Documente Academic
Documente Profesional
Documente Cultură
4 CONTEXTO DE LA ORGANIZACIÓN
Determinar los aspectos externos e internos relevantes para el SGSI y que afectan la
4.1.1 capacidad de lograr los resultados NA
Determinar las partes interesadas y sus requisitos que son relevantes para el sistema
4.2.1 de gestión de seguridad de información NA
Determinar el alcance del sistema de gestión de seguridad de la
4.3 información
Determinar los límites y aplicabilidad del SGSI para establecer su alcance, considerando
4.3.1 las interfaces y dependencias entre organizaciones NA
5 LIDERAZGO
5.2 Política
5.2.7 Debe estar disponible a las partes interesadas, según sea apropiado NA
6 PLANIFICACIÓN
Determinar los riesgos y oportunidades que necesitan ser tratados para asegurar que el
6.1.1 SGSI pueda lograr los resultados esperados o reducir, efectos indeseados NA
Evaluar el SGSI y determinar las acciones correctivas, preventivas que contribuyan a
6.1.2 mejorar su eficiencia NA
6.1.3 Planificar acciones que traten estos riesgos y oportunidades referidos en las cláusulas NA
Integrar e implementar las acciones en los procesos del sistema de gestión de
6.1.4 seguridad de la información y evaluar la efectividad de las mismas NA
6.2.6 La planificación debe prever las actividades necesarias para lograr los objetivos NA
6.2.7 La planificación debe prever los recursos que serán requeridos para lograr los objetivos NA
7.1 Recursos
7.2 Competencia
7.3 Concientización
7.4 Comunicación
7.5.3.1 Debe estar disponible y debe ser conveniente para su uso donde y cuando se requiera NA
Debe estar protegida adecuadamente (por ejemplo de pérdida de confidencialidad, uso
7.5.3.2 impropio o pérdida de integridad) NA
8 OPERACIÓN
Planificar, implementar y controlar los procesos necesarios para cumplir los requisitos
8.1.1 de seguridad de la información, gestionar los riesgos y lograr los objetivos NA
Mantener información documentada en la medida necesaria para asegurar que los
8.1.2 procesos se han llevado a cabo tal como fueron planificados NA
Controlar los cambios planeados y revisar las consecuencias de cambios no
8.1.3 intencionados, actuando para mitigar efecto adverso, según sea necesario NA
9.2.6 Asegurar que los resultados de las auditorías se reporten a los gerentes relevantes NA
Mantener información documentada como evidencia del los programas de auditoría y
9.2.7 los resultados de la auditoría NA
Incluir el estado de las acciones con relación a las revisiones anteriores por parte de la
9.3.1 gerencia NA
9.3.2 Incluir cambios en asuntos externos e internos que son relevantes al SGSI NA
Incluir retroalimentación sobre el desempeño de seguridad de la información,
9.3.3 incluyendo resultados del monitoreo, medición, auditoría y cumplimiento de objetivos NA
9.3.5 Incluir resultados de la evaluación de riesgo y estado del plan de tratamiento de riesgos NA
10.1.5 Ejecutar los cambios al SGSI, si fuera necesario, y mantener información documentada NA
Mantener información documentada como evidencia de la naturaleza del
10.1.6 incumplimiento y cualquier acción subsiguiente tomada NA
Mantener información documentada como evidencia de los resultados de cualquier
10.1.7 acción correctiva NA
LEYENDA
Nivel de
Cantidad Descripción % implementación
Madurez
OPTIMIZADO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia OP 0%
establecida, responsabilidades bien definidas, se encuentra documentado, cuenta con
indicadores y se busca la mejora continua
PREDECIBLE
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia PR 0%
establecida, responsabilidades bien definidas, se encuentra documentado y cuenta con
indicadores
ESTABLECIDO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia ES 0%
establecida, responsabilidades bien definidas y se encuentra documentado
GESTIONADO
0 El requerimiento o control se ha implementado y se ejecuta con un frecuencia GE 0%
establecida
INICIAL
0 El requerimiento o control se ha implementado y se ejecuta de manera inicial IN 0%
NO IMPLEMENTADO
0 El requerimiento o control no se ha implementado NI 0%
NO APLICABLE
100 El requerimiento o control no aplica NA 100%
100 100%
ANEXO A - Estado y aplicabilidad de los controles de seguridad de la información
Documentación de
Claúsula Título del control Calíficación Responsable del control
referencia
Dirigir y apoyar al sistema de gestión de seguridad de la información para que este en concordancia con los requisitos del negocio, las leyes y las regulaciones que sean relevantes, para lo cual se debe realizar la emisión y revisión de las políticas y el
