UNIVERSIDAD ANDINA DEL CUSCO

FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

INFORME:

“PROPUESTA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN, BASADO EN LA ISO/IEC 27001:2014, PARA LA
DIRECCIÓN REGIONAL DE EDUCACIÓN DEL CUSCO”

PRESENTADO POR:

O AGUILAR HILARI, OLIVER ELVIS

O CAMALA PAUCAR, LUIS ALBERTO
O CHOQUE FLORES, JOSÉ ROBERTO
O CURI HUALLPACUNA, INTY
O UGARTE PORTILLA, FREDY ÁNGEL
O VEGA CHAMPI, XAVIER FRANCOIS

DOCENTE:
O ING. PALOMINO OLIVERA, EMILIO

CUSCO – PERU
2018

1
1 INTRODUCCIÓN
La Dirección Regional de Educación Cusco es un órgano especializado del Gobierno
Regional del Cusco, responsable del servicio educativo en el ámbito de la Región Cusco,
encargado de planificar, ejecutar y administrar las políticas y planes regionales en materia
de educación, cultura, deporte, recreación, ciencia y tecnología, con participación de los
diferentes actores sociales a fin de asegurar servicios educativos y programas de atención
integral de calidad y equidad en las instituciones y programas educativos. Commented [FAUP1]: Según quién, hay que citar esto

Actualmente, la Dirección Regional del Cusco cuenta con muchos retos propios a su
competencia. Entre estos, destacan los relacionados a la seguridad de la información,
pues, debido al constante intercambio de información entre distintas entidades, personal
y usuarios, aparecen riesgos potenciales que pueden comprometer el éxito e incluso la
subsistencia de la organización. Commented [FAUP2]: Cómo aseguras esto

La solución planteada a este problema es un Sistema de Gestión de Seguridad de

Información (SGSI), el cual cuenta con el estándar ISO 27001:2014 como marco formal
de requisitos a cumplir. Este sistema permitirá a los directivos y demás involucrados
gestionar y tomar decisiones adecuadas respecto a la seguridad de información de la
organización, para asegurar que cuente con niveles adecuados de confidencialidad,
integridad y disponibilidad de la información crítica que se maneja como parte de su
operación. Commented [FAUP3]: Qué respalda lo que dices

En este informe se especifican cuatro fases cíclicas del SGSI:

 Establecimiento, donde las bases del sistema se integran a los procesos del
negocio
 Implementación, que desarrolla los mecanismos para la adecuada administración
de la seguridad
 Mantenimiento, donde se detectan fallos que pueden existir en la organización o
en el propio sistema;
 Mejora, que permite cerrar el ciclo mediante la aplicación de todas las
correcciones y optimizaciones significativas que han sido detectadas. Commented [FAUP4]: Bien

Este modelo permite que el sistema opere bajo un principio de mejora continua, que
beneficia permanentemente a la organización, propiciando un manejo adecuado de
la seguridad de su información. Commented [FAUP5]: Cómo puedes asegurar esto,
cita!!

