Resumen

Evaluación de Madurez respecto a los controles definid

% de # NC # NC
Dominio
Efectividad Mayores Menores Control OK
4.- SGSI 99% 0 2 54
5.- Gestión de la
Responsabilidad 99% 0 2 18
6.- Auditoría Interna
Del SGSI 100% 0 0 6
7.- Revisión por la
Dirección del SGSI 100% 0 0 15
8.- Mejora del SGSI 100% 0 0 13

Tabla de Valores

Valor Efectividad Significado Descripción

L0 0% Inexistente Carencia completa de cualquier proceso conocido.

Procedimientos inexistentes o localizados en áreas

L1 10% Inicial / Ad-hoc concretas. El éxito de las tareas se debe a
esfuerzos personales.
Existe un método de trabajo basado en la
L2 50% Reproducible, pero intuitivo experiencia, aunque sin comunicación formal.
Dependencia del conocimiento individual
La organización en su conjunto participa en el
L3 90% Proceso definido proceso. Los procesos están implantados,
documentados y comunicados.

Se puede seguir la evolución de los procesos

L4 95% Gestionado y medible mediante indicadores numéricos y estadísticos. Hay
herramientas para mejorar la calidad y la eficiencia

Los procesos están bajo constante mejora. En base

a criterios cuantitativos se determinan las
L5 100% Optimizado desviaciones más comunes y se optimizan los
procesos
L6 N/A No aplica

Página 1
 Resumen

ontroles definidos en la ISO 27001

4.- SGSI
100%

50%

5.- Gestión de la
0% 8.- M
Responsabilidad

Número

0
6.- Auditoría Interna 7.- Revisión por la
1 Del SGSI Dirección del SGSI

3 60

50
1

40

105
0 30

20

10

0
4.- SGSI 5.- Gestión de la 6.- Auditoría 7.- Revisión por la 8.- Mejor
Responsabilidad Interna Dirección del SGSI
Del SGSI SGSI

Página 2
 Resumen

100%

50%

0% 8.- Mejora del SGSI

7.- Revisión por la

Dirección del SGSI

Control OK
# NC Menores
# NC Mayores

7.- Revisión por la 8.- Mejora del

Dirección del SGSI
SGSI

Página 3
 Seccion_4

Control de
ISO /IEC
27001
4
4.1
4.1
4.2
4.2.1
4.2.1 (a)
4.2.1 (b)
4.2.1 (c)
4.2.1 (d)
4.2.1 (e)
4.2.1 (f)
4.2.1 (g)
4.2.1 (h)
4.2.1 (i)
4.2.1 (j)
4.2.2
4.2.2 (a)

4.2.2 (b)

4.2.2 (c)
4.2.2 (d)

4.2.2 (e)

4.2.2 (f)
4.2.2 (g)
4.2.2 (h)
4.2.3
4.2.3 (a)
4.2.3 (b)
4.2.3 (c)

4.2.3 (d)

Página 4
 Seccion_4

4.2.3 (e)
4.2.3 (f)
4.2.3 (g)
4.2.3 (h)
4.2.4
4.2.4 (a)
4.2.4 (b)
4.2.4 (c)
4.2.4 (d)
4.3
4.3.1
4.3.1 (a)
4.3.1 (b)
4.3.1 (c)
4.3.1 (d)
4.3.1 (e)
4.3.1 (f)
4.3.1 (g)
4.3.1 (h)
4.3.1 (i)
4.3.2
4.3.2
4.3.2 (a)
4.3.2 (b)
4.3.2 (c)
4.3.2 (d)
4.3.2 (e)
4.3.2 (f)
4.3.2 (g)
4.3.2 (h)

4.3.2 (i)

4.3.2 (j)
4.3.3

Página 5
 Seccion_4

4.3.3 (a)
4.3.3 (b)
4.3.3 (c)
4.3.3 (d)

4.3.3 (e)

4.3.3 (f)

Página 6
 Seccion_4

Requerimientos obligatorios para el SGSI

SGSI
Requerimientos Generales
La organización debe establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI documentado
Establecer y Gestionar el SGSI
Establecer el SGSI
Definir el alcance y los límites del SGSI
Definir una política de SGSI
Definir el enfoque de la evaluación de Riesgos
Identificar los riesgos
Analizar y evaluar los riesgos
Identificar y evaluar opciones para el tratamiento de riesgos
Seleccionar objetivos de control y controles para el tratamientos de riesgos
Obtener la aprobación por parte de la dirección de los riesgos residuales propuestos
Obtener la autorización de la Dirección para implementar y operar el SGSI
Preparar una Declaración de aplicabilidad
Implementar el SGSI
Elaborar un plan de tratamiento de riesgos

Implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados

Implementar los controles seleccionados en 4.2.1g para llegar a los objetivos de control
Definir cómo medir la efectividad de los controles o grupos de controles seleccionados y especificar cómo estas medicion
utilizadas para evaluar la efectividad del control para producir resultados comparables y reproducibles (ver 4.2.3c)

Implementar programas de formación y concienciación (ver 5.2.2)

Gestionar la operación del SGSI

Gestionar los recursos para el SGSI (ver 5.2)
Implementar procedimientos y otros controles capaces de permitir una rápida detección de eventos de seguridad y respu
incidentes de seguridad (ver 4.2.3a)
Monitorizar y Revisar el SGSI
Ejecutar procedimientos de monitorización y revisión y otros controles
Llevar a cabo revisiones periódicas de la efectividad del SGSI
Medir la efectividad de los controles para verificar que se cumplen los requerimientos de seguridad

Revisar las evaluaciones de riesgos en intervalos planificados y revisar los riesgos residuales y los niveles aceptables de
identificados.

Página 7
 Seccion_4

Llevar a cabo auditorías internas del SGSI de manera regular (ver 6)

Llevar a cabo una revisión por la dirección del SGSI de manera regular (ver 7.1)
Actualizar los planes de seguridad para tener en cuenta los hallazgos de las actividades de monitorización y revisión
Registrar acciones y eventos que podrían tener impacto en la efectividad o el rendimiento del SGSI (ver 4.3.3)
Mantener y mejorar el SGSI
Implementar las mejoras identificadas en el SGSI
Llevar a cabo las acciones correctivas y preventivas de acuerdo con 8.2 y 8.3
Comunicar las acciones y mejoras a todas las partes interesadas
Asegurar que las mejoras consiguen sus objetivos propuestos
Requerimientos de Documentación
Documentación General del SGSI
Documentar los procedimientos y objetivos de la política del SGSI (ver 4.2.1b)
Alcance del SGSI (ver 4.2.1A)
Procedimientos y controles de apoyo al SGSI
Descripción de la metodología de evaluación de Riesgos (ver 4.2.1c)
Informe de evaluación de Riesgos (ver desde el 4.2.1c al 4.2.1g)
Plan de Tratamiento de Riesgos (ver 4.2.2b)
Procedimientos necesitados por la organización para asegurar la planificación efectiva, la operación y el control de sus pr
seguridad de la información y describir cómo medir la efectividad de los controles (ver 4.2.3c)
Registros requeridos por este Estándar Internacional (ver 4.3.3)
Declaración de Aplicabilidad
Control de Documentos
Los Documentos requeridos por el SGSI deberán ser protegidos y controlados. Un procedimiento documentado deberá s
para definir las acciones de la dirección necesitadas para:
Aprobar documentos para su adecuación antes de su emisión
Revisar y actualizar documentos cuando sea necesario y re-aprobar documentos.
Asegurar que los cambios y que los estados de revisión actual de los documentos están identificados
Asegurar que las versiones pertinentes de documentos aplicables están disponible y a punto para ser usados
Asegurar que los documentos permanecen legibles y fácilmente identificables
Asegurar que los documentos están disponibles para aquellos que lo necesiten y son transferidos, almacenados y en últi
eliminados de acuerdo a los procedimientos aplicables en base a su clasificación
Asegurar que los documentos de procedencia externa están identificados.
Asegurar que la distribución de los documentos está controlada.

Prevenir el uso no intencionado de documentos obsoletos.

Aplicar una identificación adecuada a los documentos si éstos son retenidos para cualquier propósito.
Control de los Registros

Página 8
 Seccion_4

Los registros deben establecerse y mantenerse para proporcionar evidencias de conformidad a los requerimientos y a la
SGSI
Los registros serán protegidos y controlados
El SGSI debe tener en cuenta los requisitos legales o reglamentarios y las obligaciones contractuales.

Los registros deben permanecer legibles, fácilmente identificables y recuperables.

Los controles necesarios para la identificación, almacenamiento, protección, recuperación, tiempo de retención y desecha
registros serán documentados e implementados.
Se mantendrán registros de los resultados del proceso, como se indica en el apartado 4.2 y de todas las ocurrencias de i
seguridad significativos relacionados con el SGSI.