Establecer un marco de gestión para la implementación, operación y control de la seguridad de la información dentro de la organización, para lo cual se debe realizar la definición de los roles y las responsabilidades, la segregación de las funciones y de
en la inclusión de la seguridad de la información en la gestión de los proyectos de la organización
Establecer los lineamientos para poder asegurar la confidencialidad, integridad y confidencialidad de la información, que se encuentren en dispositivos móviles tales como laptops, celulares o tabletas, o cuando se realice una conexión desde cualquier
A.6.2.2 Teletrabajo NA
Asegurar que los empleados y contratistas entiendan sus responsabilidades y que sus roles estén alineados a sus responsabilidades para lo cual se debe establecer medidas de protección desde el proceso de selección del personal hasta la firma del co
A.7.1.1 Selección NA
Asegurar que los empleados y contratistas sean conscientes y cumplan con sus responsabilidades de seguridad de la información para lo cual se debe contar con el liderazgo y compromiso de las gerencias, realizar tareas de concientización, educación
cumplimiento de las políticas y procedimientos de la organización
Proteger los intereses de la organización como parte del proceso de cambio de funciones o ante la terminación del empleo
Identificar los activos de la organización y definir las responsabilidades de su protección, para lo cual se debe realizar el inventariado de los activos de información, la definición y asignación de los propietarios de estos activos, la determinación de su u
Asegurar que la información recibe un nivel adecuado de protección de acuerdo a su importancia para la organización, para lo cual es necesario realizar la valorización en relación a su confidencialidad, integridad y disponibilidad, la implementación de
clasificación establecidos
Prevenir la divulgación, modificación, remoción o destrucción no autorizada de información almacenada en cualquier de los medios, tanto en los medios que estén en tránsito, como durante la eliminación y destrucción, en los formatos físicos y electrón
Limitar el acceso a la información y a las instalaciones de procesamiento de la información, mediante el establecimiento de una política para el control de los accesos, incluyendo a las redes y a los servicios de red
Asegurar el acceso de los usuarios que estén autorizados y así evitar los accesos no autorizados a los sistemas de información, mediante la emisión y revocación de accesos a la red y los sistemas, la gestión de perfiles y los derechos de los usuarios p
Hacer que los usuarios respondan por la salvaguarda de su información de autentificación, mediante el uso de la información secreta para la autenticación
Prevenir el acceso no autorizado a los sistemas y aplicaciones, mediante la restricción del acceso a la información, empleando procedimientos de ingreso seguros, la gestión de contraseñas, restricción del uso de programas utilitarios y controlando el a
A.10 Criptografía
A.10.1 Controles criptográficos
Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información, mediante el establecimiento de una política que contenga los lineamientos para el control criptográfico y las activida
Impedir el acceso no autorizado físico, los daños e interferencia a la información y a las instalaciones de procesamiento de la información de la organización, mediante la protección del perímetro y los controles de ingreso físico, aseguramiento de las á
A.11.2 Equipos
Prevenir la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización, mediante la implementación de protecciones en el emplazamiento de los equipos, los suministros de servicios, la seguridad en el cab
des atendidos, escritorio limpio y pantalla limpias, y la revisión independiente
Asegurar que las operaciones en las instalaciones de procesamiento de la información sean correctas y seguras, mediante la formalización y documentación, se gestión los cambios, las capacidades y la separación de los entornos de desarrollo, prueba
Asegurar que la información y las instalaciones de procesamiento de la información estén protegidas contra malware
A.12.3 Respaldo
Registrar todos los eventos necesarios y generar las evidencias, mediante la generación de estos registros de eventos, incluyendo los relacionados a las operaciones de los administradores y operadores, implementado protección para estos registros y
Prevenir la explotación de vulnerabilidades técnicas, mediante una gestión oportuna y restringiendo la instalación de software
