You are on page 1of 70

AUTODIAGNSTICO SGSI LOGRO 1: DEFI

Por favor, conteste la siguiente encuesta de acuerdo con el instructivo.

Estado

Cumple satisfactoriamente

Cumple parcialmente

No cumple

ITEM PREGUNTA
1 La entidad cuenta con un autodiagnstico realizado para medir el avance en el establecimiento, implem
2 mantenimiento
La entidad creyun
mejora
caso continua deosu
de estudio SGSI
plan (Sistema
inicial de Gestin
del proyecto, dese
donde Seguridad de la
incluyen las informacin?
prioridades y obje
implementacin del SGSI?

3 La entidad cont con la aprobacin de la direccin para iniciar el proyecto del SGSI?

4 La entidad ha identificado los aspectos internos y externos que pueden afectar en el desarrollo del pro
implementacin del sistema de gestin de seguridad de la informacin?
5 La entidad ha identificado las partes interesadas, necesidades y expectativas de estas respecto al Sist
Gestin de Seguridad de la Informacin?

6 La entidad ha evaluado los objetivos y las necesidades respecto a la Seguridad de la Informacin?

7 En la entidad se ha definido un Cmite de Seguridad de la Informacin?

8 La entidad cuenta con una definicin del alcance y los lmites del Sistema de Gestin de Seguridad de
Informacin?

9 En la entidad existe un documento de poltica del Sistema de Gestin de Seguridad de la Informacin,


sido aprobado por la Direccin?

10 En la entidad existe un documento de roles, responsabilidades y autoridades en seguridad de la inform

11 La entidad tiene establecido algn proceso para identificar, analizar, valorar y tratar los riesgos de segu
informacin?

12 La entidad ha realizado una declaracin de aplicabilidad que contenga los controles requeridos por la e
13 La entidad ha evaluado las competencias de las personas que realizan, bajo su control, un trabajo que
desempeo de la seguridad de la Informacin?

14 La entidad tiene definido un modelo de comunicaciones tanto internas como externas respecto a la seg
la informacin?

15 La entidad tiene la informacin referente al Sistema de Gestin de Seguridad de la Informacin debida


documentada y controlada?

Fuente: NTC-ISO-IEC 27001:2013


AUTODIAGNSTICO SGSI LOGRO 1: DEFICININ DE MARCO DE SEGURIDAD Y PRIV

e encuesta de acuerdo con el instructivo.

DESCRIPCIN

Existe, es gestionado, se esta cumpliendo con lo que la norma ISO27001 versio n 2013 solicita, esta documenta

Lo que la norma requiere (ISO27001 versio n 2013) se esta haciendo de manera parcial, se esta haciendo difer

No existe y/o no se esta haciendo.

PLANEAR
PREGUNTA
utodiagnstico realizado para medir el avance en el establecimiento, implementacin,
ntinua deosu
estudio SGSI
plan (Sistema
inicial de Gestin
del proyecto, dese
donde Seguridad de la
incluyen las informacin?
prioridades y objetivos para la

obacin de la direccin para iniciar el proyecto del SGSI?

os aspectos internos y externos que pueden afectar en el desarrollo del proyecto de


a de gestin de seguridad de la informacin?
as partes interesadas, necesidades y expectativas de estas respecto al Sistema de
Informacin?

objetivos y las necesidades respecto a la Seguridad de la Informacin?

o un Cmite de Seguridad de la Informacin?

definicin del alcance y los lmites del Sistema de Gestin de Seguridad de la

umento de poltica del Sistema de Gestin de Seguridad de la Informacin, el cual ha


cin?

umento de roles, responsabilidades y autoridades en seguridad de la informacin?

o algn proceso para identificar, analizar, valorar y tratar los riesgos de seguridad de la

a declaracin de aplicabilidad que contenga los controles requeridos por la entidad?


competencias de las personas que realizan, bajo su control, un trabajo que afecta el
d de la Informacin?

n modelo de comunicaciones tanto internas como externas respecto a la seguridad de

cin referente al Sistema de Gestin de Seguridad de la Informacin debidamente


?
ININ DE MARCO DE SEGURIDAD Y PRIVACIDAD DE LA ENTIDAD (30%)

DESCRIPCIN

O27001 versio n 2013 solicita, esta documentado, es conocido y aplicado por todos los involucrados en el SGSI. cumple 1

iendo de manera parcial, se esta haciendo diferente, no esta documentado, se definio y aprobo pero no se gestiona.

PLANEAR
VALORACIN EVIDENCIA
%)

RESUMEN LOGRO 1

TOTAL

dos los involucrados en el SGSI. cumple 100%.


0

efinio y aprobo pero no se gestiona.


0

1
TOTAL

RECOMENDACIN
Diligenciar autodiagnostico de seguridad de
la informacion.
Crear caso de estudio o plan inicial del
proyecto que incluya prioridades y objetivos
del SGSI, estructura del SGSI.

Debe existir un documento preliminar de


aprobacin firmado por parte de la
direccin donde se aprueba el inicio del
proyecto.

Se deben identificar los temas tanto


externos como internos que pueden afectar
el desarrollo de los resultados del sistema.
Se requiere que se identifiquen las partes
interesadas tanto internas como externas,
detallando cules son sus necesidades y
expectativas en la implantacin del Sistema
de Gestin de Seguridad de la Informacin.

Realizar la identificacin de los objetivos y


las necesidades que tiene la entidad
respecto a la seguridad de la Informacin.

Definir mediante acto administrativo el


comite de seguridad de la informacion que
describa las responsabilidades de los
integrantes, reuniones entre otros.

Crear un documento de alcance del


Sistema de Gestin de Seguridad de la
Informacin y sus respectivos lmites en
cuanto a TIC, lmites fsicos, temas internos
y externos.

Crear un documento que defina la poltica


general del Sistema de Gestin de
Seguridad de la Informacin y sus
respectivos lmites. Tener en cuenta
objetivos del SGSI, marco regulatorio, el
cual debe estar debidamente documentado
y socializado.

Se deben definir roles y responsabilidades


para cada etapa de la Implementacin.

Se debe seleccionar una metodologa para


gestionar los riesgos y describir en una
matriz de riesgos los resultados de acuerdo
a los criterios de aceptacin de los mismos.
Nota: Si la entidad ya tiene una matriz de
riesgos, se deben identificar los riesgos que
apunten a la seguridad de la informacin.

Crear documento de declaracin de


aplicabilidad donde se justifique la inclusin
y exclusin de controles del Anexo A de la
norma ISO27001 versin 2013.
Se debe conservar la informacin que
evidencie las competencias del personal
que se encuentre involucrado con la
seguridad de la informacin de la entidad.
Se debe definir un plan de capacitacin con
el fin de que dichas personas adquieran las
competencias respectivas.

