Documente Academic
Documente Profesional
Documente Cultură
ENTIDAD EVALUADA
FECHAS DE EVALUACIÓN
CONTACTO
ELABORADO POR
EVALUACIÓN DE EFECTIVIDAD
Evaluación de Efectividad de controles
No.
DOMINIO
AVANCE PHVA
Año
Año % de Avance
COMPONENTE Actual
Entidad
2015 Planificación 0%
2016 Implementación 0%
2017 Evaluación de desempeño 0%
2018 Mejora continua 0%
TOTAL 0%
NIVEL DE
CUMPLIMIENTO
Inicial CRITICO
NIVELES DE MADUREZ DEL MODELO DE
SEGURIDAD Y PRIVACIDAD DE LA
Repetible CRÍTICO
INFORMACIÓN
Definido CRÍTICO
Administrado CRÍTICO
Optimizado CRÍTICO
Nombre de la Entidad
fecha de entrega
contacto de la entidad
Personal de la Entidad
0 100 INEXISTENTE
0 100 INEXISTENTE
1 100 INEXISTENTE
VA
% Avance Esperado
40%
20%
20%
20%
100%
9 10
20 21
42 42
59 59
62 60
Funcionario que
diligencia el MSPI
1
14 2
100
80 3
60
40
4
20
0
9 7
8
Nombre de la En
ENTIDAD EVALUADA
Tipo Entidad
Misión
Analisis de Contexto
Mapa de Procesos
Organigrama
2 Misión
Análisis de contexto: La entidad debe determinar los aspectos externos e internos que son necesario
3 lograr los resultados previstos en el MSPI.
4 Mapa de Procesos
5 Organigrama de la entidad, detallando el área de seguridad de la información o quien haga sus veces
19 Documento que haga claridad sobre el proceso disciplinario en caso de incumplimiento de las polític
20 Inventario de activos de información clasificados, de la entidad, revisado y aprobado por la alta direc
26 Inventario de proveedores que tengan acceso a los activos de información, indicando el servicio que
33 Declaración de aplicabilidad
34 Aceptación de los riesgos residuales por parte de los dueños de los riesgos
Lista de información para aquellas entidades que hayan avanzado en la fase de IMPLEMENTACIÓN
35 Documento con la estrategia de planificación y control operacional, revisado y aprobado por la alta D
36 Avance en la ejecución del plan de tratamiento de riesgos
37 Indicadores de gestión del MSPI definidos, revisados y aprobados por la alta Dirección.
Lista de información para aquellas entidades que hayan avanzado en la fase de EVALUACIÓN DE DE
38 Documento con el plan de seguimiento, evaluación, análisis y resultados del MSPI, revisado y aproba
39 Documento con el plan de auditorías internas y resultados, de acuerdo a lo establecido en el plan de
40 Resultado del seguimiento, evaluación y análisis del plan de tratamiento de riesgos, revisado y aprob
Lista de información para aquellas entidades que hayan avanzado en la fase de MEJORA CONTINUA
41 Documento con el plan de seguimiento, evaluación y análisis para el MSPI, revisado y aprobado por
Documento con el consolidado de las auditorías realizadas de acuerdo con el plan de auditorías, rev
42 asegura que los hallazgos, brechas, debilidades y oportunidaes de mejora se subsanen, para asegura
Nombre de la Entidad
TIPOS DE ENTIDAD
DATOS BASICOS
De orden nacional
descripcion
PREGUNTAS
La protección de la información de los beneficiarios desde el punto de vista de la confidencialidad y la integridad.
formatos de confidencialidad
tablecer responsabilidades de las partes en seguridad de la información de terceros
FORMULARIO 4 DE LA
INVITACIÓN CONTRACTUAL
1DT-FR-0016
1dt-fr-0010
ase de IMPLEMENTACIÓN
do y aprobado por la alta Dirección. pendiente
pendiente
ta Dirección. pendiente
ase de EVALUACIÓN DE DESEMPEÑO
el MSPI, revisado y aprobado por la alta Dirección. pendiente
o establecido en el plan de auditorías, revisado y aprobado por la alta Dirección. pendiente
e riesgos, revisado y aprobado por la alta Dirección. pendiente
ase de MEJORA CONTINUA
, revisado y aprobado por la alta Dirección. pendiente
n el plan de auditorías, revisado y aprobado por la alta dirección y verifique como se pendiente
se subsanen, para asegurar la mejora continua.