2
2 Contenido
1 INTRODUCCIÓN ................................................................................................................................. 2
2.1 CAPÍTULO I: ASPECTOS GENERALES ............................................................................ 4
1.1 DESCRIPCIÓN ............................................................................................................................. 4
1.2 IDENTIFICACIÓN DEL PROBLEMA.................................................................................. 4
1.3 OBJETIVOS .................................................................................................................................. 5
2.2 OBJETIVOS GENERALES ...................................................................................................... 5
OBJETIVOS ESPECIFICOS .............................................................................................................. 5
2.3 DELIMITACIÓN ......................................................................................................................... 5
2.4 JUSTIFICACION ......................................................................................................................... 5
2.5 METODOLOGÍA SGSI .............................................................................................................. 5
3 MARCO TEÓRICO .............................................................................................................................. 6
3.1 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ............................... 6
3.2 INFORMACIÓN. ......................................................................................................................... 6
3.3 SEGURIDAD DE INFORMACIÓN ....................................................................................... 7
3.4 SISTEMA DE GESTIÓN ........................................................................................................... 7
3.5 CONFIDENCIALIDAD. ............................................................................................................ 7
3.6 INTEGRIDAD. ............................................................................................................................. 7
3.7 DISPONIBILIDAD...................................................................................................................... 7
3.8 RIESGO. ......................................................................................................................................... 7
3.9 CONTROL. .................................................................................................................................... 7
3.10 VULNERABILIDAD. ................................................................................................................. 7
3.11 AMENAZA.................................................................................................................................... 8
3.12 CONSECUENCIA. ...................................................................................................................... 8
3.13 PROPIETARIO DEL RIESGO ................................................................................................. 8
3.14 REQUISITO. ................................................................................................................................. 8
3.15 ESTÁNDARES INVOLUCRADOS........................................................................................ 8
4 PROCESOS Y CONTROLES ................................................................................................................. 9
4.1 PROCESO: DOTACIÓN DEL PERSONAL EN IIEE ................................................................ 9
4.1.1 CONTROLES DEL PROCESO .......................................................................................... 11
4.1.2 FORMATO DE LOS CONTROLES .................................................................................. 12
5 BIBLIOGRAFÍA.................................................................................................................................. 13

3
2.1 CAPÍTULO I: ASPECTOS GENERALES

1.1 DESCRIPCIÓN
La Dirección Regional de Educación Cusco integrante del Gobierno Regional del Cusco,
tiene como tarea la promoción del desarrollo de la persona, modernizar y mejorar la
calidad del servicio, brindar una formación integral y permanente, orientada a desarrollar
equitativamente las capacidades individuales, se caracteriza por su dinamismo en el
marco del proceso de Descentralización, Globalización, la Revolución Científica y
Tecnológica, basado en las TICs, el avance permanente de la información y
comunicación, el nuevo enfoque de la supremacía de los servicios, la calidad y excelencia
del potencial humano que a través de la Educación como proceso de enseñanza -
aprendizaje permanente, son el fundamento del sentido y orientación de nuestra sociedad. Commented [FAUP6]: Falta citar, según quién dices
esto
En los momentos actuales se asiste a una profunda transformación social y económica
definida como la Era del Conocimiento y la mente factura, promoviendo la Educación
para el Aprendizaje y el Saber.
El objetivo fundamental es promover el desarrollo de la persona y garantizar un servicio
educativo de calidad y equidad, respetando la identidad, para que pueda comprender el
mundo y actuar sobre su entorno sustentado en una cultura de valores, a fin de fomentar
la unidad nacional para propiciar mejores condiciones de desarrollo y calidad de vida, a
través de la promoción y difusión de la cultura, el deporte, la ciencia, tecnología y la
búsqueda permanente de una educación de excelencia Commented [FAUP7]: Fuera de contexto

1.2 IDENTIFICACIÓN DEL PROBLEMA

Para realizar las actividades mencionadas en el párrafo anterior es inevitable el
intercambio de información entre entidades, personal y usuarios a los que atienden. Esto
implica la posibilidad de que, dentro de la información intercambiada, pueda encontrarse
alguna de carácter sensible que esté expuesta a riesgos de seguridad de información, que
impacten y comprometan a ambas partes, ya sea en el traslado, procesamiento,
almacenamiento, creación, copia e incluso eliminación. Commented [FAUP8]: Bien pero pertenece al párrafo
anterior
Al respecto, el entorno actual de riesgos respecto a la seguridad de información en esta
institución y sus clientes presentan un escenario retador: espionaje industrial, adulteración
de documentos, colectivos de hackers, alteración ilícita de datos, fuga de información,
sabotaje informático, entre otros. Commented [FAUP9]: De que forma los ataques
mencionados podrían darse en la institución
Por lo expuesto, los directivos de la Dirección Regional del Cusco necesitan garantizar
que, tanto la información que reciben como la que producen como parte de su servicio,
sea asegurada de la manera más adecuada y eficiente. No basta con tomar medidas
relacionadas a la implementación de controles de seguridad de información, sino que estas
deben ser manejadas eficientemente y probar ser efectivas, sin que esto implique
encarecer los costos del servicio.
En conclusión, se requiere una solución para gestionar de manera eficiente y efectiva la
seguridad de información de la Dirección Regional del Cusco (DREC) y, por extensión,
de todas las partes interesadas con las que interactúa, especialmente sus clientes. Commented [FAUP10]: Esto es parte de la justificación