Se debe desarrollar un modelo que indique


el contenido de la comunicacin; fechas, a
quin se comunica y quin comunica.

Toda la documentacin generada del


Sistema de Gestin de Seguridad de la
Informacin debe estar debidamente
documentada.
RESUMEN LOGRO 1

PESO

0.0%

0.0%

0.0%

0.0% Autodiagnstico

0.0% Plan de trabajo


0.0%
AUTODIAGNSTICO SGSI LO

Por favor, conteste la siguiente encuesta, de acuerdo con el instructivo.

Estado

Cumple satisfactoriamente

Cumple parcialmente

No cumple

No aplica

ANEXO
A5 POLTICAS DE LA SEGURIDAD DE LA INFORMACION
A5.1 Orientacin de la direccin para la gestin de la seguridad de la informacin
Objetivo: Brindar orientacin y soporte, por parte de la direccin, para la seguridad de la informacin de acuerdo con

A5.1.1 Polticas para la seguridad de la


informacin

A5.1.2 Revisin de las polticas para la


seguridad de la informacin.

A6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION


A6.1 Organizacin interna
Objetivo: Establecer un marco de referencia de gestin para iniciar y controlar la implementacin y operacin de la s

A6.1.1 Roles y responsabilidades para


la seguridad de la informacin
A6.1.2 Separacin de deberes

A6.1.3 Contacto con las autoridades

A6.1.4 Contacto con grupos de inters


especial

A6.1.5 Seguridad de la informacin en


la gestin de proyectos.

A6.2 Dispositivos mviles y teletrabajo


Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos mviles

A6.2.1 Poltica para dispositivos mviles

A6.2.2 Teletrabajo

A7 SEGURIDAD DE LOS RECURSOS HUMANOS


A7.1 Antes de asumir el empleo
Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idneos en los roles pa

A7.1.1 Seleccin

A7.1.2 Trminos y condiciones del


empleo

A7.2 Durante la ejecucin del empleo

Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad d

A7.2.1 Responsabilidades de la
direccin
A7.2.2 Toma de conciencia, educacin y
formacin en la seguridad de la
informacin.

A7.2.3 Proceso disciplinario

A7.3 Terminacin y cambio de empleo


Objetivo: Proteger los intereses de la organizacin como parte del proceso de cambio o terminacin de empleo

A7.3.1 Terminacin o cambio de


responsabilidades de empleo

A8 GESTION DE ACTIVOS
A8.1 Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de proteccin adecuadas.

A8.1.1 Inventario de activos

A8.1.2 Propiedad de los activos

A8.1.3 Uso aceptable de los activos

A8.1.4 Devolucin de activos

A8.2 Clasificacin de la informacin

Objetivo: Asegurar que la informacin recibe un nivel apropiado de proteccin, de acuerdo con su importancia para

A8.2.1 Clasificacin de la informacin

A8.2.2 Etiquetado de la informacin


A8.2.3 Manejo de activos

A8.3 Manejo de medios


Objetivo: Evitar la divulgacin, la modificacin, el retiro o la destruccin no autorizados de informacin almacenada

A8.3.1 Gestin de medio removibles

A8.3.2 Disposicin de los medios

A8.3.3 Transferencia de medios fsicos

A9 CONTROL DE ACCESO
A9.1 Requisitos del negocio para el control de acceso
Objetivo: Limitar el acceso a informacin y a instalaciones de procesamiento de informacin.

A9.1.1 Poltica de control de acceso

A9.1.2 Acceso a redes y a servicios en


red

A9.2 Gestin de acceso de usuarios


Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.

A9.2.1 Registro y cancelacin del


registro de usuarios

A9.2.2 Suministro de acceso de


usuarios

A9.2.3 Gestin de derechos de acceso


privilegiado
A9.2.4 Gestin de informacin de
autenticacin secreta de
usuarios

A9.2.5 Revisin de los derechos de


acceso de usuarios
A9.2.6 Retiro o ajuste de los derechos
de acceso
A9.3 Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su informacin de autenticacin.

A9.3.1 Uso de informacin de


autenticacin secreta

A9.4 Control de acceso a sistemas y aplicaciones


Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
A9.4.1 Restriccin de acceso a la
informacin

A9.4.2 Procedimiento de ingreso


seguro

A9.4.3 Sistema de gestin de


contraseas

A9.4.4 Uso de programas utilitarios


privilegiados

A9.4.5 Control de acceso a cdigos


fuente de programas

A10 CRIPTOGRAFIA
A10.1 Controles criptogrficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografa para proteger la confidencialidad, autenticidad y/o la i

A10.1.1 Poltica sobre el uso de controles


criptogrficos

A10.1.2 Gestin de llaves

A11 SEGURIDAD FISICA Y DEL ENTORNO


A11.1 reas seguras
Objetivo: Prevenir el acceso fsico no autorizado, el dao e la interferencia a la informacin y a las instalaciones de pr

A11.1.1 Permetro de seguridad fsica

A11.1.2 Controles de acceso fsicos


A11.1.3 Seguridad de oficinas, recintos e
instalaciones.

A11.1.4 Proteccin contra amenazas


externas y ambientales.

A11.1.5 Trabajo en reas seguras.

A11.1.6 reas de carga, despacho y


acceso pblico

A11.2 Equipos

Objetivo: Prevenir la perdida, dao, robo o compromiso de activos, y la interrupcin de las operaciones de la organiz

A11.2.1 Ubicacin y proteccin de los


equipos

A11.2.2 Servicios de suministro

A11.2.3 Seguridad en el cableado.

A11.2.4 Mantenimiento de los equipos.

A11.2.5 Retiro de activos

A11.2.6 Seguridad de equipos y activos


fuera de las instalaciones

A11.2.7 Disposicin segura o


reutilizacin de equipos

A11.2.8 Equipos de usuario desatendido

A11.2.9 Poltica de escritorio limpio y


pantalla limpia
A12 SEGURIDAD DE LAS OPERACIONES
A12.1 Procedimientos operacionales y responsabilidades

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de informacin.

