Auto Evaluacion SGSI ISO 27001

ISO 27001 - Estado de implementación Sistema de gestión de seguridad de la información
Responsable del Documentación de Justificación de la aplicabilidad o de la

Claúsula Título del requerimiento Calíficación Acciones de mejora
requerimiento referencia no aplicabilidad
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 Entendimiento de la organización y su contexto
Determinar los aspectos externos e internos relevantes para el SGSI y que afectan la
4.1.1 capacidad de lograr los resultados NA
4.2 Entender las necesidades y expectativas de las partes interesadas
Determinar las partes interesadas y sus requisitos que son relevantes para el sistema
4.2.1 de gestión de seguridad de información NA
Determinar el alcance del sistema de gestión de seguridad de la
4.3 información
Determinar los límites y aplicabilidad del SGSI para establecer su alcance, considerando
4.3.1 las interfaces y dependencias entre organizaciones NA
4.4 Sistema de gestión de seguridad de la información
Establecer, implementar, mantener y mejorar continuamente un sistema de gestión de

4.4.1 seguridad de la información NA
5 LIDERAZGO
5.1 Liderazgo y compromiso
Asegurar que la política y los objetivos de seguridad de la información estén

5.1.1 establecidos y sean compatibles con la dirección estratégica de la organización NA
Asegurar la integración de los requisitos del sistema de gestión de seguridad de
5.1.2 información en los procesos de la organización NA
Asegurar la disponibilidad de que los recursos necesarios para el sistema de gestión de
5.1.3 seguridad de la información estén disponibles NA
Comunicar la importancia de una efectiva gestión de seguridad de información, en
5.1.4 conformidad con los requisitos del SGSI NA
Asegurar que el sistema de gestión de seguridad de la información logre los resultados
5.1.5 previstos NA
Dirigir a las personas para que contribuyan con la efectividad del sistema de gestión de
5.1.7 Promover la mejora continua en el sistema de gestión de seguridad de la información NA

Apoyar a otros roles relevantes en la gestión de la organización para que la alta
5.1.8 dirección demuestre su liderazgo tal como se aplica a otras áreas de responsabilidad NA
5.2 Política
Asegurar que sea apropiada de acuerdo al propósito, actividad y objetivos de la

5.2.1 organización NA
Incluir los objetivos de seguridad de información o proporcionar el marco de referencia
5.2.2 para fijar los objetivos de seguridad de la información NA
Incluir un compromiso de satisfacer requisitos aplicables relacionados a la seguridad de
5.2.3 la información NA
Incluir un compromiso de mejora continua del sistema de gestión de seguridad de la
5.2.4 información NA
5.2.5 Asegurar la disponibilidad como información documentada NA
5.2.6 Debe ser comunicada dentro de la organización NA
5.2.7 Debe estar disponible a las partes interesadas, según sea apropiado NA
5.3 Roles, responsabilidades y autoridades organizacionales
Asignar responsabilidades y autoridades para asegurar que el sistema de gestión de

5.3.1 seguridad de la información esté conforme a los requisitos NA
Asignar responsabilidades y autoridades para reportar sobre el desempeño del sistema
5.3.2 de gestión de seguridad de la información a la alta dirección NA
6 PLANIFICACIÓN
6.1 Acciones para abordar los riesgos y las oportunidades
Determinar los riesgos y oportunidades que necesitan ser tratados para asegurar que el
6.1.1 SGSI pueda lograr los resultados esperados o reducir, efectos indeseados NA
Evaluar el SGSI y determinar las acciones correctivas, preventivas que contribuyan a
6.1.2 mejorar su eficiencia NA
6.1.3 Planificar acciones que traten estos riesgos y oportunidades referidos en las cláusulas NA
Integrar e implementar las acciones en los procesos del sistema de gestión de
6.1.4 seguridad de la información y evaluar la efectividad de las mismas NA
6.1.5 Evaluación de riesgos de seguridad de la información
Establecer y mantener criterios de riesgo de seguridad de la información que incluyan