Total avance
# total de procesos # de procesos definidos en el alcance por
procesos
dad y la integridad.
OBSERVACIONES
Nombre de la Entidad
ENTIDAD EVALUADA
Redundancias
Disponibilidad de instalaciones de
procesamiento de información
SEGURIDAD FÍSICA Y DEL ENTORNO
ÁREAS SEGURAS
Responsable de la Perímetro de seguridad física
seguridad física
Áreas de despacho y carga
Visita al Centro de Computo
POLITICAS DE SEGURIDAD DE LA
INFORMACIÓN
ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
SEGURIDAD DE LOS RECURSOS HUMANOS
Antes de asumir el empleo
Durante la ejecución del empleo
Terminación y cambio de empleo
GESTIÓN DE ACTIVOS
CUMPLIMIENTO
Cumplimiento de requisitos legales y
contractuales
CONTROL DE ACCESO
CRIPTOGRAFÍA
SEGURIDAD FÍSICA Y DEL ENTORNO
SEGURIDAD DE LAS OPERACIONES
PROCEDIMIENTOS OPERACIONALES Y
RESPONSABILIDADES
mbre de la Entidad
FUNCIONARIO
ENTIDAD EVALUADA
POLITICAS DE SEGURIDAD DE
AD.1 Responsable de SI LA INFORMACIÓN
Documento de la política de
AD.1.1 Responsable de SI seguridad y privacidad de la
Información
ORGANIZACIÓN DE LA
A2 Responsable de SI SEGURIDAD DE LA
INFORMACIÓN
Separación de deberes /
AD.2.1.2 Responsable de SI tareas
AD.2.1.3 Responsable de SI Contacto con las autoridades.
Seguridad de la información
AD.2.1.5 Responsable de SI en la gestión de proyectos
Dispositivos Móviles y
AD.2.2 Responsable de SI Teletrabajo
Política para dispositivos
AD.2.2.1 Responsable de SI móviles
AD.2.2.2 Responsable de TICs Teletrabajo
Terminación y cambio de
AD.3.3 Responsable de SI empleo
Terminación o cambio de
AD.5.1.3 Responsable de SI responsabilidades de empleo
GESTIÓN DE ACTIVOS
AD.4 Responsable de SI GESTIÓN DE ACTIVOS
Responsabilidad de los
AD.4.1 Responsable de SI activos
AD.4.1.1 Responsable de SI Inventario de activos
ASPECTOS DE SEGURIDAD DE
LA INFORMACIÓN DE LA
AD.5 Responsable de la Continuidad GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO
Continuidad de la seguridad
AD.5.1 Responsable de la Continuidad de la información
Planificación de la continuidad
AD.5.1.1 Responsable de la Continuidad de la seguridad de la
información
Implementación de la
AD.5.1.2 Responsable de la Continuidad continuidad de la seguridad
de la información
Verificación, revisión y
evaluación de la continuidad
AD.5.1.3 Responsable de la Continuidad de la seguridad de la
información.
CUMPLIMIENTO
Cumplimiento de requisitos
AD.6.1 Responsable de SI legales y contractuales
Identificación de la legislación
AD.6.1.1 Responsable de SI aplicable y de los requisitos
contractuales.
Derechos de propiedad
AD.6.1.2 Responsable de TICs intelectual.
AD.6.1.3 Responsable de SI Protección de registros.
Reglamentación de controles
AD.6.1.5 n/a criptográficos.
Revisiones de seguridad de la
AD.6.2 Control interno información
Revisión independiente de la
AD.6.2.1 Control interno seguridad de la información
Seguridad de la información
Responsable de compras y
AD.7.1 en las relaciones con los
adquisiciones proveedores
Nombre de la Entidad
Componente planificación y
Orientación de la dirección para gestión de la seguridad de A.5 modelo de madurez nivel
la información gestionado
A.7
A.8
Identificar los activos organizacionales y definir las Modelo de Madurez
A.8.1
responsabilidades de protección apropiadas. Gestionado
Se deben identificar los activos asociados con la
información y las instalaciones de procesamiento de Componente Planificación
A.8.1.1
información, y se debe elaborar y mantener un inventario Modelo de madurez inicial
de estos activos.