A12.1.1 Procedimientos de operacin


documentados

A12.1.2 Gestin de cambios

A12.1.3 Gestin de capacidad

A12.1.4 Separacin de los ambientes de


desarrollo, pruebas y operacin

A12.2 Proteccin contra cdigos maliciosos


Objetivo: Asegurarse de que la informacin y las instalaciones de procesamiento de informacin estn protegidas co

A12.2.1 Controles contra cdigos


maliciosos

A12.3 Copias de respaldo


Objetivo: Proteger contra la perdida de datos

A12.3.1 Respaldo de la informacin

A12.4 Registro y seguimiento


Objetivo: Registrar eventos y generar evidencia

A12.4.1 Registro de eventos

A12.4.2 Proteccin de la informacin de


registro
A12.4.3 Registros del administrador y del
operador

A12.4.4 Sincronizacin de relojes

A12.5 Control de software operacional


Objetivo: Asegurarse de la integridad de los sistemas operacionales
A12.5.1 Instalacin de software en
sistemas operativos

A12.6 Gestin de la vulnerabilidad tcnica


Objetivo: Prevenir el aprovechamiento de las vulnerabilidades tcnicas
A12.6.1 Gestin de las vulnerabilidades
tcnicas

A12.6.2 Restricciones sobre la


instalacin de software
A12.7 Consideraciones sobre auditorias de sistemas de informacin
Objetivo: Minimizar el impacto de las actividades de auditoria sobre los sistemas operativos

A12.7.1 Controles de auditoras de


sistemas de informacin

A13 SEGURIDAD DE LAS COMUNICACIONES


A13.1 Gestin de la seguridad de las redes
Objetivo: Asegurar la proteccin de la informacin en las redes, y sus instalaciones de procesamiento de informacin

A13.1.1 Controles de redes

A13.1.2 Seguridad de los servicios


de red

A13.1.3 Separacin en las redes

A13.2 Transferencia de informacin


Objetivo: Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier entidad ex

A13.2.1 Polticas y procedimientos de


transferencia de
informacin

A13.2.2 Acuerdos sobre


transferencia de
informacin

A13.2.3 Mensajera Electronica


A13.2.4 Acuerdos de
confidencialidad o de no
divulgacin

A14 Adquisicin, desarrollo y mantenimiento de sistemas


A14.1 Requisitos de seguridad de los sistemas de informacin

Objetivo: Asegurar que la seguridad de la informacin sea una parte integral de los sistemas de informacin
para sistemas de informacin que prestan servicios sobre redes .

A.14.1.1 Anlisis y especificacin de


requisitos de seguridad de la
informacin

A.14.1.2 Seguridad de servicios de las


aplicaciones en redes
pblicas

A.14.1.3 Proteccin de transaccciones


de los servicios de las
aplicaciones.

A14.2 Seguridad en los procesos de Desarrollo y de Soporte


Objetivo: Asegurar que la seguridad de la informacin este diseada e implementada dentro del ciclo de vida de des

A.14.2.1 Poltica de desarrollo seguro

A.14.2.2 Procedimientos de control de


cambios en sistemas

A.14.2.3 Revisin tcnica de las


aplicaciones despus de
cambios en la plataforma de
operacin

A.14.2.4 Restricciones en los cambios a


los paquetes de software
A.14.2.5 Principio de Construccin de los
Sistemas Seguros.

A.14.2.6 Ambiente de desarrollo seguro

A.14.2.7 Desarrollo contratado


externamente

A.14.2.8 Pruebas de seguridad de


sistemas
A.14.2.9 Prueba de aceptacin de
sistemas

A14.3 Datos de prueba


Objetivo: Asegurar la proteccin de los datos usados para pruebas.

A.14.3.1 Proteccin de datos de


prueba
A15 RELACIONES CON LOS PROVEEDORES
A15.1 Seguridad de la informacin en las relaciones con los proveedores.
Objetivo: Asegurar la proteccin de los activos de la organizacin que sean accesibles a los proveedores.

A15.1.1 Poltica de seguridad de la


informacin para las relaciones
con proveedores

A15.1.2 Tratamiento de la seguridad


dentro de los acuerdos con
proveedores

A15.1.3 Cadena de suministro de


tecnologa de informacin y
comunicacin

A15.2 Gestin de la prestacin de servicios de proveedores


Objetivo: Mantener el nivel acordado de seguridad de la informacin y de prestacin del servicio en lnea con los acu

A15.2.1 Seguimiento y revisin de los


servicios de los proveedores
A15.2.2 Gestin del cambio en los
servicios de los proveedores

A16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION


A16.1 Gestin de incidentes y mejoras en la seguridad de la informacin
Objetivo: Asegurar un enfoque coherente y eficaz para la gestin de incidentes de seguridad de la informacin, inclui

A16.1.1 Responsabilidades y
procedimientos
A16.1.2 Reporte de eventos de
seguridad de la informacin

A16.1.3 Reporte de debilidades de


seguridad de la informacin

A16.1.4 Evaluacin de eventos de


seguridad de la informacin y
decisiones sobre ellos

A16.1.5 Respuesta a incidentes de


seguridad de la informacin

A16.1.6 Aprendizaje obtenido de los


incidentes de seguridad de la
informacin

A16.1.7 Recoleccin de evidencia

A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTION DE CONTINUIDAD DE NEGOCIO


A17.1 Continuidad de Seguridad de la informacin
Objetivo: La continuidad de seguridad de la informacin se debe incluir en los sistemas de gestin de la continuidad

A17.1.1 Planificacin de la continuidad


de la seguridad de la
informacin
A17.1.2 Implementacin de la
continuidad de la seguridad de
la informacin

A17.1.3 Verificacin, revisin y


evaluacin de la continuidad de
la seguridad de la informacin

A17.2 Redundancias
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de informacin.

A17.2.1 Disponibilidad de instalaciones


de procesamiento de
informacin

A18 CUMPLIMIENTO
A18.1 Cumplimiento de requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentacin o contractuales relacio
seguridad.
A18.1.1 Identificacin de la legislacin
aplicable.

A18.1.2 Derechos propiedad intelectual


(DPI)

A18.1.3 Proteccin de registros

A18.1.4 Privacidad y proteccin de


informacin de datos personales

A18.1.5 Reglamentacin de controles


criptogrficos.

A18.2 Revisiones de seguridad de la informacin


Objetivo: Asegurar que la seguridad de la informacin se implemente y opere de acuerdo con las polticas y procedim

A18.2.1 Revisin independiente de la


seguridad de la informacin

A18.2.2 Cumplimiento con las polticas y


normas de seguridad

A18.2.3 Revisin del cumplimiento


tcnico

Fuente: NTC-ISO-IEC 27001:2013


AUTODIAGNSTICO SGSI LOGRO 2: IMPLEMENTACIN DEL PLAN DE SSEGURIDAD Y PRIVACI

e acuerdo con el instructivo.

Significado

Existe, es gestionado, se est cumpliendo con lo que la norma solicita, est documentado, es conocido y aplicado po

Lo que la norma requiere se est haciendo de manera parcial, se est haciendo diferente, no est documentado, se

No existe y/o no se est haciendo.