Asegurar la protección de la información en las redes y en sus instalaciones que soportan el procesamiento de información, mediante la implementación de controles, servicios de seguridad y segregación en las redes
Mantener la seguridad de la información durante su transferencia dentro o fuera de la organización, mediante el establecimiento de políticas y procedimientos, inclusión de acuerdos sobre la transferencia de la información, confidencialidad y no divulg
Asegurar la protección de los activos de la organización que son accesibles por los proveedores, mediante el establecimiento de una política con los lineamientos para establecer y gobernar las relaciones con los proveedores, las medidas para abordar
A.15.1.1 Política de seguridad de la información para las relaciones con los proveedores NA
Mantener un nivel acordado de seguridad de la información y prestación de servicios en línea con los acuerdos del proveedor, mediante el monitoreo y revisión de los proveedores, así como la gestión de los cambios en los servicios brindados por los pr
La continuidad de seguridad de la información debe estar embebida en los sistemas de gestión de continuidad del negocio de la organización, mediante su planificación, implementación y la revisión
A.17.2 Redundancias
A.18 Cumplimiento
A.18.1 Cumplimiento con los requisitos legales y contractuales
Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o contractuales relacionadas a la seguridad de la información y a cualquier requisito de seguridad, mediante la identificación de estos requisitos, asegurando los derechos de prop
controles criptográficos
Asegurar que la seguridad de la información está implementada y sea operada de acuerdo con las políticas y procedimientos organizativos
LEYENDA
Nivel de
Cantidad Descripción % implementación
Madurez
OPTIMIZADO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia OP 0%
establecida, responsabilidades bien definidas, se encuentra documentado, cuenta con
indicadores y se busca la mejora continua
PREDECIBLE
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia PR 0%
establecida, responsabilidades bien definidas, se encuentra documentado y cuenta
con indicadores
ESTABLECIDO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia ES 0%
establecida, responsabilidades bien definidas y se encuentra documentado
GESTIONADO
0 El requerimiento o control se ha implementado y se ejecuta con un frecuencia GE 0%
establecida
INICIAL
0 El requerimiento o control se ha implementado y se ejecuta de manera inicial IN 0%
NO IMPLEMENTADO
0 El requerimiento o control no se ha implementado NI 0%
NO APLICABLE
114 El requerimiento o control no aplica NA 100%
114 100%
cual se debe realizar la emisión y revisión de las políticas y el grupo de documentos relacionados a la seguridad de la información
Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado por niveles gerenciales
idóneos, publicado y comunicado a los empleados y a las partes externas relevantes; cabe señalar que, la política
general debe ser aprobada por el Directorio u órgano equivalente o al que se designe
La política de seguridad de la información será revisada a intervalos planificados o si se producen cambios
significativos para asegurar su conveniencia, adecuación y efectividad continua
es y las responsabilidades, la segregación de las funciones y de las áreas de responsabilidad, el contacto permanentes con las autoridades y los grupos de interés especializados en seguridad de la información y
Realizar una segregación de las funciones y áreas de responsabilidad en conflicto para reducir oportunidades de
modificación no autorizada o no intencional, o mal uso de los activos de la organización
Mantener los contactos apropiados con los grupos de interés especial u otros foros de seguridad especializados y
asociaciones profesionales
s o tabletas, o cuando se realice una conexión desde cualquier dispositivo fuera de la organización para realizar teletrabajo o trabajos remotos
Adoptar una política y medidas de seguridad de soporte para gestionar los riesgos asociados con el uso de
dispositivos móviles
desde el proceso de selección del personal hasta la firma del contrato la cual considere todas las cláusulas de seguridad
Verificar los antecedentes de los candidatos a ser empleados en concordancia con las leyes, regulaciones y ética
relevantes, y que deben ser proporcionales a los requisitos del negocio, la clasificación de la información a la que se