6.1.5.1 los criterios de aceptación de los riesgos y para realizar valoraciones NA
Asegurar que las valoraciones repetidas de riesgos de seguridad de la información
6.1.5.2 produzcan resultados consistentes, válidos y comparables NA
Identificar los riesgos de seguridad de información, su valoración en relación a la
6.1.5.3 pérdida de confidencialidad, integridad y disponibilidad NA
Analizar los riesgos de seguridad de la información valorando las consecuencias
6.1.5.4 potenciales, la probabilidad de la ocurrencia y determinando los niveles de riesgo NA
Evaluar los riesgos de seguridad de la información comparando los resultados del
6.1.5.5 análisis de riesgo con los criterios de riesgo y priorizando el tratamiento de los riesgos NA
6.1.6 Tratamiento de riesgos de seguridad de la información
Definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la información

6.1.6.1 que permita seleccionar opciones de tratamiento apropiadas NA
Definir y aplicar un proceso de tratamiento de riesgos que permita determinar todos los
6.1.6.2 controles que son necesarios para implementar las opciones de tratamiento de riesgos NA
6.1.6.3 que permita contrastar los controles identificados con los del Anexo A NA
6.1.6.4 para producir una Declaración de Aplicabilidad NA
6.1.6.5 que permita definir un tratamiento de riesgos de seguridad de la información NA
6.1.6.6 que permita obtener el plan de tratamiento y la aceptación de los riesgos residuales NA
Objetivos de seguridad de la información y planificación para
6.2
conseguirlos
Asegurar la consistencia de los objetivos y la planificación con las políticas de seguridad
6.2.1 de la información NA
6.2.2 Realizar la medición de los objetivos en cuanto a su consecución NA

Tomar en cuenta los requisitos aplicables de seguridad de la información, resultados de
6.2.3 la valoración y tratamiento de riesgos para formular los objetivos y la planificación NA
6.2.4 Comunicar a las partes pertinentes en la organización los objetivos y la planificación NA
6.2.5 Actualizar y mantener documentado según sea apropiado NA
6.2.6 La planificación debe prever las actividades necesarias para lograr los objetivos NA
6.2.7 La planificación debe prever los recursos que serán requeridos para lograr los objetivos NA
6.2.8 La planificación debe prever la asignación de responsabilidades para su ejecución NA
6.2.9 La planificación y los objetivos deben prever plazos para su culminación NA
6.2.10 La planificación debe prever cómo se evaluarán los resultados NA

7 SOPORTE
7.1 Recursos
Determinar y proporcionar los recursos necesarios para el establecimiento,

7.1.1 implementación, mantenimiento y mejora continua del SGSI NA
7.2 Competencia
Determinar las competencias necesaria de las personas en materia de seguridad de la

7.2.1 información para los roles críticos en el SGSI NA
Asegurar que las personas sean competentes en materia de seguridad de la
7.2.2 información sobre la base de educación, capacitación, o experiencia adecuados NA
Tomar acciones, cuando sea aplicable, para adquirir la competencia necesaria y evaluar
7.2.3 la efectividad de las acciones tomadas NA
7.2.4 Mantener información documentada apropiada como evidencia de competencia. NA
7.3 Concientización
Concientizar a las personas que trabajan en la organización sobre política de seguridad

7.3.1 de información NA
Concientizar al personal para que contribuya en la efectividad de SGSI, incluyendo los
7.3.2 beneficios de un mejor desempeño de dicho sistema NA
Concientizar al personal sobre las implicaciones de no tener conformidad con los
7.3.3 requisitos del sistema de gestión de seguridad de información NA
7.4 Comunicación
Determinar la necesidad de la comunicación interna y externa relevante al SGSI,

7.4.1 incluyendo el qué, cuándo, a quién, quién y procesos para la comunicación NA
7.5 Información y documentación
7.5.1 Documentar y mantener la información necesaria para la efectividad del SGSI NA
7.5.2 Creación y Actualización de los documentos
Asegurar la identificación y descripción de los documentos (por ejemplo: un título,