El control no es aplicable para la entidad. En el campo evidencia por favor indicar la justificacin respectiva de su no

ANEXO
URIDAD DE LA INFORMACION
ccin para la gestin de la seguridad de la informacin
e, por parte de la direccin, para la seguridad de la informacin de acuerdo con los requisitos del negocio y con las leyes y reglamentos p

Control: Se debe definir un conjunto de polticas para la seguridad de la informacin, aprobada por la direccin, publicada y co
empleados y a las partes externas pertinentes.

Control: Las polticas para la seguridad de la informacin se deben revisar a intervalos planificados o si ocurren cambios signifi
asegurar su conveniencia, adecuacin y eficacia continuas.

A SEGURIDAD DE LA INFORMACION

encia de gestin para iniciar y controlar la implementacin y operacin de la seguridad de la informacin dentro de la organizacin.

Control: Se deben definir y asignar todas las responsabilidades de la seguridad de la informacin.


Control: Los deberes y reas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificacin no
intencional, o el uso indebido de los activos de la organizacin

Control: Se deben mantener contactos apropiados con las autoridades pertinentes.

Control: Se deben mantener contactos apropiados con grupos de inters especial u otros foros y asociaciones profesionales es
seguridad

Control: La seguridad de la informacin se debe tratar en la gestin de proyectos, independientemente del tipo de proyecto.

teletrabajo
eletrabajo y el uso de dispositivos mviles

Control: Se deben adoptar una poltica y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el
dispositivos mviles.

Control: Se deben implementar una poltica y unas medidas de seguridad de soporte, para proteger la informacin a la que se
que es procesada o almacenada en los lugares en los que se realiza teletrabajo.

ECURSOS HUMANOS
mpleo
y contratistas comprenden sus responsabilidades y son idneos en los roles para los que se consideran.

Control: Las verificaciones de los antecedentes de todos los candidatos a un empleo se deben llevar a cabo de acuerdo con las
reglamentaciones y tica pertinentes y deben ser proporcionales a los requisitos de negocio, a la clasificacin de la informacin
tener acceso y a los riesgos percibidos.

Control: Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las de la organizac
seguridad de la informacin.

del empleo

ados y contratistas tomen conciencia de sus responsabilidades de seguridad de la informacin y las cumplan.

Control: La direccin debe exigir a todos los empleados y contratista la aplicacin de la seguridad de la informacin de acuerdo
y procedimientos establecidos por la organizacin.
Control: Todos los empleados de la organizacin, y en donde sea pertinente, los contratistas, deben recibir la educacin y la fo
de conciencia apropiada, y actualizaciones regulares sobre las polticas y procedimientos de la organizacin pertinentes para su

Control: Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados que
una violacin a la seguridad de la informacin.

de empleo
rganizacin como parte del proceso de cambio o terminacin de empleo

Control: Las responsabilidades y los deberes de seguridad de la informacin que permanecen validos despus de la terminaci
empleo de deben definir, comunicar al empleado o contratista y se deben hacer cumplir.

os activos
acionales y definir las responsabilidades de proteccin adecuadas.

Control: Se deben identificar los activos asociados con informacin e instalaciones de procesamiento de informacin, y se debe
mantener un inventario de estos activos.

Control: Los activos mantenidos en el inventario deben tener un propietario.

Control: Se deben identificar, documentar e implementar reglas para el uso aceptable de informacin y de activos asociados co
instalaciones de procesamiento de informacin.

Control: Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organizacin que se encuen
terminar su empleo, contrato o acuerdo.

ormacin

recibe un nivel apropiado de proteccin, de acuerdo con su importancia para la organizacin.

Control: La informacin se debe clasificar en funcin de los requisitos legales, valor, criticidad y susceptibilidad a divulgacin o
autorizada.

Control: Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la informacin, de
esquema de clasificacin de informacin adoptado por la organizacin.
Control: Se deben desarrollar e implementar procedimientos para el manejo de activos, de acuerdo con el esquema de clasific
informacin adoptado por la organizacin.

ficacin, el retiro o la destruccin no autorizados de informacin almacenada en los medios

Control: Se deben implementar procedimientos para la gestin de medio removibles, de acuerdo con el esquema de clasificaci
la organizacin.

Control: Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales.

Control: Los medios que contienen informacin se deben proteger contra acceso no autorizado, uso indebido o corrupcin dur
transporte.

o para el control de acceso


n y a instalaciones de procesamiento de informacin.

Control: Se debe establecer, documentar y revisar una poltica de control de acceso con base en los requisitos del negocio y de
la informacin.

Control: Solo se debe permitir acceso de los usuarios a la red y a los servicios de red para los que hayan sido autorizados espec

usuarios
arios autorizados y evitar el acceso no autorizado a sistemas y servicios.

Control: Se debe implementar un proceso formal de registro y de cancelacin de registro de usuarios, para posibilitar la asigna
derechos de acceso.

Control: Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de a
tipo de usuarios para todos los sistemas y servicios.

Control: Se debe restringir y controlar la asignacin y uso de derechos de acceso privilegiado

Control: La asignacin de informacin de autenticacin secreta se debe controlar por medio de un proceso de gestin formal.

Control: Los propietarios de los activos deben revisar los derechos de acceso de los usuarios, a intervalos regulares.

Control: Los derechos de acceso de todos los empleados y de usuarios externos a la informacin y a las instalaciones de proces
informacin se deben retirar al terminar su empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
los usuarios
n cuentas por la salvaguarda de su informacin de autenticacin.

Control: Se debe exigir a los usuarios que cumplan las prcticas de la organizacin para el uso de informacin de autenticacin

stemas y aplicaciones
o a sistemas y aplicaciones.
Control: El acceso a la informacin y a las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con la po
de acceso.

Control: Cuando lo requiere la poltica de control de acceso, el acceso a sistemas y aplicaciones se debe controlar mediante un
ingreso seguro.

Control: Los sistemas de gestin de contraseas deben ser interactivos y deben asegurar la calidad de las contraseas.

Control: Se debe restringir y controlar estrictamente el usos de programas utilitarios que podran tener capacidad de anular el
controles de las aplicaciones.

Control: Se debe restringir el acceso a los cdigos fuente de los programas.

os
eficaz de la criptografa para proteger la confidencialidad, autenticidad y/o la integridad de la informacin

Control: Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la inform

Control: Se debe desarrollar e implementar una poltica sobre el uso, proteccin y tiempo de vida de las llaves criptogrficas, d
ciclo de vida.