tendrá acceso y los riesgos percibidos
Asegurar que los acuerdos contractuales con los empleados y contratistas estipulen responsabilidades de éstos y de
la organización respecto a la seguridad de la información
de las gerencias, realizar tareas de concientización, educación y entrenamiento a los empleados y contratistas, y sancionar las violaciones e incidentes mediante un proceso disciplinario, asegurando el
Definir y comunicar al empleado o contratista sobre las responsabilidades y deberes de seguridad de la información
que son válidos luego de la terminación o cambio de empleo y forzar su cumplimiento
Brindar capacitación y educación sobre seguridad de la información, y realizar actualizaciones regulares sobre
políticas y procedimientos de la organización, según sea relevante para la función del trabajo que cumplan
Establecer un proceso disciplinario formal y tomar acción ante las infracciones que en materia de seguridad de la
información cometieran los empleados
Definir y comunicar al empleado o contratista sobre las responsabilidades y deberes de seguridad de la información
que siguen siendo válidos luego de la terminación o cambio de empleo y forzar su cumplimiento.
n de los propietarios de estos activos, la determinación de su uso aceptable y las actividades para su devolución a la organización
Identificar, documentar e implementar las reglas para el uso aceptable de la información y activos asociados a las
instalaciones de procesamiento de información
Asegurar que los empleados y usuarios de partes externas devuelvan los activos de la organización en su posesión a
la conclusión de su empleo, contrato o acuerdo
fidencialidad, integridad y disponibilidad, la implementación del proceso de etiquetado que permita su identificación y determinando cual es el manejo aceptable de los activos de acuerdo a los niveles de
La información se clasificará en términos de los requisitos legales, valor, criticidad y sensibilidad respecto a la
divulgación o modificación no autorizada
Desarrollar e implementar los procedimientos para el manejo de activos acorde con el esquema de clasificación de
la información adoptado por la organización
Los medios de almacenamiento deben eliminarse de forma segura cuando ya no se requieran, utilizando
procedimientos formales
Proteger los medios que almacenan información contra el acceso no autorizado, el mal uso o la corrupción durante
el transporte
Restringir a los usuarios el acceso a la red y a los servicios de red que hayan sido autorizados a usar
Implementar un proceso formal para otorgar y revocar el acceso a los sistemas informáticos y servicios de
información
Implementar un proceso formal de aprovisionamiento de accesos para asignar o revocar los derechos de acceso
para todos los tipos de usuarios en todos los sistemas y servicios
Remover los derechos de acceso a información e instalaciones de procesamientos de información de los empleados
y de los usuarios de partes externas al término de su empleo, contrato o acuerdo, o modificarse según el cambio
Exigir a los usuarios el uso de las buenas prácticas de seguridad en la selección y uso de contraseñas
s, restricción del uso de programas utilitarios y controlando el acceso a los códigos fuentes de los sistemas y aplicativos
Restringir el acceso a la información y a las funciones de los sistemas informáticos y aplicaciones acorde con la
política de control de acceso
Controlar el acceso al sistema y las aplicaciones, cuando la política de control de acceso lo requiera
Restringir el uso de programas utilitarios que podrían ser capaces de pasar por alto los controles del sistema y de
las aplicaciones
enga los lineamientos para el control criptográfico y las actividades para gestionar las claves
Desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información
Desarrollar e implementar una política sobre el uso, protección y tiempo de vida de las claves criptográficas a través
de un ciclo de vida
ímetro y los controles de ingreso físico, aseguramiento de las áreas críticas, áreas de carga y despecho, y la protección contra amenazas externas y ambientales
Definir y utilizar perímetros de seguridad para proteger áreas que contienen información sensible o crítica e
instalaciones de procesamiento de la información
Proteger las áreas seguras por medio de controles apropiados que aseguren el acceso sólo al personal autorizado
Diseñar e implementar la protección física contra desastres naturales, ataque malicioso o accidentes
Controlar los puntos de acceso, tales como las zonas de entrega, carga y otros puntos en los que las personas no