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3.2
A.8.3.3
A.17
Modelo de Madurez
A.17.1.3 Optimizado
A.18
Modelo de Madurez
A.18.1.1 Gestionado
Cuantitativamente
A.18.1.2
Se deben proteger los registros importantes de una
organización de pérdida, destrucción y falsificación, en A.18.1.3
concordancia con los requerimientos estatutarios,
reguladores, contractuales y comerciales
A.18.1.5
Modelo de Madurez
A.18.2 Gestionado
Cuantitativamente
A.18.2.1
A.15
mbre de la Entidad
CIBERSEGURIDAD PRUEBA
PR.DS-5
De acuerdo a la NIST los contratistas deben estar coordinados y
alineados con los roles y responsabilidades de seguridad de la
información.
Indague y solicite evidencia del como la dirección se asegura de
que los empleados y contratistas:
a) Estén debidamente informados sobre sus roles y
responsabilidades de seguridad de la información, antes de que
se les otorgue el acceso a información o sistemas de información
confidenciales.
b) Se les suministren las directrices que establecen las
ID.GV-2 expectativas de seguridad de la información de sus roles dentro
de la Entidad.
c) Logren un nivel de toma de conciencia sobre seguridad de la
información pertinente a sus roles y responsabilidades dentro de
la organización y estén motivados para cumplir con las políticas.
d) Tengan continuamente las habilidades y calificaciones
apropiadas y reciban capacitación en forma regular.
e) Cuenten con un canal para reporte anónimo de incumplimiento
de las políticas o procedimientos de seguridad de la información
(“denuncias internas”).
Entreviste a los líderes de los procesos y pregúnteles que saben
sobre la seguridad de la información, cuales son sus
responsabilidades y como aplican la seguridad de la información
en su diario trabajo.
Pregunte como se asegura que los funcionarios, Directores,
Gerentes y contratistas tomen conciencia en seguridad de la
información, alineado con las responsabilidades, políticas y
procedimientos existentes en la Entidad.
Solicite el documento con el plan de comunicación, sensibilización
y capacitación, con los respectivos soportes, revisado y aprobado
por la alta Dirección. Verifique que se han tenido en cuenta
buenas prácticas como:
n/a
10
20
para la puntuacion
debe tener en cuenta
la escala de
evaluación de la
pestaña 2 de esta
hoja
para la puntuacion
debe tener en cuenta
la escala de
evaluación de la
pestaña 2 de esta
hoja
FORMULARIO 4 DE LA
INVITACIÓN CONTRACTUAL
1DT-FR-0016 + verificar que se
firmen los formatos de 0
confidencialidad por parte de los
contratistas y esten en la carpeta
de supervision de contratos
0
en caso de tener un documento
interno donde se enuncie , 0
ponerlo de lo contrario
resolucion 08310
Se cuenta con los accesos
remotos a traves de VPN , Direct
Access de Microsoft, el cual es
otorgado el privilegio de acceso 0
mediante un protocolo
establecido y aprobado mediante
el comité de gestión de cambios
de la unidad.
0
2SP-CP-0001 CARACTERIZACIÓN DEL PROCESO SELECCIONAR EL TALENTO HUMANO
0 (1)
formatos de confidencialidad y 0
asignacion de usuario
0
acta de comité de seguridad de la
información , y orden interna 0
donde se nombra el comité
interno de sgsi
si cuenta con documento donde
se evidencie plan de socializacion 0
temas de seguridad de la
información
0
acta donde se aprobaron los
activos de información de la 0
unidad
resolucion de clasificacion de la
información + guia de 0
clasificacion de la informacion
0
documento de continuidad de la 0
informacion
documento de continuidad de la 0
informacion
documento de continuidad de la 0
informacion
0
sitio de contigencia si cuentan 0
con el
resolucion 08310 0
resolucion 08310 0
asignacion de usuario para 0
ingreso de aplicación , formato
clasificacion de la informacion +
formato de asignacion de usuario 0
+ compromiso de
confidencialidad
n/a
para la puntuacion
debe tener en cuenta
la escala de
evaluación de la
pestaña 2 de esta
hoja
para la puntuacion
debe tener en cuenta
la escala de
evaluación de la
pestaña 2 de esta
hoja
SELECCIONAR EL TALENTO HUMANO PARA LA POLICÍA NACIONAL
ENTIDADEVALUADA
CONTROL DE ACCESO
Responsable de
T.1 CONTROL DE ACCESO
SI/Responsable de TICs
CRIPTOGRAFÍA
Asegurar la protección de la
GESTIÓN DE LA SEGURIDAD información en las redes, y sus
T.5.1 Responsable de TICs DE LAS REDES instalaciones de procesamiento de
información de soporte.