DEL ENTORNO

utorizado, el dao e la interferencia a la informacin y a las instalaciones de procesamiento de informacin de la organizacin.

Control: Se deben definir y usar permetros de seguridad, y usarlos para proteger reas que contengan informacin confidenci
instalaciones de manejo de informacin.

Control: Las reas seguras deben estar protegidas con controles de acceso apropiados para asegurar que slo se permite el acc
autorizado.
Control: Se debe disear y aplicar la seguridad fsica para oficinas, recintos e instalaciones..

Control: Se deben disear y aplicar proteccin fsica contra desastres naturales, ataques maliciosos o accidentes.

Control: Se deben disear y aplicar procedimientos para trabajo en reas seguras.

Control: Se deben controlar los puntos de acceso tales como las reas de despacho y carga y otros puntos por donde pueden e
autorizadas y, si es posible, aislarlos de las instalaciones de procesamiento de informacin para evitar el acceso no autorizado.

bo o compromiso de activos, y la interrupcin de las operaciones de la organizacin.

Control: Los equipos deben de estar ubicados y protegidos para reducir los riesgos de amenazas y peligros del entorno, y las po
acceso no autorizado.

Control: Los equipos se deben proteger contra fallas de energa y otras interrupciones causadas por fallas en los servicios de su

Control: El cableado de energa elctrica y de telecomunicaciones que porta datos o brinda soporte a los servicios de informac
proteger contra interceptacin, interferencia o dao.

Control: Los equipos se deben mantener correctamente para asegurar su disponibilidad e integridad continuas.

Control: Los equipos, informacin o software no se deben retirar de su sitio sin autorizacin previa

Control: Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de las instalaciones de la organizacin, t
cuenta los diferentes riesgos de trabajar fuera de dichas instalaciones.

Control: Se deben verificar todos los elementos de equipos que contengan medios de almacenamiento para asegurar que cual
confidencial o software licenciado haya sido retirado o sobreescrito en forma segura antes de su disposicin o reso.

Control: Los usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada.

Control: Se debe adoptar una poltica de escritorio limpio para los papeles y medios de almacenamiento removibles, y una pol
limpia en las instalaciones de procesamiento de informacin.
PERACIONES
cionales y responsabilidades

rectas y seguras de las instalaciones de procesamiento de informacin.

Control: Los procedimientos de operacin se deben documentar y poner a disposicin de todos los usuarios que los necesitan.

Control: Se deben controlar los cambios en la organizacin, en los procesos de negocio, en las instalaciones y en los sistemas d
de informacin que afectan la seguridad de la informacin.

Control: Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y hacer proyecciones de los requisitos de capacidad f
asegurar el desempeo requerido del sistema.

Control: Se deben separar los ambientes de desarrollo, pruebas y operacin, para reducir los riesgos de acceso o cambios no a
ambiente de operacin.

igos maliciosos
cin y las instalaciones de procesamiento de informacin estn protegidas contra cdigos maliciosos.

Control: Se deben implementar controles de deteccin, de prevencin y de recuperacin, combinados con la toma de concienc
los usuarios, para proteger contra cdigos maliciosos.

datos

Control: Se deben hacer copias de respaldo de la informacin, software e imgenes de los sistemas, y ponerlas a prueba regula
acuerdo con una poltica de copias de respaldo acordadas.

o
videncia

Control: Se deben elaborar, conservar y revisar regularmente los registros acerca de actividades del usuario, excepciones, fallas
seguridad de la informacin.

Control: Las instalaciones y la informacin de registro se deben proteger contra alteracin y acceso no autorizado.

Control: Las actividades del administrador y del operador del sistema se deben registrar, y los registros se deben proteger y rev
regularidad.

Control: Los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro de una organizacin o mbito d
deben sincronizar con una nica fuente de referencia de tiempo.

peracional
e los sistemas operacionales
Control: Se deben implementar procedimientos para controlar la instalacin de software en sistemas operativos.

bilidad tcnica
de las vulnerabilidades tcnicas
Control: Se debe obtener oportunamente informacin acerca de las vulnerabilidades tcnicas de los sistemas de informacin q
evaluar la exposicin de la organizacin a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado

Control: Se deben establecer e implementar las reglas para la instalacin de software por parte de los usuarios.

e auditorias de sistemas de informacin


ctividades de auditoria sobre los sistemas operativos

Control: Los requisitos y actividades de auditoria que involucran la verificacin de los sistemas operativos se deben planificar y
cuidadosamente para minimizar las interrupciones en los procesos del negocio.

OMUNICACIONES
ad de las redes
nformacin en las redes, y sus instalaciones de procesamiento de informacin de soporte.

Control: Las redes se deben gestionar y controlar para proteger la informacin en sistemas y aplicaciones.

Control: Se deben identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestin de todos los
e incluirlos en los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se contraten exte

Control: Los grupos de servicios de informacin, usuarios y sistemas de informacin se deben separar en las redes.

macin
nformacin transferida dentro de una organizacin y con cualquier entidad externa.

Control: Se debe contar con polticas, procedimientos y controles de transferencia informacin formales para proteger la
de informacin mediante el uso de
todo tipo de instalaciones de comunicaciones.

Control: Los acuerdos deben tratar la transferencia segura de informacin del negocio entre la organizacin y las parte

Control: Se debe proteger adecuadamente la informacin incluida en la mensajera electrnica.


Control: Se deben identificar, revisar regularmente y documentar los requisitos para los acuerdos de confidencialidad
divulgacin que reflejen las necesidades de la organizacin para la proteccin de la informacin.

ollo y mantenimiento de sistemas


dad de los sistemas de informacin

de la informacin sea una parte integral de los sistemas de informacin durante todo el ciclo de vida. Esto incluye tambin lo
estan servicios sobre redes .

Control: Los requisitos relacionados con seguridad de la informacin se deben incluir en los requisitos para nuevos sist
informacin o para mejoras a los sistemas de informacin existentes.

Control: La informacion involucrada en los servicios de las aplicaciones que pasan sobre redes pblicas se debe pro
actividades fraudulentas, disputas contractuales y divulgacin y modificacin no autorizadas.

Control: La informacin involucrada en las transacciones de los servicios de las aplicaciones se deben proteger para evitar la tr
incompleta, el enrutamiento errado, la alteracin no autorizada de mensajes, la divulgacin no autorizada, y la duplicacin o re
mensajes no autorizada.

esos de Desarrollo y de Soporte


la informacin este diseada e implementada dentro del ciclo de vida de desarrollo de los sistemas de informacin.

Control: Se debe establecer y aplicar reglas para el desarrollo de software y de sistemas, a los desarrollos dentro de la organiza

Control: Los cambios a los sistemas dentro del ciclo de vida de desarrollo se deben controlar mediante el uso de procedimiento
control de cambios.