4
1.3 OBJETIVOS

2.2 OBJETIVOS GENERALES

Desarrollar un Sistema de Gestión de Seguridad de Información (SGSI) para la Dirección
Regional de Educación Cusco, tomando como marco normativo el estándar ISO/IEC
27001:2014.
OBJETIVOS ESPECIFICOS

 Crear los componentes requeridos para establecer el SGSI: Marco documental, contexto
de la organización, requisitos de los interesados, alcance, política de seguridad de
información y roles del sistema.
 Crear los componentes requeridos para implementar el SGSI: Gestión de riesgos,
objetivos de seguridad de información, concientización y operación del sistema. Commented [FAUP11]: masomenos

2.3 DELIMITACIÓN
El alcance del proyecto abarca a la creación de los componentes del Sistema de Gestión
de Seguridad de Información (SGSI), para sus cuatro fases de operación: establecer,
implementar, mantener y mejorar. Estos componentes se aplicarán en los procesos
seleccionados en la consultora de desarrollo y calidad de software. Se limita la
elaboración de los componentes del sistema a los indicados en el estándar ISO/IEC
27001:2014 y otros marcos que esta referencia. Commented [FAUP12]: mal

2.4 JUSTIFICACION
Como se ha indicado, el problema se origina en los riesgos intrínsecos relacionados a la
pérdida de confidencialidad, integridad y disponibilidad de la información, tanto en la
operación de la consultora de software como en la interacción con sus clientes. Por ello,
se han buscado alternativas que constituyan una herramienta para la administración de la
seguridad de información, que atienda las necesidades de la organización de manera
efectiva.
Entonces de acuerdo a la ISO/IEC 27001:2014 el producto para estructurar el gobierno,
gestión y operación de la seguridad de información en la Dirección Regional de
Educación del Cusco, se denominará Sistema de Gestión de Seguridad de la Información
(SGSI), tal como lo establece ese estándar y es lo que propone este documento. Commented [FAUP13]: mal

2.5 METODOLOGÍA SGSI

Este ciclo se basa en 4 etapas progresivas y cíclicas: Plan (Planificar), Do (Hacer), Check
(Verificar), Act (Actuar). En este caso para el SSI se traducirían en las fases de
Diagnóstico, Planificación, Implementación y Evaluación.
A continuación, pasaremos a definir estas etapas:

1 Diagnóstico: Es la fase en la que se debe “hacer recuento” de los activos de la

información de la entidad pertinente y clasificarlos, de esta forma queda el llamado
“Inventario de activos” que sufrirá constantes modificaciones fruto de las

5
 actualizaciones del propio ciclo del sistema. En esta etapa deben ser identificados los
riesgos a los que se encuentran expuestos estos activos para poder adoptar los
controles necesarios para mitigarlos.

2 Planificación: Es la fase en la que una vez identificados los controles se establece la

manera de llevarlos a cabo de forma organizada a través del establecimiento de un
Programa de Trabajo Anual en el que deben identificarse, hitos, responsables, fechas,
realizar su difusión…). Es la etapa donde, además, deben definirse los indicadores
que van a medir la efectividad del Sistema de Seguridad de la Información. Así como
establecer el Marco General para la seguridad de la información.
3 Implementación: Esta fase se basa en poner en marcha el programa anteriormente
establecido a través de las iniciativas planteadas en el Programa de Trabajo, así como
realizar la medición de indicadores.
4 Evaluación: Es la etapa de análisis de lo realizado en las fases anteriores, de manera
que tras la implementación podamos obtener recomendaciones, difundir los
resultados y establecer compromisos. Es muy importante que los avances realizados
se mantengan, para ello es necesario aplicar revisiones periódicas, cumplir las metas,
actualizar el inventario de activos y gestionar los riesgos. Commented [FAUP14]: maso

3 MARCO TEÓRICO
Todas las definiciones mostradas a continuación provienen de la ISO/IEC 27000:2014 [01],
marco referencial para comprender los términos en los estándares de la familia 27000.