Página 9
 Seccion_4

Valoración Observaciones

L5

L5
L5
L5
L5
L5
L5
L5
L5
L5
L5

L5
Se ha llevado a cabo el análisis de
riesgos y se ha establecido un plan al
L4 respecto que está dotado de recursos y
en ejecución. Aún no se han llevado a
cabo mejoras sobre éste
L5

L5

Se ha definido un proyecto para el

programa de formación y
L3
concienciación que aún no se ha
ejecutado
L5
L5

L5

L5
L5
L5
Los riesgos se revisan periódicamente
L5 o bien cuando hay cambios
significativos en el sistema

Página 10
 Seccion_4

El plan de auditorías está definido y se

L5
cumple
L5
L5
L5

L5
L5
L5
L5

L5
L5
L5
L5
L5
L5

L5

L5
L5

L5
L5
L5
L5
L5

L5

L5
L5
Los documentos están dentro de
carpetas del servidor de ficheros. Las
versiones obsoletas comparten
carpetas con las versiones vigentes.
L2 Esto podría inducir a confusión.
Está proyectada la implementación de
un software de gestión documental que
solucionará este tema.
L5

Página 11
 Seccion_4

L5

L5
L5
Se centralizan en una carpeta al efecto
L5
del servidor de ficheros

L5

L5

Página 12
 Seccion_5

Control de
ISO /IEC
27001
5
5.1
5.1
5.1 (a)
5.1 (b)
5.1 (c)
5.1 (d)
5.1 (e)
5.1 (f)
5.1 (g)
5.1 (h)
5.2
5.2.1
5.2.1
5.2.1 (a)
5.2.1 (b)
5.2.1 (c)
5.2.1 (d)
5.2.1 (e)
5.2.1 (f)
5.2.2
5.2.2
5.2.2 (a)

5.2.2 (b)

5.2.2 (c)
5.2.2 (d)

5.2.2

Página 13
 Seccion_5

Requerimientos obligatorios para el SGSI

Gestión de la Responsabilidad
Compromiso de la dirección
La dirección debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitore
mantenimiento y mejora del SGSI por:
Establecer una política de SGSI
Asegurar de que se establecen los objetivos y los planes del ISMS
Establecer roles y responsabilidades para la seguridad de la información
Comunicar a la organización la importancia de satisfacer los objetivos de seguridad de la información y conforme a la pol
seguridad de la información, sus responsabilidades en virtud de la ley así como la necesidad de la mejora continua
Proporcionar recursos suficientes para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI (
Decidir los criterios de aceptación de riesgos y los niveles de riesgo aceptables
Asegurarse de que las auditorías internas del SGSI se llevan a cabo (ver 6)
La realización de revisiones por la dirección del SGSI (ver 7)
Gestión de los recursos
Provisión de Recursos
La organización deberá determinar y proveer los recursos necesarios para:
Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI
Asegurar que los procedimientos de seguridad de la información son compatibles con los requerimientos del negocio
Identificar y abordar los requisitos legales y reglamentarios y las obligaciones contractuales de seguridad
Mantener la seguridad adecuada mediante la aplicación correcta de todos los controles implementados
Llevar a cabo revisiones cuando sea necesario, y dar una respuesta adecuada a los resultados de estas revisiones
Cuando sea necesario, mejorar la eficacia del SGSI
Formación, sensibilización y competencia
La organización debe asegurarse de que todo el personal al que se le asigna responsabilidades definidas en el SGSI sea
para desempeñar las tareas requeridas por:
Determinar las competencias necesarias para el personal que realiza trabajo efectivo en el SGSI

Proporcionar formación o tomar otras acciones (por ejemplo, el empleo de personal competente) para satisfacer estas ne

Evaluar la efectividad de las acciones llevadas a cabo

El mantenimiento de los registros de educación, formación, habilidades, experiencia y calificaciones (véase 4.3.3)

La organización también debe asegurar que todo el personal pertinente es consciente de la relevancia e importancia de s
de seguridad de la información y de cómo contribuyen al logro de los objetivos del SGSI.

Página 14
 Seccion_5

Valoración Anotaciones

L5

L5
L5
L5

L5

L5
L5
L5
L5

L5
L5
L5
L5
L5
L5

L5
Se ha definido un proyecto para el
programa de formación y
L3
concienciación que aún no se ha
ejecutado
L5
L5
Pendiente del programa de formación y
L3 concienciación que aún no se ha
ejecutado

Página 15
 Seccion_6

Control de
ISO /IEC
27001
6
6
6 (a)
6 (b)
6 (c)
6 (d)
6 (e)

6 (f)

Página 16
 Seccion_6

Requerimientos obligatorios para el SGSI

Auditoría Interna del SGSI
La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados para determinar si los objetivos
controles, procesos y procedimientos de su SGSI:
Cumplir con los requisitos de este Estándar Norma y la legislación o los reglamentos pertinentes
Cumplir con los requisitos de seguridad de la información identificados
Que está efectivamente implementado y mantenido
Desempeñe según lo esperado
Que sea planificado un programa de auditoría
La dirección responsable del área que esté siendo auditada debe asegurarse de que se toman acciones sin demora injus
eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de la
llevadas a cabo y el informe de resultados de la verificación (ver 8).

