Documente Academic
Documente Profesional
Documente Cultură
Tabla de Valores
Página 1
Resumen
50%
5.- Gestión de la
0% 8.- M
Responsabilidad
Número
0
6.- Auditoría Interna 7.- Revisión por la
1 Del SGSI Dirección del SGSI
3 60
50
1
40
105
0 30
20
10
0
4.- SGSI 5.- Gestión de la 6.- Auditoría 7.- Revisión por la 8.- Mejor
Responsabilidad Interna Dirección del SGSI
Del SGSI SGSI
Página 2
Resumen
100%
50%
Control OK
# NC Menores
# NC Mayores
Página 3
Seccion_4
Control de
ISO /IEC
27001
4
4.1
4.1
4.2
4.2.1
4.2.1 (a)
4.2.1 (b)
4.2.1 (c)
4.2.1 (d)
4.2.1 (e)
4.2.1 (f)
4.2.1 (g)
4.2.1 (h)
4.2.1 (i)
4.2.1 (j)
4.2.2
4.2.2 (a)
4.2.2 (b)
4.2.2 (c)
4.2.2 (d)
4.2.2 (e)
4.2.2 (f)
4.2.2 (g)
4.2.2 (h)
4.2.3
4.2.3 (a)
4.2.3 (b)
4.2.3 (c)
4.2.3 (d)
Página 4
Seccion_4
4.2.3 (e)
4.2.3 (f)
4.2.3 (g)
4.2.3 (h)
4.2.4
4.2.4 (a)
4.2.4 (b)
4.2.4 (c)
4.2.4 (d)
4.3
4.3.1
4.3.1 (a)
4.3.1 (b)
4.3.1 (c)
4.3.1 (d)
4.3.1 (e)
4.3.1 (f)
4.3.1 (g)
4.3.1 (h)
4.3.1 (i)
4.3.2
4.3.2
4.3.2 (a)
4.3.2 (b)
4.3.2 (c)
4.3.2 (d)
4.3.2 (e)
4.3.2 (f)
4.3.2 (g)
4.3.2 (h)
4.3.2 (i)
4.3.2 (j)
4.3.3
Página 5
Seccion_4
4.3.3 (a)
4.3.3 (b)
4.3.3 (c)
4.3.3 (d)
4.3.3 (e)
4.3.3 (f)
Página 6
Seccion_4
Implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados
Implementar los controles seleccionados en 4.2.1g para llegar a los objetivos de control
Definir cómo medir la efectividad de los controles o grupos de controles seleccionados y especificar cómo estas medicion
utilizadas para evaluar la efectividad del control para producir resultados comparables y reproducibles (ver 4.2.3c)
Revisar las evaluaciones de riesgos en intervalos planificados y revisar los riesgos residuales y los niveles aceptables de
identificados.
Página 7
Seccion_4
Llevar a cabo una revisión por la dirección del SGSI de manera regular (ver 7.1)
Actualizar los planes de seguridad para tener en cuenta los hallazgos de las actividades de monitorización y revisión
Registrar acciones y eventos que podrían tener impacto en la efectividad o el rendimiento del SGSI (ver 4.3.3)
Mantener y mejorar el SGSI
Implementar las mejoras identificadas en el SGSI
Llevar a cabo las acciones correctivas y preventivas de acuerdo con 8.2 y 8.3
Comunicar las acciones y mejoras a todas las partes interesadas
Asegurar que las mejoras consiguen sus objetivos propuestos
Requerimientos de Documentación
Documentación General del SGSI
Documentar los procedimientos y objetivos de la política del SGSI (ver 4.2.1b)
Alcance del SGSI (ver 4.2.1A)
Procedimientos y controles de apoyo al SGSI
Descripción de la metodología de evaluación de Riesgos (ver 4.2.1c)
Informe de evaluación de Riesgos (ver desde el 4.2.1c al 4.2.1g)
Plan de Tratamiento de Riesgos (ver 4.2.2b)
Procedimientos necesitados por la organización para asegurar la planificación efectiva, la operación y el control de sus pr
seguridad de la información y describir cómo medir la efectividad de los controles (ver 4.2.3c)
Registros requeridos por este Estándar Internacional (ver 4.3.3)
Declaración de Aplicabilidad
Control de Documentos
Los Documentos requeridos por el SGSI deberán ser protegidos y controlados. Un procedimiento documentado deberá s
para definir las acciones de la dirección necesitadas para:
Aprobar documentos para su adecuación antes de su emisión
Revisar y actualizar documentos cuando sea necesario y re-aprobar documentos.
Asegurar que los cambios y que los estados de revisión actual de los documentos están identificados
Asegurar que las versiones pertinentes de documentos aplicables están disponible y a punto para ser usados
Asegurar que los documentos permanecen legibles y fácilmente identificables
Asegurar que los documentos están disponibles para aquellos que lo necesiten y son transferidos, almacenados y en últi
eliminados de acuerdo a los procedimientos aplicables en base a su clasificación
Asegurar que los documentos de procedencia externa están identificados.