3.1 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN

Un Sistema de Gestión de Seguridad de la Información (SGSI) consiste en políticas,
procedimientos, directrices, recursos asociados y actividades, gestionadas colectivamente por una
organización, en la búsqueda de la protección de sus activos de información. Un SGSI es un
enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar
la seguridad de la información de una organización para alcanzar los objetivos de negocio. Se
basa en la evaluación del riesgo y los niveles de aceptación del riesgo de la organización, diseñada
para tratar y gestionar los riesgos de manera efectiva. Analizar requisitos para la protección de
los activos de información aplicar los controles adecuados para garantizar su protección, según
sea necesario, contribuye a la implementación exitosa de un SGSI. (ISO/IEC 27000: 2014 - 3.2.1)

3.2 INFORMACIÓN.
La información es un activo que, al igual que otros activos de negocio importantes, es esencial
para la misión de una organización y por lo tanto necesita ser protegida de forma adecuada. La
información puede ser almacenada en muchas formas, incluyendo: forma digital (por ejemplo:
archivos de datos almacenados en medios electrónicos u ópticos), forma material (por ejemplo:
en el papel), así como la información no estructurada en la forma de conocimiento de los
empleados. La información puede ser transmitida por diversos medios, incluyendo: mensajería,
comunicación electrónica o verbal. Cualquiera que sea la forma que adopte la información o el
medio por el cual sea transmitida, siempre se necesita una protección adecuada. En muchas
organizaciones la información depende de la tecnología de la información y las comunicaciones.

6
Esta tecnología es usualmente un elemento esencial en la organización y permite facilitar la
creación, procesamiento, almacenamiento, transmisión, protección y destrucción de la
información. (ISO/IEC 27000: 2014 - 3.2.2)

3.3 SEGURIDAD DE INFORMACIÓN

La seguridad de información incluye tres dimensiones principales: la confidencialidad,
disponibilidad e integridad. Consiste en la aplicación y gestión de medidas de seguridad
apropiadas, lo que implica la consideración de una amplia gama de amenazas, con el fin de
garantizar el éxito y continuidad del negocio, de manera sostenida, y la minimización de los
impactos de los incidentes de seguridad de la información. Esto se logra mediante la
implementación de un conjunto aplicable de controles, seleccionados a través del proceso de
gestión de riesgos y administrados utilizando un SGSI; incluye las políticas, procesos,
procedimientos, estructuras organizacionales, software y hardware para proteger los activos de
información identificados. Estos controles deben ser especificados, implementados,
monitoreados, revisados y mejorados cuando necesario, para asegurar que se cumplen los
objetivos específicos de seguridad de información y del negocio son logrados. Se espera que los
controles de seguridad de la información relevantes se integren a la perfección con los procesos
de negocio de la organización. (ISO/IEC 27000: 2014 - 3.2.3)

3.4 SISTEMA DE GESTIÓN

Un sistema de gestión utiliza un marco de recursos para lograr los objetivos de una organización.
El sistema de gestión incluye la estructura organizativa, políticas, planificación de actividades,
responsabilidades, prácticas, procedimientos, procesos y recursos. (ISO/IEC 27000: 2014 - 3.2.5)

3.5 CONFIDENCIALIDAD.
Propiedad de la limitación o restricción de la información a individuos, entidades o procesos no
autorizados. (ISO/IEC 27000: 2014 - 2.61)

3.6 INTEGRIDAD.
Propiedad de [la información de] exactitud y completitud. (ISO/IEC 27000: 2014 - 2.40)

3.7 DISPONIBILIDAD.
Propiedad de [la información de] ser accesible o usable cuando sea demandada por una entidad
autorizada. (ISO/IEC 27000: 2014 - 2.9)