Página 17
 Seccion_6

Valoración Anotaciones

L5
L5
L5
L5
L5

L5

Página 18
 Seccion_7

Control de
ISO /IEC
27001
7
7.1
7.1
7.2 (a)
7.2
7.2 (a)
7.2 (b)
7.2 (c)
7.2 (d)
7.2 (e)
7.2 (f)
7.2 (g)
7.2 (h)
7.2 (i)
7.3
7.3
7.3 (a)
7.3 (b)
7.3 (c)
7.3 (d)
7.3 (e)

Página 19
 Seccion_7

Requerimientos obligatorios para el SGSI

Revisión por la dirección del SGSI
General
La dirección revisará SGSI de la organización a intervalos planificados (por lo menos una vez al año) para asegurar su co
idoneidad, adecuación y eficacia
Información para la Revisión
La información para una revisión incluirá:
Resultados de Auditorías y revisiones del SGSI
Los comentarios de las partes interesadas
Técnicas, productos o procedimientos, que podrían ser utilizados en la organización para mejorar el rendimiento y la efica
Estado de las acciones preventivas y correctivas
Las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgos anterior
Los resultados de las mediciones de la eficacia
Las acciones de seguimiento de revisiones previas de la dirección
Todos los cambios que podrían afectar al SGSI
Recomendaciones de mejora
Resultados de la Revisión
El resultado de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con lo siguiente:
Mejora de la eficacia del SGSI
Actualización del plan de tratamiento de riesgos y evaluación de riesgos
Modificación de los procedimientos y controles que la seguridad efecto la información, según sea necesario, para respon
internos o externos que pueden influir en el SGSI
Necesidades de Recursos
Mejoras de cómo la efectividad de los controles está siendo medida

Página 20
 Seccion_7

Valoración Anotaciones

L5

L5
L5
L5
L5
L5
L5
L5
L5
L5

L5
L5

L5

L5
L5

Página 21
 Seccion_8

Control de
ISO /IEC
27001
8
8.1

8.1

8.2 (a)
8.2
8.2 (a)
8.2 (b)
8.2 (c)
8.2 (d)
8.2 (e)
8.2 (f)
8.3 (a)

8.3

8.3 (a)
8.3 (b)
8.3 (c)
8.3 (d)
8.3 (e)
8.3

Página 22
 Seccion_8

Requerimientos obligatorios para el SGSI

Mejora del SGSI
Mejora continua
La organización debe mejorar continuamente la eficacia del SGSI a través del uso de la política de seguridad de la inform
objetivos de seguridad de la información, resultados de las auditorías, el análisis de los eventos monitorizados, acciones
preventivas y la revisión por la dirección (véase 7).
Acción Correctiva
La organización deberá tomar acciones para eliminar la causa de no conformidades con los requisitos del SGSI con el fin
recurrencia de éstas. El procedimiento documentado de acciones correctivas debe definir requisitos para:
Identificar las no conformidades
Determinar las causas de las no conformidades
Evaluar la necesidad de adoptar medidas para asegurar que las no conformidades no vuelvan a ocurrir
Determinar y aplicar las medidas correctivas necesarias
Registrar los resultados de las acciones tomadas (véase 4.3.3)
Revisar las acciones correctivas tomadas

Acción Preventiva
La organización determinará acciones para eliminar las causas de no conformidades potenciales con los requisitos del SG
prevenir su ocurrencia. Las acciones preventivas tomadas deben ser apropiadas a los efectos de los problemas potencia
procedimiento documentado para las acciones preventivas deben definir requisitos para:
Identificar no conformidades potenciales y sus causas
Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades
Determinar e implementar las acciones preventivas necesarias
Registrar los resultados de las acciones tomadas (véase 4.3.3)
Revisar las acciones preventivas tomadas
La organización debe identificar cambios en los riesgos y determinar las necesidades de acciones preventivas centrando
los riesgos que han cambiado significativamente

Página 23
 Seccion_8

Valoración Anotaciones

L5

L5
L5
L5
L5
L5
L5

L5
L5
L5
L5
L5

L5

Página 24