Asegurar que la distribución de los documentos está controlada.
Aplicar una identificación adecuada a los documentos si éstos son retenidos para cualquier propósito.
Control de los Registros
Página 8
Seccion_4
Los registros deben establecerse y mantenerse para proporcionar evidencias de conformidad a los requerimientos y a la
SGSI
Los registros serán protegidos y controlados
El SGSI debe tener en cuenta los requisitos legales o reglamentarios y las obligaciones contractuales.
Los controles necesarios para la identificación, almacenamiento, protección, recuperación, tiempo de retención y desecha
registros serán documentados e implementados.
Se mantendrán registros de los resultados del proceso, como se indica en el apartado 4.2 y de todas las ocurrencias de i
seguridad significativos relacionados con el SGSI.
Página 9
Seccion_4
Valoración Observaciones
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
Se ha llevado a cabo el análisis de
riesgos y se ha establecido un plan al
L4 respecto que está dotado de recursos y
en ejecución. Aún no se han llevado a
cabo mejoras sobre éste
L5
L5
L5
L5
L5
L5
Los riesgos se revisan periódicamente
L5 o bien cuando hay cambios
significativos en el sistema
Página 10
Seccion_4
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
Los documentos están dentro de
carpetas del servidor de ficheros. Las
versiones obsoletas comparten
carpetas con las versiones vigentes.
L2 Esto podría inducir a confusión.
Está proyectada la implementación de
un software de gestión documental que
solucionará este tema.
L5
Página 11
Seccion_4
L5
L5
L5
Se centralizan en una carpeta al efecto
L5
del servidor de ficheros
L5
L5
Página 12
Seccion_5
Control de
ISO /IEC
27001
5
5.1
5.1
5.1 (a)
5.1 (b)
5.1 (c)
5.1 (d)
5.1 (e)
5.1 (f)
5.1 (g)
5.1 (h)
5.2
5.2.1
5.2.1
5.2.1 (a)
5.2.1 (b)
5.2.1 (c)
5.2.1 (d)
5.2.1 (e)
5.2.1 (f)
5.2.2
5.2.2
5.2.2 (a)
5.2.2 (b)
5.2.2 (c)
5.2.2 (d)
5.2.2
Página 13
Seccion_5
Proporcionar formación o tomar otras acciones (por ejemplo, el empleo de personal competente) para satisfacer estas ne
La organización también debe asegurar que todo el personal pertinente es consciente de la relevancia e importancia de s
de seguridad de la información y de cómo contribuyen al logro de los objetivos del SGSI.
Página 14
Seccion_5
Valoración Anotaciones
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
Se ha definido un proyecto para el
programa de formación y
L3
concienciación que aún no se ha
ejecutado
L5
L5
Pendiente del programa de formación y
L3 concienciación que aún no se ha
ejecutado
Página 15
Seccion_6
Control de
ISO /IEC
27001
6
6
6 (a)
6 (b)
6 (c)
6 (d)
6 (e)
6 (f)
Página 16
Seccion_6
Página 17
Seccion_6
Valoración Anotaciones
L5
L5
L5
L5
L5
L5
Página 18
Seccion_7
Control de
ISO /IEC
27001
7
7.1
7.1
7.2 (a)
7.2
7.2 (a)
7.2 (b)
7.2 (c)
7.2 (d)
7.2 (e)
7.2 (f)
7.2 (g)
7.2 (h)
7.2 (i)
7.3
7.3
7.3 (a)
7.3 (b)
7.3 (c)
7.3 (d)
7.3 (e)
Página 19
Seccion_7
Página 20
Seccion_7
Valoración Anotaciones
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
Página 21
Seccion_8
Control de
ISO /IEC
27001
8
8.1
8.1
8.2 (a)
8.2
8.2 (a)
8.2 (b)
8.2 (c)
8.2 (d)
8.2 (e)
8.2 (f)
8.3 (a)
8.3
8.3 (a)
8.3 (b)
8.3 (c)
8.3 (d)
8.3 (e)
8.3
Página 22
Seccion_8
Acción Preventiva
La organización determinará acciones para eliminar las causas de no conformidades potenciales con los requisitos del SG
prevenir su ocurrencia. Las acciones preventivas tomadas deben ser apropiadas a los efectos de los problemas potencia
procedimiento documentado para las acciones preventivas deben definir requisitos para:
Identificar no conformidades potenciales y sus causas
Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades
Determinar e implementar las acciones preventivas necesarias
Registrar los resultados de las acciones tomadas (véase 4.3.3)
Revisar las acciones preventivas tomadas
La organización debe identificar cambios en los riesgos y determinar las necesidades de acciones preventivas centrando
los riesgos que han cambiado significativamente
Página 23
Seccion_8
Valoración Anotaciones
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
L5
Página 24