Control: Cuando se cambian las plataformas de operacin, se deben revisar las aplicaciones crticas del negocio, y someter a p
asegurar que no haya impacto adverso en las operaciones o seguridad de la organizacin.

Control: Se deben desalentar las modificaciones a los paquetes de software, los cuales se deben limitar a los cambios necesari
cambios se deben controlar estrictamente.
Control: Se deben establecer, documentar y mantener principios para la construccin de sistemas seguros, y apl
cualquier actividad de implementacin de sistemas de informacin.

Control: Las organizaciones deben establecer y proteger adecuadamente los ambientes de desarrollo seguros para las acti
desarrollo e integracin de sistemas que comprendan todo el ciclo de vida de desarrollo de sistemas.

Control: La organizacin debe supervisar y hacer seguimiento de la actividad de desarrollo de sistemas contratados exte

Control: Durante el desarrollo se deben llevar a cabo pruebas de funcionalidad de la seguridad.

Control: Para los sistemas de informacin nuevos, actualizaciones y nuevas versiones, se deben establecer programas
aceptacin y criterios de aceptacin relacionados.

os datos usados para pruebas.

Control:Los datos de prueba se deben seleccionar, proteger y controlar cuidadosamente.

S PROVEEDORES
macin en las relaciones con los proveedores.
activos de la organizacin que sean accesibles a los proveedores.

Control: Los requisitos de seguridad de la informacin para mitigar los riesgos asociados con el acceso de proveedores a los ac
organizacin se deben acordar con estos y se deben documentar.

Control: Se deben establecer y acordar todos los requisitos de seguridad de la informacin pertinentes con cada proveedor qu
acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la informacin de la organiza

Control: Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad de la informacin asociado
de suministro de productos y servicios de tecnologa de informacin y comunicacin.

n de servicios de proveedores
de seguridad de la informacin y de prestacin del servicio en lnea con los acuerdos con los proveedores

Control: Las organizaciones deben hacer seguimiento, revisar y auditar con regularidad la prestacin de servicios de los provee
Control: Se deben gestionar los cambios en el suministro de servicios por parte de los proveedores, incluido el mantenimiento
las polticas, procedimientos y controles de seguridad de la informacin existentes, teniendo en cuenta la criticidad de la inform
y procesos de negocio involucrados, y la rrevaluacin de los riesgos.

TES DE SEGURIDAD DE LA INFORMACION


y mejoras en la seguridad de la informacin
nte y eficaz para la gestin de incidentes de seguridad de la informacin, incluida la comunicacin sobre eventos de seguridad y debilidad

Control: Se deben establecer las responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, eficaz y or
incidentes de seguridad de la informacin.
Control: Los eventos de seguridad de la informacin se deben informar a travs de los canales de gestin apropiados, tan pron
posible.

Control: Se debe exigir a todos los empleados y contratistas que usan los servicios y sistemas de informacin de la organizacin
reporten cualquier debilidad de seguridad de la informacin observada o sospechada en los sistemas o servicios.

Control: Los eventos de seguridad de la informacin se deben evaluar y se debe decidir si se van a clasificar como incidentes d
informacin.

Control: Se debe dar respuesta a los incidentes de seguridad de la informacin de acuerdo con procedimientos documentados

Control: El conocimiento adquirido al analizar y resolver incidentes de seguridad de la informacin se debe usar para reducir la
impacto de incidentes futuros.

Control: La organizacin debe definir y aplicar procedimientos para la identificacin, recoleccin, adquisicin y preservacin de
pueda servir como evidencia.

DAD DE LA INFORMACIN DE LA GESTION DE CONTINUIDAD DE NEGOCIO


idad de la informacin
de la informacin se debe incluir en los sistemas de gestin de la continuidad de negocio de la organizacin.

Control: La organizacin debe determinar sus requisitos para la seguridad de la informacin y la continuidad de la gestin de la
informacin en situaciones adversas, por ejemplo, durante una crisis o desastre.
Control: La organizacin debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para ase
continuidad requerido para la seguridad de la informacin durante una situacin adversa.

Control: La organizacin debe verificar a intervalos regulares los controles de continuidad de la seguridad de la informacin est
implementados, con el fin de asegurar que son vlidos y eficaces durante situaciones adversas.

instalaciones de procesamiento de informacin.

Control: Las instalaciones de procesamientos de informacin se deben implementar con redundancia suficiente para cumplir lo
disponibilidad.

uisitos legales y contractuales


as obligaciones legales, estatutarias, de reglamentacin o contractuales relacionadas con seguridad de la informacin y de cualquier req

Control: Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes y el enfoque de la organizacin para cum
identificar y documentar explcitamente y mantenerlos actualizados para cada sistema de informacin y para la organizacin.

Control: Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, de reg
contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software patentados.

Control: Los registros se deben proteger contra perdida, destruccin, falsificacin, acceso no autorizado y liberacin no autoriz
con los requisitos legislativos, de reglamentacin, contractuales y de negocio.

Control: Se deben asegurar la privacidad y la proteccin de la informacin de datos personales, como se exige e la legislacin y
reglamentacin pertinentes, cuando sea aplicable.

Control: Se deben usar controles criptogrficos, en cumplimiento de todos los acuerdos, legislacin y reglamentacin pertinen

ad de la informacin
la informacin se implemente y opere de acuerdo con las polticas y procedimientos organizacionales.

Control: El enfoque de la organizacin para la gestin de la seguridad de la informacin y su implementacin (es decir los objeti
los controles, las polticas, los procesos y los procedimientos para seguridad de la informacin), se deben revisar independient
intervalos planificados o cuando ocurran cambios significativos.

Control: Los directores deben revisar con regularidad el cumplimiento del procesamiento y procedimientos de informacin den
responsabilidad, con las polticas y normas de seguridad apropiadas, y cualquier otro requisito de seguridad.

Control: Los sistemas de informacin se deben revisar peridicamente para determinar el cumplimiento con las polticas y nor
de la informacin.
LA INFORMACIN (40%)

os los involucrados en el SGSI. cumple 100%.

pero no se gestiona.

bilidad.

ESTADO EVIDENCIA
RESUMEN LOGRO 1

CONTROLES

0 0.0%

0 0.0%

0 0.0%

0 0.0%

No. Controles que le


aplican 114
TOTAL 0.0%
AUTODIAGNSTICO SGSI LOGRO 3: MON

Por favor, conteste la siguiente encuesta de acuerdo con el instructivo.