Las redes se deben gestionar y
controlar para proteger la
T.5.1.1 Responsable de TICs Controles de redes información en sistemas y
aplicaciones.
Mantener la seguridad de la
TRANSFERENCIA DE información transferida dentro de
T.5.2 Responsable de TICs INFORMACIÓN una organización y con cualquier
entidad externa.
Se debe contar con políticas,
procedimientos y controles de
Políticas y procedimientos de transferencia formales para proteger
T.5.2.1 Responsable de TICs transferencia de información la transferencia de información
mediante el uso de todo tipo de
instalaciones de comunicación.
Los acuerdos deben tener en cuenta
Acuerdos sobre transferencia la transferencia segura de
T.5.2.2 Responsable de TICs de información información del negocio entre la
organización y las partes externas.
ADQUISICIÓN, DESARROLLO Y
Responsable de
T.6 MANTENIMIENTO DE
SI/Responsable de TICs SISTEMAS
Nombre de la Entidad
Componente
planificación y
A.9 modelo de madurez
nivel gestionado
Modelo de madurez
A.9.1 definido
A.9.1.1 PR.DS-5
PR.AC-4
A.9.1.2 PR.DS-5
PR.PT-3
Modelo de madurez
A.9.2 gestionado
cuantitativamente
A.9.2.1 PR.AC-1
A.9.2.2 PR.AC-1
PR.AC-4
A.9.2.3 PR.DS-5
A.9.2.4 PR.AC-1
A.9.2.5
A.9.2.6
Modelo de madurez
A.9.3 definido
A.9.3.1 PR.AC-1
Modelo de madurez
A.9.4 gestionado
cuantitativamente
PR.AC-4
A.9.4.1 PR.DS-5
A.9.4.2 PR.AC-1
A.9.4.3 PR.AC-1
PR.AC-4
A.9.4.4 PR.DS-5
A.9.4.5 PR.DS-5
A.10
Modelo de madurez
A.10.1 gestionado
cuantitativamente
A.10.1.1
A.10.1.2
A.11
Modelo de madurez
A.11.1 definido
A.11.1.1 PR.AC-2
PR.AC-2
A.11.1.2 PR.MA-1
A.11.1.3
ID.BE-5
A.11.1.4 PR.AC-2
PR.IP-5
A.11.1.6 PR.AC-2
Modelo de madurez
A.11.2 definido
A.11.2.1 PR.IP-5
ID.BE-4
A.11.2.2 PR.IP-5
ID.BE-4
A.11.2.3 PR.AC-2
PR.IP-5
PR.MA-1
A.11.2.4 PR.MA-2
A.11.2.5 PR.MA-1
A.11.2.6 ID.AM-4
PR.DS-3
A.11.2.7 PR.IP-6
A.11.2.8
A.11.2.9 PR.PT-2
A.12
Modelo de madurez
A.12.1 definido
A.12.1.1
PR.IP-1
A.12.1.2 PR.IP-3
A.12.1.3 ID.BE-4
A.12.1.4 PR.DS-7
A.12.2
Modelo de madurez PR.DS-6
A.12.2.1 DE.CM-4
gestionado RS.MI-2
Modelo de madurez
A.12.3 gestionado
PR.DS-4
A.12.3.1 PR.IP-4
Modelo de madurez
A.12.4 gestionado
cuantitativamente
Modelo de madurez PR.PT-1
A.12.4.1 gestionado DE.CM-3
cuantitativamente RS.AN-1
A.12.4.2 PR.PT-1
PR.PT-1
A.12.4.3 RS.AN-1
A.12.4.4 PR.PT-1
Modelo de madurez
A.12.5 definido
PR.DS-6
PR.IP-1
A.12.5.1 PR.IP-3
DE.CM-5
Modelo de madurez
A.12.6 gestionado
ID.RA-1
ID.RA-5
A.12.6.1 PR.IP-12
DE.CM-8
RS.MI-3
PR.IP-1
A.12.6.2 PR.IP-3
Modelo de madurez
A.12.7 gestionado
cuantitativamente
A.12.7.1
A.13
Modelo de madurez
A.13.1 definido
PR.AC-3
PR.AC-5
A.13.1.1 PR.DS-2
PR.PT-4
A.13.1.2
PR.AC-5
A.13.1.3 PR.DS-5
Modelo de madurez
A.13.2 definido
ID.AM-3
PR.AC-5
PR.AC-3
A.13.2.1 PR.DS-2
PR.DS-5
PR.PT-4
A.13.2.2
A.13.2.3 PR.DS-2
PR.DS-5
A.13.2.4 PR.DS-5
A.14
Modelo de madurez
A.14.1 definido
A.14.1.1 PR.IP-2
PR.DS-2
A.14.1.2 PR.DS-5
PR.DS-6
PR.DS-2
A.14.1.3 PR.DS-5
PR.DS-6
Modelo de madurez
A.14.2 definido
A.14.2.1 PR.IP-2
PR.IP-1
A.14.2.2 PR.IP-3
A.14.2.3 PR.IP-1
A.14.2.4 PR.IP-1