autorizadas puedan entrar a los locales y, si es posible, aislarlos de las instalaciones de procesamiento de
información para evitar el acceso no autorizado
los equipos, los suministros de servicios, la seguridad en el cableado, el mantenimiento de los equipos, la remoción de los equipos, la seguridad fuera de las instalaciones, la reutilización y disposición, los equipos
Ubicar y proteger los equipos para reducir los riesgos de amenazas y peligros ambientales, así como las
oportunidades para el acceso no autorizado
Proteger los equipos contra fallas de energía y otras interrupciones causadas por fallas en los servicios de suministro
Proteger el cableado de energía y telecomunicaciones que llevan datos o servicios de información de soporte para
evitar la interceptación, interferencia o daño
Retirar los equipos, la información y/o el software sólo si existe autorización previa
Aplicar la seguridad a los activos que están fuera del local de la organización tomando en cuenta los distintos
riesgos involucrados
Verificar todos los elementos del equipo que contengan medios de almacenamiento para asegurar que cualquier
dato sensible y software con licencia se haya eliminado o se haya sobre escrito de manera segura antes de su
disposición o reutilización
Asegurar que el equipo desatendido tenga la protección adecuada
Adoptar una política de escritorio limpio de papeles y de medios de almacenamiento removibles, así como una
política de pantalla limpia para las instalaciones de procesamiento de la información
Documentar los procedimientos operativos de las áreas de sistemas y ponerlos a disposición de sus integrantes
cuando lo necesiten
Monitorear el uso de los recursos y hacer proyecciones de los futuros requisitos de capacidad para asegurar el
desempeño requerido de los sistemas informáticos
Implementar controles de detección, prevención y recuperación para proteger contra malware y concientizar de
manera apropiada a los usuarios
Probar periódicamente las copias de respaldo de la información, del software y de las imágenes acorde la política de
respaldo
y operadores, implementado protección para estos registros y asegurando la sincronización de los relojes para la trazabilidad de las acciones
Producir, mantener y revisar regularmente los registros (logs) de eventos de actividades de usuarios, excepciones,
fallas y eventos de seguridad de la información
Proteger las instalaciones para registros (logs) y la información de los registros (logs) contra la adulteración y el
acceso no autorizado
Registrar las actividades del administrador del sistema y del operador del sistema. Asimismo, proteger y revisar
regularmente los registros (logs)
Sincronizar los relojes de todos los sistemas de procesamiento de la información relevantes dentro de una
organización o dominio de seguridad a una fuente de tiempo de referencia única
Planificar y acordar los requisitos de las auditorías y las actividades que involucrean la verificación de sistemas
informáticos en producción para minimizar la interrupción a los procesos de negocio
Gestionar y controlar las redes para proteger la información en los sistemas y las aplicaciones
Identificar los mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los servicios de red e
incluirlos en acuerdos de servicios de red, ya sea que estos servicios se provean internamente o por terceros
Segregar en las redes internas a los grupos de servicios de información, usuarios y sistemas informáticos
Aplicar políticas, procedimientos y controles de transferencia formales para proteger la información a través del uso
de instalaciones de comunicación
Definir acuerdos para dirigir la transferencia segura de información del negocio entre la organización y partes
externas
Proteger la información involucrada en mensajería electrónica, por ejemplo correo electrónico, tecnologías de
mensajerías instantánea, entre otros
Identificar, revisar regularmente y documentar los requisitos para los acuerdos de confidencialidad o no divulgación
que reflejan las necesidades de la organización para la protección de la información
ean servicios sobre redes públicas, mediante el análisis y especificaciones de los requerimientos de seguridad de la información, aseguramiento de los servicios de aplicaciones sobre las redes públicas y la
Proteger la información involucrada en servicios de aplicaciones que pasan sobre redes públicas de actividades
fraudulentas, disputa de contratos o divulgación no autorizada y modificación.