Estado

Cumple satisfactoriamente

Cumple parcialmente

No cumple

VERIFIC
ITEM PREGUNTA
1 La entidad tiene una metodologa para realizar seguimiento, medicin y anlisis permanente al desempeo de
Seguridad de laInformacin.?

2 La entidad ha realizado auditorias internas al Sistema de Gestin de Seguridad de la Informacin?

3 La entidad cuenta con programas de auditorias aplicables al SGSI donde se incluye frecuencia, mtodos,
responsabilidades, elaboracin de informes?

4 La alta direccin realiza revisiones periodicas al Sistema de Gestin de Seguridad de la Informacin?


5 En las revisiones realizadas al sistema por la Direccin, se realizan procesos de retroalimentacin sobre el
desempeo de la seguridad de la informacin?

6 Las revisiones realizadas por la Direccin al Sistema de Gestin de Seguridad de la Informacin, estn
debidamente documentadas?

ACTUA

PREGUNTA
ITEM

7 La entidad da respuesta a las no conformidades referentes a la seguridad de la informacin presentadas en los


planes de auditoria?

8 La entidad ha implementado acciones a las no conformidades de seguridad de la informacin presentadas?

9 La entidad revisa la eficiacia de las acciones correctivas tomadas por la presencia de una no conformidad de
seguridad de la informacin?

10 La entidad realiza cambios al Sistema de Gestin de Seguridad de la Informacin despues de las acciones
tomadas?

11 La entidad documenta la informacin referente a las acciones correctivas que toma respecto a la seguridad de l
informacin?

12 La entidad realiza procesos de mejora continua para el Sistema de Gestin de Seguridad de la Informacin?

Fuente: NTC-ISO-IEC 27001:2013


AUTODIAGNSTICO SGSI LOGRO 3: MONITOREO Y MEJORAMIENTO CONTINUO (30 %)

e encuesta de acuerdo con el instructivo.

DESCRIPCIN

Existe, es gestionado, se est cumpliendo con lo que la norma ISO27001 versin 2013 solicita, est documentado, e
el SGSI. cumple 100%.

Lo que la norma requiere (ISO27001 versin 2013) se est haciendo de manera parcial, se est haciendo diferente,
se gestiona.

No existe y/o no se est haciendo.

VERIFICAR
PREGUNTA VALORACIN
oga para realizar seguimiento, medicin y anlisis permanente al desempeo de la

orias internas al Sistema de Gestin de Seguridad de la Informacin?

mas de auditorias aplicables al SGSI donde se incluye frecuencia, mtodos,


n de informes?

ones periodicas al Sistema de Gestin de Seguridad de la Informacin?


sistema por la Direccin, se realizan procesos de retroalimentacin sobre el
e la informacin?

a Direccin al Sistema de Gestin de Seguridad de la Informacin, estn

ACTUAR

PREGUNTA VALORACIN

no conformidades referentes a la seguridad de la informacin presentadas en los

acciones a las no conformidades de seguridad de la informacin presentadas?

e las acciones correctivas tomadas por la presencia de una no conformidad de

Sistema de Gestin de Seguridad de la Informacin despues de las acciones

macin referente a las acciones correctivas que toma respecto a la seguridad de la

mejora continua para el Sistema de Gestin de Seguridad de la Informacin?


ENTO CONTINUO (30 %)

IPCIN

3 solicita, est documentado, es conocido y aplicado por todos los involucrados en

cial, se est haciendo diferente, no est documentado, se defini y aprob pero no

EVIDENCIA RECOMENDACIN
Se debe tener en cuenta que se desea medir,
cuando, quien realizar la mediciny cuando se
analizaran los resultados.

Se deben programar auditorias en un intervalo


de tiempo con el fin de evaluar y verificar la
conformidad y cumplimiento del Sistema de
Gestin de Seguridad de la Informacin.

Se debe planificar, establecer, implementar y


mantener uno o varios programas de auditora
donde se incluye frecuencia, mtodos,
responsabilidades, elaboracin de informes.

Se deben realizar revisiones a intervalos planificados


del Sistema de Gestin de Seguridad de la
Informacin.
Se debe documentar las revisiones realizadas
por la Alta Direccin con el fin de verificar el
estado del sistema de seguridad de la
informacin, cambios que se presenten a nivel
interno o externo que puedan afectar la
seguridad de la informacin y evaluacion de las
no conformidades y acciones correctivas. Esta
revisin debe incluir las decisiones relacionadas
con las oportunidades de mejora

EVIDENCIA RECOMENDACIN

Se deben tomar acciones para eliminar las


causas de las no conformidades, para que no
vuelvan a ocurrir.

Toda la informacin de acciones realizadas al


Sistema de Gestin de Seguridad de la
Informacin debe ser documentada.
Se debe evaluar la eficacia de las acciones
correctivas con el fin de verificar que la no
conformidad no se vuelva a presentar.

Toda la informacin de cambios al Sistema de


Gestin de Seguridad de la Informacin debe
ser documentada.
Toda la informacin de cambios al Sistema de
Gestin de Seguridad de la Informacin debe
ser documentada.
Toda la informacin de mejora al Sistema de
Gestin de Seguridad de la Informacin debe
ser documentada.
VERIFICAR ACTUAR

TOTAL PESO TOTAL PESO

0 0.0% 0 0.0%

0 0.0% 0 0.0%

0 0.0% 0 0.0%
TOTAL 0.0% TOTAL 0.0%

TOTAL LOGRO 0.0%


AVANCES LOGROS SGSI
120%
100%
80%
60% META
40% TOTAL EJECUTADO

20%
0%
PLANEAR HACER VERIFICAR ACTUAR TOTAL

FASE META TOTAL EJECUTADO


LOGRO1 PLANEAR 30% 0.0%
LOGRO2 HACER 40% 0.0%
VERIFICAR 15% 0.0%
LOGRO3
ACTUAR 15% 0.0%
TOTAL 100% 0.0%

POR DOMINIO DE CONTROL

NOMBRE DOMINIOS DE CONTROL CONTROLES QUE APLICAN

DOMINIO 5 - POLTICAS DE SEGURIDAD DE LA


INFORMACIN
DOMINIO 6 - ORGANIZACIN DE LA SEGURIDAD DE LA 2
INFORMACIN 7
DOMINIO 7 - SEGURIDAD DE LOS RECURSOS HUMANOS 6
DOMINIO 8 - GESTIN DE ACTIVOS 10
DOMINIO 9 - CONTROL DE ACCESO 14
DOMINIO 10 - CRIPTOGRAFA 2
DOMINIO 11 - SEGURIDAD FSICA Y DEL ENTORNO 15
DOMINIO 12 - SEGURIDAD DE LAS OPERACIONES 14
DOMINIO
DOMINIO 13
14 -- SEGURIDAD DEDESARROLLO
ADQUISICIN, LAS COMUNICACIONES
Y 7
MANTENIMIENTO DE SISTEMAS 13
DOMINIO 15 - RELACIN CON LOS PROVEEDORES 5
DOMINIO 16 - GESTIN DE INCIDENTES DE SEGURIDAD DE
LA INFORMACIN 7