A.14.2.5 PR.IP-2
A.14.2.6
A.14.2.7 DE.CM-6
Modelo de madurez
A.14.2.8 gestionado DE.DP-3
cuantitativamente
A.14.2.9
Modelo de madurez
A.14.3 definido
A.14.3.1
A.16
A.16.1
PR.IP-9
A.16.1.1 DE.AE-2
RS.CO-1
Modelo de madurez DE.DP-4
A.16.1.2 definido
Modelo de madurez
gestionado
A.16.1.7 Modelo de madurez RS.AN-3
definido
N DE LA LINEA BASE DE SEGURIDAD ADMINISTRATIVA Y TÉCNICA
LEVANTAMIENTO DE INFORMACIÓN
Nombre de la Entidad
PRUEBA EVIDENCIA
Revisar los registros de las actividades del administrador y del operador del
sistema, los registros se deben proteger y revisar con regularidad.
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
RECOMENDACIÓN
ENTIDAD EVALUADA
COMPONENTE ID CARGO
P.1 Responsable SI
P.2
P.3 Calidad
P.4 Responsable SI
PLANIFICACIÓN
P.5 Responsable SI
P.6 Responsable SI
P.8 Responsable SI
P.9 Responsable SI
PROMEDIO
I.1 Responsable SI
IMPLEMENTACIÓN
I.2 n/a
I.3 Responsable SI
I.4 Responsable SI
PROMEDIO
EVALUACIÓN
DESEMPEÑO
E.1 Responsable SI
DE
E.2 Control Interno
E.3 Responsable SI
PROMEDIO
M.1 Responsable SI
CONTINUA
MEJORA
PROMEDIO
INSTRUMENTO DE IDENTIFICACIÓN DE LA
HOJA LEVAN
No
ITEM DESCRIPCIÓN
Alcande MSPI (Modelo de Seguridad y Se debe determinar los límites y la aplicabilidad del
Privacidad de la Información) SGSI para establecer su alcance.
Se debe definir un conjunto de políticas para la
Políticas de seguridad y privacidad de la seguridad de la información aprobada por la dirección,
información publicada y comunicada a los empleados y a la partes
externas pertinentes
Tratamiento de riesgos de seguridad de la Los riesgos deben ser tratados para mitigarlos y
información llevarlos a niveles tolerables por la Entidad
Todos los empleados de la Entidad, y en donde sea
Toma de conciencia, educación y formación en la pertinente, los contratistas, deben recibir la educación y
la formación en toma de conciencia apropiada, y
seguridad de la información actualizaciones regulares sobre las políticas y
procedimientos pertinentes para su cargo.
Plan de seguimiento, evaluación y análisis del Resultados consolidados del componente evaluación de
MSPI desempeño
Nombre de la Entidad
PRUEBA
Solicite el documento del alcance que debe estar apobado, socializado al interior de la
Entidad, por la alta dirección.
Determine si en la definición del alcance se consideraró:
1) Aspectos internos y externos referidos en el 4.1.:
La Entidad debe determinar los aspectos externos e internos que son necesarios para
cumplir su propósito y que afectan su capacidad para lograr los resultados previstos en
el SGSI. Nota. La terminación de estos aspectos hace referencia a establecer el contexto
interno y externo de la empresa, referencia a la norma ISO 31000:2009 en el apartado
5.3.
2) Los requisitos referidos en 4.2.:
a. Se debe determinar las partes interesadas que son pertinentes al SGSI.
b. Se debe determinar los requisitos de las partes interesadas.
Nota. Los requisitos pueden incluir los requisitos legales y de reglamentación y las
obligaciones contractuales.