Proteger la información involucrada en las transacciones de servicios de aplicación para prevenir transmisión
incompleta, ruteo incorrecto, alteración no autorizada de mensajes, divulgación no autorizada, duplicación o
respuesta no autorizada de mensajes.
tica para el desarrollo de sistemas seguros, el empleo de procedimientos formales para realizar los cambios en los aplicativos, revisar técnicamente las aplicaciones, restringiendo el acceso a los paquetes,
s que prevean incidentes o brechas de seguridad
Establecer reglas para el desarrollo de software y sistemas para aplicarlas a desarrollos dentro de la organización.
Controlar los cambios a los sistemas dentro del ciclo de vida del desarrollo por medio del uso de procedimientos
formales de control de cambios.
Revisar y probar las aplicaciones críticas del negocio cuando se cambian las plataformas operativas para evitar
impacto adverso en las operaciones o en la seguridad de la organización.
Limitar las modificaciones de los paquetes de software a los cambios necesarios y controlar estos cambios.
Establecer, documentar, mantener y aplicar los principios para la ingeniería de sistemas seguros.
Establecer y proteger apropiadamente los ambientes de desarrollo seguros para los esfuerzos de desarrollo e
integración de sistemas que cubren todo el ciclo de vida del desarrollo del sistema.
Establecer programas de pruebas de aceptación y criterios relacionados para nuevos sistemas de información,
actualizaciones y nuevas versiones.
r las relaciones con los proveedores, las medidas para abordar los requerimientos de seguridad en los contratos y el aseguramiento en la cadena de suministros tecnológicos y de comunicaciones
Acordar con los proveedores los requisitos de seguridad de la información para mitigar los riesgos asociados al
acceso no autorizado a los activos de la organización.
Establecer y acordar con cada proveedor todos los requisitos relevantes de seguridad de la información sobre
acceder, procesar, almacenar, comunicar o proveer componentes de infraestructura de TI para la información de la
organización.
Incluir en los acuerdos con proveedores los requisitos para abordar los riesgos de seguridad de la información
asociados con los servicios de tecnología de la información y comunicaciones y la cadena de suministro de los
mismos.
Monitorear, revisar y auditar regularmente la entrega de servicios por parte de los proveedores.
Gestionar los cambios a la provisión de servicios por parte de proveedores, incluyendo el mantenimiento y
mejoramiento de las políticas, procedimientos y controles existentes de seguridad de la información tomando en
cuenta la criticidad de la información del negocio, sistemas y procesos involucrados y una reevaluación de riesgos.