3.8 RIESGO.
Efecto que genera incertidumbre sobre [el logro de] los objetivos [de seguridad de información].
(ISO/IEC 27000: 2014 - 2.68)

3.9 CONTROL.
Medida que modifica la situación del riesgo. (ISO/IEC 27000: 2014 - 2.68)

3.10 VULNERABILIDAD.
Debilidad de un activo o control que puede ser explotada por una o más amenazas. (ISO/IEC
27000: 2014 - 2.83)

7
3.11 AMENAZA.
Causa potencial de un incidente inesperado, que podría resultar e daño a un sistema o a la
organización. (ISO/IEC 27000: 2014 - 2.83)

3.12 CONSECUENCIA.
Resultado de un evento, que afecta a los objetivos. Un evento puede llevar a un rango de
consecuencias. Una consecuencia puede ser certera o incierta y en el contexto de la seguridad de
información es usualmente negativa. Las consecuencias pueden ser expresadas de modo
cualitativo o cuantitativo. Las consecuencias iniciales pueden escalar a través de efectos
derivados. (ISO/IEC 27000: 2014 - 2.14)

3.13 PROPIETARIO DEL RIESGO

Persona o entidad con la capacidad y autoridad para gestionar un riesgo. (ISO/IEC 27000: 2014 -
2.68)

3.14 REQUISITO.
Necesidad o expectativa que está establecida, generalmente implícita u obligatoria.
"Generalmente implícita" significa que es costumbre o práctica común para la organización y
partes interesadas cuya necesidad o expectativa bajo consideración es implícita. Un requerimiento
especificado es aquel que está establecido, por ejemplo, en información documentada. (ISO/IEC
27000: 2014 - 2.63)

3.15 ESTÁNDARES INVOLUCRADOS

ISO/IEC 27001:2013 Tecnología de Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad de Información. Requerimientos [02]
Es la última versión del estándar que establece los requisitos para los sistemas de gestión de
seguridad de información. Define los requerimientos necesarios para el adecuado establecimiento,
implementación, mantenimiento y mejora continua de un Sistema de Gestión de Seguridad de la
Información (SGSI). Es un estándar certificable.
ISO/IEC 27000:2014 Tecnología de Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad de Información. Descripción y vocabulario [01]
Contiene el glosario de términos y definiciones para la familia 27000. El contenido de este
documento debe ser tomado en cuenta para el adecuado enfoque y entendimiento de las cláusulas
y requisitos que exponen los estándares 27001, 27002, 27005, entre otros.
ISO/IEC 27002:2013 Tecnología de Información. Técnicas de Seguridad. Código de
prácticas para controles de seguridad de información [03]
Desarrolla a un nivel más detallado los controles de seguridad de información listados en el anexo
A de la ISO/IEC 27001: 2013. Especifica la forma en que deberían implementarse los controles
gobernados mediante el SGSI.
ISO/IEC 27003:2010 Tecnología de Información. Técnicas de Seguridad. Directrices para
la implementación de un sistema de gestión de seguridad de información [04]
Propone una guía de implementación para un SGSI, para lo cual indica etapas, documentos y roles
que pueden permitir la adecuada atención de los requisitos establecidos en la ISO/IEC 27001:
2013. Sin embargo, los lineamientos indicados en este documento no son de cumplimiento