3) Las interfaces y dependencias entre las actividades realizadas y las que realizan otras
entidades del gobierno nacional o entidades exteriores
Solicite la política de seguridad de la información de la entidad y evalúe:
a) Si se definen los objetivos, alcance de la política
b) Si esta se encuentra alineada con la estrategia y objetivos de la entidad
c) Si fue debidamente aprobada y socializada al interior de la entidad por la alta
dirección
Revise si la política:
a)Define que es seguridad de la información
b) La asignación de las responsabilidades generales y específicas para la gestión de la
seguridad de la información, a roles definidos;
c) Los procesos para manejar las desviaciones y las excepciones.
Indague sobre los responsables designados formalmente por la dirección para
desarrollar, actualizar y revisar las políticas.
Verifique cada cuanto o bajo que circunstancias se revisan y actualizan, verifique la
ultima fecha de emisión de la política frente a la fecha actual y que cambios a sufrido,
por lo menos debe haber una revisión anual.
Para la calificación tenga en cuenta que:
1) Si se empiezan a definir las políticas de seguridad y privacidad de la información
basada en el Modelo de Seguridad y Privacidad de la Información, están en 20.
2) Si se revisan y se aprueban las políticas de seguridad y privacidad de la información, ,
están en 40.
3) Si se divulgan las políticas de seguridad y privacidad de la información, están en 60.
N/A
Solicite los Indicadores de gestión del MSPI definidos, revisados y aprobados por la alta
Dirección.
Solicite y evalue el documento con el plan de seguimiento, evaluación, análisis y
resultadosdel MSPI, revisado y aprobado por la alta Dirección.
componente planificación
componente planificación
componente planificación
componente planificación
componente planificación
ID.RA-5
ID.RM-1 componente planificación
ID.RM-2
ID.RM-3
ID.RA-6
ID.RM-1 Modelo de Seguridad y
Privacidad de la Información,
ID.RM-2 componente planificación
ID.RM-3
componente planificación
componente implementación
componente implementación
componente implementación
componente evaluación del
desempeño
NIVEL DE RECOMENDACIÓN
CUMPLIMIENTO PHVA
0
0 0
0 0
0
0 0
0 0
0
0
0
0 0
1 N/A
0.1785714286 0.0357142857
0
0 0
0 0
0 0
ENTIDAD EVALUADA
ID REQUISITO CARGO
R1 n/a
R2 n/a
R3 n/a
R4 n/a
R5 Responsable de SI
R6 n/a
R7 n/a
R8 n/a
R10 n/a
R11 n/a
R12 n/a
R13 n/a
R14 n/a
R15 n/a
R16 n/a
R17 n/a
R18 n/a
R19 n/a
R20 n/a
R21 n/a
R22 n/a
R23 n/a
R24 n/a
R25 n/a
R26 n/a
R27 n/a
R28 n/a
R29 n/a
R30 n/a
R31 n/a
R32 n/a
R33 n/a
R34 n/a
R35 n/a
R36 n/a
R37 n/a
Responsable de
R38 compras y
adquisiciones
Responsable de
R39 compras y
adquisiciones
R40 n/a
R41 n/a
R42 n/a
R43 n/a
R44 n/a
R45 n/a
R46 n/a
R47 n/a
R48 n/a
R49 n/a
R50 n/a
R51 n/a
R52 n/a
R53 n/a
E DE MADUREZ GESTIONADO CUANTITATIVAMENTE
R55 n/a
LIMITE DE MADUREZ OPTIMIZADO
INSTRUMENTO D
REQUISITO HOJA
Determinar el impacto que generan los eventos que atenten contra la Tecnicas
integridad, disponibilidad y confidencialidad de la información de la Entidad.
Con base en el inventario de activos de información clasificado, se establece la Madurez
caracterización de cada uno de los sistemas de información.
Identificar los riesgos asociados con la información, físicos, lógicos, identificando PHVA
sus vulnerabilidades y amenazas.
1) Si se elaboran informes de TODOS los incidentes de seguridad y privacidad de
la información, TODOS estan documentados e incluidos en el plan de
mejoramiento continuo.Se definen los controles y medidas necesarias para Tecnicas
disminuir los incidentes y prevenir su ocurrencia en el futuro, estan en 40.
2) Si los controles y medidas identificados para disminuir los incidentes fueron
implementados, estan en 60.
