo dispongan las casas comunicación y listado
matrices de cada una al igual que la o bitacoras de
estabilidad de las nuevas versiones actualizaciones.
de software.
 Se evaluaran las alternativas de Acta de reunion con la
contingencia para las actvidades de administracion y
internet y otras relacionadas con alternativas de
aplicaciones criticas del negocio.Esto solucion para la
se dara por la clase de actividades contingencias acordes
que se realizan. Para la mayoria de a las actividades mas
los casos son herramientas comunes de la
ofimaticas locales. organización.