8
obligatorio, ya que es una propuesta de implementación que no pretende reemplazar a los
requisitos que establece la ISO/IEC 27001: 2013. Este estándar fue publicado el 2010, antes de la
última versión de la ISO/IEC 27001: 2013, por lo que su desarrollo no está diseñado para atender
todos los requisitos de este último.
ISO/IEC 27004:2009 Tecnología de Información. Técnicas de Seguridad. Gestión de
Seguridad de Información. Medición [05]
Este estándar propone un marco para la definición y obtención objetiva de métricas, en el marco
de un SGSI, las cuales deberán estar relacionadas a los requisitos, objetivos y controles de
seguridad de información, de manera que se conviertan en indicadores de la efectividad del
sistema.
ISO/IEC 27005:2008 Tecnología de Información. Técnicas de Seguridad. Gestión del Riesgo
en Seguridad de Información [06]
Este estándar propone un marco para la gestión de riesgos de seguridad de la información, bajo
un enfoque en cuatro etapas: inventario, análisis, evaluación y tratamiento de los riesgos de
seguridad de información. Si bien constituye un esquema válido para la gestión de riesgos en
seguridad de información, está más enfocado en la versión precedente del estándar 27001 (2005).
Se debe tomar en cuenta que la nueva versión del estándar, selecciona como nuevo marco
referencial de riesgos a la ISO 31000:2009 [07].
ISO 31000:2009 Gestión del Riesgo. Principios y Directrices [07] Propone un marco para la
gestión de riesgos y oportunidades, a partir de una evaluación del contexto de la
organización.
Este enfoque es referenciado por la ISO/IEC 27001:2013 [02], como fuente para establecer el
contexto de la organización, además de identificar, evaluar y tratar los riesgos y oportunidades de
seguridad de información.
IEC 31010:2009 Gestión de Riesgo. Técnicas de Apreciación del Riesgo [08] Propone
técnicas y estrategias para la identificación y evaluación de riesgos y oportunidades de
seguridad de información de la organización, complementando las directrices establecidas
en la ISO 31000:2009.
Entre las estrategias propuestas se mencionan la técnica Delphi, la aplicación de Listas de
Verificación, Análisis de Riesgos Preliminar (PHA), HAZOP, Análisis de peligros y puntos
críticos de control (HACCP), Evaluación de Toxicidad, Técnica Estructurada "WHAT-IF"
(SWIFT), Análisis de Escenarios, Análisis de Impacto en el Negocio (BIA), entre otros.

4 PROCESOS Y CONTROLES

4.1 PROCESO: DISTRIBUCIÓN DE MATERIALES Y RECURSOS EDUCATIVOS PARA

IEE, PROGRAMAS Y CENTRO DE RECURSOS EDUCATIVOS

9
ORGANO: UNIDAD ORGÁNICA: ÁREA DE ADMINISTRACION
ADMINISTRACION
DENOMINACIÓN DEL OBJETIVO DEL PROCEDIMIENTO:
PROCEDIMIENTO: Establecimiento pautas, pasos y actividades que deben
DOTACIÓN DE implementar para asegurar la dotación oportuna de materiales
PERSONAL EN IIEE educativos a nivel nacional para garantizar el buen inicio del
año escolar
INICIO DEL TIPO DE USUARIO: TIEMPO ESTIMADO
PROCEDIMIENTO: Interno DEL PROCEDIMIENTO
ABASTECIMIENTO Externo 2 meses y medio

N° ÁREA RESPONSABLE ACTIVIDADES

01 ALMACEN Recepción de materiales educativos
02 ABASTECIMIENTO Solicitar requerimiento de transporte para la
distribución de los materiales educativos
03 ABASTECIMIENTO Establecer un cronograma de fecha de
distribución a los distritos
04 AGP Realizar seguimiento a la ejecución del transporte
de la UGEL a la IEE
05 ALMACEN Coordina con la empresa la distribución de los
materiales educativos
06 ALMACEN Distribuir materiales educativos según lista y
cronograma
07 DIRECTOR DE LA IE Recepciona Materiales Educativos
08 ALMACEN Realizar un informe de ejecución del servicio de
distribución de UGEL a IEE
09 ABASTECIMIENTO Verificar y realizar informe de ejecución del
servicio
10 ABASTECIMIENTO Otorgar conformidad al servicio de tranporte para
el pago correspondiente