DOMINIO 17 - ASPECTOS DE SEGURIDAD DE LA


INFORMACIN DE LA GESTION DE CONTINUIDAD DE
NEGOCIO 4
DOMINIO 18 - SEGURIDAD DE LAS COMUNICACIONES 8
114
AVANCES POR DOMINIO DE CONTROL

DOMINIO 5 - POLTICAS DE SEGURIDAD DE LA 6INFORMACIN


DOMINIO 18 - SEGURIDAD DE LAS COMUNICACIONES DOMINIO - ORGANIZACI
DOMINIO 17 - ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTION DE CONTINUIDAD DE NEGOCIO 20 DOMINIO 7 - SEGURID
10
DOMINIO 16 - GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN DOMINIO 8 - GESTI
0
DOMINIO 15 - RELACIN CON LOS PROVEEDORES DOMINIO 9 - CONTR

DOMINIO 14 - ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DOMINIO 10 - CRIPTO


DOMINIO 13 - SEGURIDAD DE LASDOMINIO
COMUNICACIONES DOMINIO 11 - SEGURIDAD
12 - SEGURIDAD DE LAS OPERACIONES

POR DOMINIO DE CONTROL

PESO CONTROLES IMPLEMENTADOS Y IMPLEMENTADOS PARCIALMENTE NO CUMPLE NO APLICA


PARCIALMENTE IMPLEMENTADOS

0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0

0 0 0 0 0
0 0 0 0 0
INIO DE CONTROL

EGURIDAD DE LA 6INFORMACIN
DOMINIO - ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
20 DOMINIO 7 - SEGURIDAD DE LOS RECURSOS HUMANOS
10
DOMINIO 8 - GESTIN DE ACTIVOS
0
DOMINIO 9 - CONTROL DE ACCESO

DOMINIO 10 - CRIPTOGRAFA
DOMINIO 11 - SEGURIDAD FSICA Y DEL ENTORNO
DAD DE LAS OPERACIONES
INSTRUCCIONES DE DILIGENCIAMIENTO
Objetivo del
autodiagnstico

Logro 1
Logro 2

Logro 3
Norma Referente
Datos a diligenciar hoja "GAP LOGRO1"
ITEM
PREGUNTA

VALORACION
EVIDENCIA
RECOMENDACION
Datos a diligenciar hoja "GAP LOGRO2"

ANEXO

ESTADO

EVIDENCIA
Datos a diligenciar hoja "GAP LOGRO3"
ITEM
PREGUNTA
VALORACION

EVIDENCIA
RECOMENDACION
INSTRUCCIONES DE DILIGENCIAMIENTO
Determinar el nivel de madurez que presenta la entidad respecto a los temas relacionados con
Seguridad de la Informacion.

Definicion del Marco de Seguridad y Privacidad de la Entidad. Tiene un peso del 30% del total
del componente.
Implementacion
10% - Diagnosticodel
dePlan de Seguridad
Seguridad y Privacidad.
y Privacidad
20% - Identificacion y analisis de
Proposito de Seguridad riesgos. de la Informacion.
y Privacidad
20% - Plan de tratamiento de riesgos, clasificacion y gestion de controles.

Monitoreo y mejoramiento continuo


20% - Actividades de seguimiento, medicion, analisis y evaluacion.
NTC-ISO-IEC 27001:2013
20% - Revision e Implementacion de Acciones de Mejora.
Datos a diligenciar hoja "GAP LOGRO1"
Consecutivo de la pregunta de seguridad de la informacin.
Pregunta de seguridad de la informacion.

Seleccionar de acuerdo a:
1. No cumple: Tiene conocimiento del requisito. No existe y/o no se est haciendo.
2. Cumple parcialmente: Lo que la norma requiere (ISO27001 versin 2013) se est haciendo
de manera parcial, se est haciendo diferente, no est documentado, se defini y aprob pero
no se gestiona.
3. Cumple satisfactoriamente: Existe, es gestionado, se est cumpliendo con lo que la norma
ISO27001 versin 2013 solicita, est documentado, es conocido y aplicado por todos los
involucrados en el SGSI.
Describir brevemente cumple 100%.
la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
o sistema donde se pueda verificar el mismo.
Pautas que se deben llevar a cabo para dar cumplimiento al requisito.
Datos a diligenciar hoja "GAP LOGRO2"
Informacin que corresponde a los controles del Anexo A de la Norma ISO 27001:2013. La
entidad debe verificar el cumplimiento del control

Seleccionar de acuerdo a:
0. No aplica: El control no es aplicable para la entidad. En el campo evidencia por
favor indicar la justificacin respectiva de su no aplicabilidad.
1. No cumple: Tiene conocimiento del requisito. No existe y/o no se est haciendo.
2. Cumple parcialmente: Lo que la norma requiere (ISO27001 versin 2013) se est haciendo
de manera parcial, se est haciendo diferente, no est documentado, se defini y aprob pero
no se gestiona.
3. Cumple satisfactoriamente: Existe, es gestionado, se est cumpliendo con lo que la norma
ISO27001 versin 2013 solicita, est documentado, es conocido y aplicado por todos los
involucrados en el SGSI. cumple 100%.
Describir brevemente la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
o sistema donde se pueda verificar el mismo.
Datos a diligenciar hoja "GAP LOGRO3"
Consecutivo de la pregunta de seguridad de la informacin.
Pregunta de seguridad de la informacion.
Seleccionar de acuerdo a:
1. No cumple: Tiene conocimiento del requisito. No existe y/o no se est haciendo.
2. Cumple parcialmente: Lo que la norma requiere (ISO27001 versin 2013) se est haciendo
de manera parcial, se est haciendo diferente, no est documentado, se defini y aprob pero
no se gestiona.
3. Cumple satisfactoriamente: Existe, es gestionado, se est cumpliendo con lo que la norma
ISO27001 versin 2013 solicita, est documentado, es conocido y aplicado por todos los
involucrados en el SGSI. cumple 100%.
Describir brevemente la evidencia que soporta el cumplimiento del requisito. Indicar sitio fisico,
o sistema donde se pueda verificar el mismo.
Pautas que se deben llevar a cabo para dar cumplimiento al requisito.
SI

NO