para lo cual se deben establecer las responsabilidades, los planes de respuesta, la detección y evaluación de los eventos y debilidades, al actividades de respuesta y la mejora mediante la revisión de las lecciones
Establecer las responsabilidades de gestión y los procedimientos para asegurar una respuesta rápida, efectiva y
ordenada a los incidentes de seguridad de la información
Exigir a los empleados y contratistas que usan los sistemas y servicios de información para que adviertan y reporten
cualquier debilidad observada o de la que se sospecha en cuanto a seguridad de la información en los sistemas o
servicios
Evaluar los eventos de seguridad de la información y decidir si serán clasificados como incidentes de seguridad de la
información
Responder sobre los incidentes de seguridad de la información de acuerdo con los procedimientos documentados
Utilizar el conocimiento adquirido de analizar y resolver los incidentes de seguridad de la información para reducir la
posibilidad o el impacto de incidentes futuros
Definir y aplicar procedimientos para la identificación, recolección, adquisición y preservación de información que
pueda servir como evidencia
la revisión
Establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel
requerido de continuidad de seguridad de la información durante una situación adversa
Verificar los controles de continuidad de seguridad de la información que se han establecido e implementado a
intervalos regulares, para asegurarse que son válidos y efectivos durante situaciones adversas
Implementar en las instalaciones de procesamiento de la información la redundancia suficiente para cumplir con los
requisitos de disponibilidad
ntificación de estos requisitos, asegurando los derechos de propiedad intelectual, la protección de los registros, la protección de la privacidad y datos personales y el cumplimiento de las regulaciones para los
Identificar, documentar y mantener al día para cada sistema de información todos los requisitos legislativos,
estatutarios, regulatorios y contractuales relevantes así como el enfoque de la organización para cumplir con estos
requisito
Implementar los procedimientos apropiados para asegurar el cumplimiento de requisitos legislativos, regulatorios y
contractuales relacionados a los derechos de propiedad intelectual y uso de productos de software propietario.
Proteger los registros importantes de la organización frente a cualquier pérdida, destrucción, falsificación, acceso no
autorizado y divulgación no autorizada, de acuerdo con los requisitos de las leyes regulaciones, contractos y del
negocio
Asegurar la privacidad y la protección de datos personales tal como se requiere en las leyes y regulaciones
relevantes que apliquen a la organización
Utilizar los controles criptográficos asegurando el cumplimiento de todos los acuerdos, leyes y regulaciones
relevantes
Revisar independientemente (por ejemplo ejecutadas por auditores, gestores independientes u organizaciones
especializadas) a intervalos planeados o cuando ocurran cambios significativos el enfoque de la organización para
manejar la seguridad de la información y su implementación (por ejemplo objetivos de control, controles, políticas,
procesos y procedimientos
en lospara la seguridad de la información)
Revisar regularmente procesos y los procedimientos el cumplimento de las políticas, estándares y otros
requerimientos de seguridad de la información