10
4.1.1 CONTROLES DEL PROCESO
A.15.2 Gestión de entrega de servicios del proveedor
A.15.2.1 Monitoreo y revisión de servicios de los proveedores
Objetivo: Mantener un nivel de seguridad de la información y entrega de servicios
acordado en línea con los acuerdos con proveedores
A.15.2.1 Monitoreo y Control
revisión de Las organizaciones deben monitorear,
servicios de revisar y auditar regularmente la entrega
los de servicios por parte de los proveedores
proveedores
A.15.2 Gestión de entrega de servicios de los proveedores
A.15.2.2 Gestión de cambios a los servicios de proveedores

11
 Objetivo: Mantener un nivel de seguridad de la información y entrega de servicios
acordado en línea con los acuerdos con proveedores
A.15.2.2 Gestión de Control
cambios a Los Cambios a la provisión de servicios por
los servicios parte de proveedores incluyendo el
de mantenimiento y controles existentes de
proveedores seguridad de la información deben ser
gestionadas tomando en cuenta la
criticidad de la información de negocio,
sistemas y procesos involucrados y una
reevaluación de riesgos

4.1.2 FORMATO DE LOS CONTROLES

ORGANO: DIRECCION R/PT
CUESTIONARIO DE CONTROL DE SELECCIÓN C2
PROCESO DISTRIBUCION DE MATERIALES Y RECURSOS EDUCATIVOS
PARA LA IEE, PROGRAMAS Y CENTROS DE RECURSOS
EDUCATIVOS
CONTROL A.15.2.1 Monitoreo y revisión de servicios de los proveedores
OBJETIVO DE Las organizaciones deben monitorear, revisar y auditar regularmente
CONTROL la entrega de servicios por parte de los proveedores
INSTITUCIÓN Institución educativa “A”,”B”,”C”,…”N”
DOCENTE Docente “A”,”B”,”C”,…”N”
RESPONSABLE CARGO PREGUNTA SI NO
Técnico ¿Cuenta con el material educativos
necesario “A”,”B”,”C”,…”N”?
Personal ¿Cuenta el documento de
requerimientos de entrega de
materiales “A”,”B”,”C”,…”N”?
Proyecto ¿cuenta con documento de
seguimiento de entrega de materiales
“A”,”B”,”C”,…”N”?
Administración ¿Cuenta con el cronograma de
entrega a las IEE “A”,”B”,”C”,…”N”?
Director ¿Cuenta con documentos de
recepción de mterial“A”,”B”,”C”,…”N”?

ORGANO: DIRECCIÓN R/PT

CUESTIONARIO DE CONTROL DE CLASIFICACIÓN DE LA C2
INFORMACIÓN
PROCESO DISTRIBUCION DE MATERIALES Y RECURSOS EDUCATIVOS
PARA LA IEE, PROGRAMAS Y CENTROS DE RECURSOS
EDUCATIVOS
CONTROL A.15.2.2 Gestión de cambios a los servicios de proveedores
OBJETIVO DE Los Cambios a la provisión de servicios por parte de proveedores
CONTROL incluyendo el mantenimiento y controles existentes de seguridad de
la información deben ser gestionadas tomando en cuenta la criticidad
de la información de negocio, sistemas y procesos involucrados y una
reevaluación de riesgos
INSTITUCIÓN Institución educativa “A”,”B”,”C”,…”N”
DOCENTE Docente “A”,”B”,”C”,…”N”

12
 RESPONSABLE CARGO PREGUNTA RPTA N.P.
Técnico ¿maneja un documento de registro e
proveedores?
Técnico ¿existe un plan de gestión de
transporte de proveedores?
Técnico ¿Cómo se garantiza el correcto
etiquetado?
Técnico ¿cuenta con documento de recepción
del proveedor?
Técnico ¿cuenta con documento de entrega
del proveedor?

5 BIBLIOGRAFÍA
DREC. (2015). Manuel de organización y funciones de la DREC. Cusco: Dirección de
gestión institucional racionalización.
DREC. (2015). Reglamento de organización y funciones de la DREC. Cusco: Dirección
de gestión institucional racionalización.
pmg-ssi. (1 de 08 de 2013). Obtenido de pmg-ssi: https://www.pmg-ssi.com/2013/08/el-
ciclo-pdca-en-el-pmg-ssi/

13