1. La entidad define el alcance y los lmites del SGSI en trminos de las caractersticas del negocio, la organizacin, activos, A tecnologa e incluyendo los detalles y la justificacin de cualquier exclusin del alcance? 2. La empresa cumple con un marco de referencia para establecer objetivos con un sentido de direccin general o principios de accin con relacin a la seguridad de la informacin? 3. La empresa ha demostrado preocupacin por los requerimientos comerciales, legales u obligaciones de la B seguridad contractual? 4. La direccin ha entendido los riesgos y los ha asumido o ha encaminado mecanismos para mitigarlos? 5. Se cuenta con personal capacitado para la realizacin de un anlisis de riesgos? 6. Se ha definido un mecanismo para confirmar que las gerencias estn en conocimiento? 7. Se ha definido un plan de trabajo? 8. Se ha definido una metodologa de clculo del riesgo adecuado para el SGSI de la informacin comercial? C 9. la empresa ha desarrollado criterios para aceptar los riesgos e identificar los niveles de riesgos aceptables? 10. La metodologa elegida ha sido aprobada por la direccin? 11. La direccin alguna vez ha encaminado un relevamiento de procesos crticos y/o activos crticos (mapa de procesos activos)? 12. La entidad ha identificado amenazas para aquellos activos crticos? D 13. Cmo parte del anlisis se ha incluido la identificacin de amenazas, vulnerabilidades e impacto? 14. La empresa se ha preocupado por el impacto que pueden tener las prdidas de confiabilidad, integridad y disponibilidad sobre los activos? 15. La empresa ha calculado el impacto comercial que podra resultar una falla en la seguridad, tomando en cuenta las consecuencias de una perdida de confidencialidad, integridad o disponibilidad de los activos? 16. La entidad ha calculado una probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los E controles implementados actualmente? 17. Se ha contratado a una empresa externa para realizar el anlisis de riesgos? Se cuenta con un anlisis de riesgo previo? 18. La empresa ha determinado si el riesgo es aceptable o requiere tratamiento utilizando el criterio de aceptacin del riesgo ya establecido? 19. La empresa aplica los controles apropiados para mitigar el riesgo?
SI NO
20. La organizacin acepta los riesgos consciente y objetivamente,
siempre que satisfagan claramente las polticas y el criterio de aceptacin del riesgo de la entidad? F 21. De acuerdo al tratamiento de los riesgos la empresa ha evitado los riesgos? 22. La entidad ha transferido los riesgos comerciales a otras empresas? 23. La empresa ha seleccionado objetivos de control y controles G para el tratamiento de riesgos? 24. La entidad cuenta con la aprobacin de la gerencia para los H riesgos residuales propuestos? 25. Se cuenta con la autorizacin de la gerencia para implementar y I operar el SGSI? 26. J 27. 28. 4.2.2. Implementar y operar el SGSI 29. La empresa ha formulado un plan de tratamiento de riesgo que identifique la accin gerencial apropiada, los recursos, las A responsabilidades y prioridades para manejar los riesgos de la seguridad de informacin? 30. La entidad ha implementado un plan de tratamiento de riesgo para poder lograr los objetivos de control identificados, los cuales B incluyen tener en consideracin el financiamiento y asignacin de roles y responsabilidades? 31. La empresa ha implementado los controles seleccionados para C satisfacer los objetivos de control? 32. La organizacin ha definido como medir la efectividad de los controles o grupos de controles seleccionados y especificar como D se van a utilizar estas mediciones para evaluar la efectividad del control para producir resultados comparables y reproducibles? 33. La empresa ha implementado los programas de capacitacin y E conocimientos? 34. La organizacin maneja las operaciones del SGSI? F 35. Maneja recursos la empresa para el SGSI? G 36. La entidad ha implementado procedimientos y otros controles capaces de permitir una pronta deteccin de respuesta a H incidentes de seguridad? 4.2.3. Monitorear y revisar el SGSI 37. La organizacin ha detectado prontamente los errores en los resultados de procesamiento? 38. Se han identificado prontamente los incidentes y violaciones de seguridad y fallidos exitosos? 39. La empresa le permite a la gerencia determinar si las actividades de seguridad delegada a las personas o A implementada mediante la tecnologa de informacin, se estn realizando como se esperaba? 40. La entidad ayuda a detectar los eventos de seguridad, evitando as los incidentes de seguridad mediante el uso de indicadores? 41. Se ha determinado si son efectivas las acciones tomadas para
resolver una violacin de seguridad?
42. La entidad realiza revisiones regulares de la efectividad del SGSI tomando en cuenta los resultados de auditoras de B seguridad, incidentes, mediciones de seguridad, sugerencias y retroalimentacin de todas las partes interesadas? 43. La empresa mide la efectividad de los controles para verificar C que hayan cumplido los requerimientos de seguridad? 44. 45. D 46. 47. 48. 49. 50. La empresa realiza auditorias SGSI internas a intervalos E planeados? 51. La organizacin realiza una revisin gerencial del SGSI sobre una base regular para asegurar que el alcance permanezca F adecuado y se identifiquen las mejoras en el proceso SGSI? 52. La entidad actualiza los planes de seguridad para tomar en cuenta los descubrimientos de las actividades de monitoreo y G revisin? 53. La empresa registra las acciones y eventos que podran tener H un impacto sobre la efectividad o desempeo del SGSI? 4.2.4. Mantener y mejorar el SGSI 54. La empresa implementa las mejoras identificadas en el SGSI? A 55. La empresa ha aplicado las elecciones aprendidas de las B experiencias de seguridad de otras organizaciones y aquellas de la organizacin misma? 56. La entidad comunica los resultados y acciones a todas las partes interesadas con un nivel de detalle apropiado de acuerdo C a las circunstancias y, cuando sea relevante, acordar cmo proceder? 57. La organizacin asegura que las mejoras logren sus objetivos D sealados?