Revisar tecnicamente los sistemas de información (por ejemplo realizando pruebas de penetración y evaluaciones
de vulnerabilidades) regularmente respecto al cumplimiento de las políticas y normas de seguridad de la
información de la organización
No aplicable -
0 0.5 1 1.5 2
5
No aplicable -
5.0
Claúsula 10 Claúsula 5
0.0
Claúsula 4 - 2
Claúsula 5
Claúsula 9 - 2
Claúsula 6
Claúsula 6 - 2
Claúsula 7 - 2
Claúsula 8 - 2
Claúsula 9 - 2
Claúsula 10 - 2
-
Claúsula 8 Claúsula 7
Optimizado 0
Predecible 0
Establecido 0
Optimizado
Gestionado 0 Predecible
Inicial 0 Establecido
No impementada 0 Gestionado
No aplica 100 Inicial
No impementada
No aplica
100.00%
Total 0 0
Optimizado
Predecible
Establecido
Optimizado 0
Predecible 0
Optimizado
Establecido 0
Predecible
Gestionado 0
Establecido
Inicial 0
Gestionado
No impementada 0
Inicial
No aplica 114
No impementada
No aplica
100.00%
Anexo A.5
Anexo A.5 - Políticas de seguridad de la 0 0
información
Anexo A.6
Anexo A.6 - Organización de la seguridad 0 0
de la información
Anexo A.7
Anexo A.7 - Seguridad de los recursos 0 0
humanos
Anexo A.8 Anexo A.8 - Gestión de activos 0 0
Anexo A.11
Anexo A.11 - Seguridad física y 0 0
ambiental
Anexo A.12
Anexo A.12 - Seguridad en las 0 0
operaciones de Sistemas
Anexo A.13
Anexo A.13 - Seguridad de las 0 0
comunicaciones
Anexo A.14
Anexo A.14 - Adquisición, desarrollo y 0 0
mantenimiento de sistemas
Anexo A.15
Anexo A.15 - Relaciones con los 0 0
proveedores
Anexo A.16
Anexo A.16 - Gestión de incidentes de 0 0
seguridad de la información
Anexo A.17
Anexo A.17 - Aspectos de SI en la 0 0
gestión de continuidad del negocio
Anexo A.18 Anexo A.18 - Cumplimiento 0 0
Total 0 0
E LA INFORMACIÓN
5 2 2.5 3 3.5 4
No aplicable -
3.5 4 4.5 0
Anexo 0.5
A.5 1- 1.5 2 2 2.5 43 3.5
5 Anexo A.5
Anexo A.18 Anexo A.6
5.0
Anexo A.6 - 2 4
Anexo
Anexo A.7
A.16 - 2 4 Anexo A.8
Anexo A.8 - 2 4
Anexo A.9 - 2 4
0.0
4 Anexo A.10 - 2 4
4 5 Anexo A.11 - 2 4
Claúsula 6 4 5 Anexo
Anexo A.12
A.15 - 2 4 Anexo A.9
4 5 Anexo A.13 - 2 4
4 5 Anexo A.14 - 2 4
4 5 Anexo A.15 - 2 4
4 5 Anexo A.16 - 2 4
4 Anexo
5 Anexo A.14
A.17 - 2 4 Anexo A.10
Anexo A.18 - 2 4
a7 Anexo A.13 Anexo A.11
- Anexo A.12
30
25
Optimizado 20
Predecible
Establecido
Gestionado 15
Inicial
No impementada 10
No aplica
0
Claúsula 4 Claúsula 5 Claúsula 6 Claúsula 7 Claúsula 8 Claúsul
No
Establecido Gestionado Inicial impementad No aplica Calificación
a
0 0 0 0 4 No aplicable
0 0 0 0 17 No aplicable
0 0 0 0 25 No aplicable
0 0 0 0 19 No aplicable
0 0 0 0 8 No aplicable
0 0 0 0 19 No aplicable
0 0 0 0 8 No aplicable
0 0 0 0 100 100
16
14
12
Optimizado 10
Predecible
Establecido 8
16
14
12
Optimizado 10
Predecible
Establecido 8
Gestionado 6
Inicial
No impementada 4
No aplica 2
No
Establecido Gestionado Inicial impementad No aplica Calificación
a
0 0 0 0 2 No aplicable
0 0 0 0 7 No aplicable
0 0 0 0 6 No aplicable
0 0 0 0 10 No aplicable
0 0 0 0 14 No aplicable
0 0 0 0 2 No aplicable
0 0 0 0 15 No aplicable
0 0 0 0 14 No aplicable
0 0 0 0 7 No aplicable
0 0 0 0 13 No aplicable
0 0 0 0 5 No aplicable
0 0 0 0 7 No aplicable
0 0 0 0 4 No aplicable
0 0 0 0 8 No aplicable
0 0 0 0 114 114
4 4.5
XO A DE LA ISO 27001
.5 3 3.55 4 4.5
Anexo A.6
Anexo A.7
5 A.8
Anexo
5
5
5
5
5 A.9
Anexo
5
5
5
5
Anexo A.10
5
5
Anexo A.11
sico Estado
sico Estado
ISO 27001
No aplica
No impementada
Inicial
Gestionado
Establecido
Predecible
Optimizado
A DE LA ISO 27001
No aplica
No impementada
No aplica
No impementada
Inicial
Gestionado
Establecido
Predecible
Optimizado