Seguridad ligada a los recursos humanos, al cese o cambio de puesto de trabajo Administrativas
PHVA
Se utilizan indicadores de cumplimiento para establecer si las políticas de
seguridad y privacidad de la información y las clausulas establecidas por la PHVA
organización en los contratos de trabajo, son acatadas PHVA
correctamente. Se deben generar informes del desempeño de la operación del PHVA
MSPI, con la medición de los indicadores de gestión definidos.
PHVA
Nombre de la Entidad
NIVEL 1 CUMPLIMIENTO
ELEMENTO CALIFICACIÓN OBTENIDA INICIAL NIVEL INICIAL
AD.4.1.1 0 40 MENOR
AD.4.2.1 0 20 MENOR
AD.3.2.2 0 20 MENOR
P.1 0 20 MENOR
AD.1.1 0 20 MENOR
P.4 0 20 MENOR
R5 100 20 MAYOR
AD.1.1 0 20 MENOR
P.1 0 60 MENOR
T.7.1.4 0 20 MENOR
R9 40 N/A N/A
140 0
0 0
I.5 #N/A N/A N/A
E.1 0 N/A N/A
E.2 0 N/A N/A
E.3 0 N/A N/A
M.1 0 N/A N/A
CUMPLIMIENTO
NIVEL 2 NIVEL 3
NIVEL GESTIONADO
GESTIONADO DEFINIDO
60 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MAYOR 60
40 MENOR 60
60 MENOR 60
40 MENOR 60
60 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
40 MENOR 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
N/A N/A 60
0 660
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
N/A N/A N/A
CUMPLIMIENTO
CUMPLIMIENTO NIVEL 4 NIVEL 4
NIVEL DEFINIDO GESTIONADO GESTIONADO
CUANTITATIVAMENTE CUANTITATIVAMENTE
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MAYOR 80 MAYOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 60 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
MENOR 80 MENOR
N/A 40 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
N/A 60 MENOR
660 MENOR
N/A N/A N/A
LUADA
CUMPLIMIENTO
NIVEL 5
OPTIMIZADO NIVEL 5 NIVEL
OPTIMIZADO
GESTIONADO
100 MENOR CUANTITATIVAMENTE
100 MENOR
100 MENOR
80 MENOR
980 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
1100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
100 MENOR
1100 MENOR
80 #N/A
60 MENOR
60 MENOR
60 MENOR
60 MENOR
60 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
80 MENOR
880 MENOR
60 MENOR
1660 MENOR
0
20
40
60
80
100
CUMPLE?
0
0
0
NO ALCANZA NIVEL INICIAL
FTIC-LP-09-15
INSTRUMENTO DE IDENTIFICACIÓN DE LA LINEA BASE DE SEGURIDAD AD
HOJA LEVANTAMIENTO DE INFORMACIÓN
Nombre de la Entidad
ENTIDAD EVALUADA
CONTROL
SUBCATEGORIA
FUNCIÓN NIST ANEXO A ISO CARGO
NIST 27001
DE.AE-1, DE.AE-3,
DETECTAR n/a Responsable de SI
DE.AE-4, DE.AE-5
DE.CM-1, DE.CM-2,
DETECTAR n/a Responsable de SI
DE.CM-7
Nombre de la Entidad
ENTIDAD EVALUADA
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 100
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Técnicas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
n/a Administrativas 0
FUNCION CSF
DETECTAR
DETECTAR
IDENTIFICAR
IDENTIFICAR
RESPONDER
RECUPERAR
IDENTIFICAR
RESPONDER
IDENTIFICAR
IDENTIFICAR
RECUPERAR
PROTEGER
DETECTAR
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
RESPONDER
RESPONDER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
RESPONDER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
DETECTAR
RESPONDER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
DETECTAR
DETECTAR
PROTEGER
DETECTAR
RESPONDER
DETECTAR
RESPONDER
DETECTAR
RESPONDER
RESPONDER
RESPONDER
RESPONDER
RECUPERAR
DETECTAR
RESPONDER
RESPONDER
RESPONDER
IDENTIFICAR
PROTEGER
IDENTIFICAR
PROTEGER
PROTEGER
PROTEGER
PROTEGER
PROTEGER
IDENTIFICAR
IDENTIFICAR
PROTEGER
DETECTAR
PROTEGER
IDENTIFICAR
IDENTIFICAR
IDENTIFICAR
PROTEGER
PROTEGER
DETECTAR