7.5.2.1 autor, fecha o Número de Referencia) NA
7.5.2.2 Determinar el formato apropiado NA
7.5.2.3 Realizar la revisión y aprobación para asegurar su conveniencia y adecuación NA
7.5.3 Información documentada
7.5.3.1 Debe estar disponible y debe ser conveniente para su uso donde y cuando se requiera NA
Debe estar protegida adecuadamente (por ejemplo de pérdida de confidencialidad, uso
7.5.3.2 impropio o pérdida de integridad) NA
7.5.3.3 Realizar los controles de la distribución, acceso, recuperación y uso de la información NA
7.5.3.4 Almacenar y preservar la información, previendo su legibilidad NA
7.5.3.5 Realizar control de cambios (por ejemplo: control de versiones) NA
7.5.3.6 Realizar retención y disposición de acuerdo a lineamientos establecidos NA
8 OPERACIÓN
8.1 Planificación y control operacional
Planificar, implementar y controlar los procesos necesarios para cumplir los requisitos
8.1.1 de seguridad de la información, gestionar los riesgos y lograr los objetivos NA
Mantener información documentada en la medida necesaria para asegurar que los
8.1.2 procesos se han llevado a cabo tal como fueron planificados NA
Controlar los cambios planeados y revisar las consecuencias de cambios no
8.1.3 intencionados, actuando para mitigar efecto adverso, según sea necesario NA
8.1.4 Asegurar que los procesos tercerizados están identificados y controlados NA
8.2 Evaluación de riesgos de seguridad de la información
Realizar evaluaciones de riesgos de seguridad de la información en intervalos

8.2.1 planificados o cuando cambios significativos se propongan u ocurran NA
Mantener información documentada de los resultados de las evaluaciones de riesgos de
8.3 Tratamiento de riesgos de seguridad de la información
8.3.1 Implementar el plan de tratamiento de riesgos de seguridad de la información NA

Mantener información documentada de los resultados del tratamiento de seguridad de
8.3.2 la información NA
9 EVALUACIÓN DEL DESEMPEÑO
9.1 Monitoreo, medición, análisis y evaluación
Determinar lo que necesita ser monitoreado y medido, incluyendo procesos y controles

9.1.1 de seguridad de la información NA
Determinar los métodos para monitoreo, medición, análisis y evaluación, según sea
9.1.2 aplicable, para asegurar resultados válidos NA
9.1.3 Determinar cuándo el monitoreo y medición debe ser realizado NA
9.1.4 Determinar responsables para el monitoreo y medición NA

Determinar la periodicidad para el análisis y evaluación de los resultados del monitoreo
9.1.5 y medición. NA
9.1.6 Determinar responsables para el análisis y evaluación de los resultados NA
9.2 Auditoría interna
Conducir auditorías en intervalos planificados para determinar la conformidad con los

9.2.1 requisitos de la propia organización para su SGS, de las regulaciones o leyes aplicables NA
Conducir auditorías internas en intervalos planificados para determinar si el SGSI está
9.2.2 efectivamente implementado y mantenido NA
Planificar, establecer, implementar uno o varios programas de auditoría, incluyendo la
9.2.3 frecuencia, métodos, responsabilidades, requisitos e informes de planificación NA
9.2.4 Definir los criterios y el alcance de cada auditoría NA

Seleccionar a los auditores y conducir auditorías que aseguren objetividad e
9.2.5 imparcialidad del proceso de auditoría NA
9.2.6 Asegurar que los resultados de las auditorías se reporten a los gerentes relevantes NA
Mantener información documentada como evidencia del los programas de auditoría y
9.2.7 los resultados de la auditoría NA
9.3 Revisión de la gestión
Incluir el estado de las acciones con relación a las revisiones anteriores por parte de la
9.3.1 gerencia NA
9.3.2 Incluir cambios en asuntos externos e internos que son relevantes al SGSI NA
Incluir retroalimentación sobre el desempeño de seguridad de la información,
9.3.3 incluyendo resultados del monitoreo, medición, auditoría y cumplimiento de objetivos NA
9.3.4 Incluir retroalimentación de las partes interesadas NA
9.3.5 Incluir resultados de la evaluación de riesgo y estado del plan de tratamiento de riesgos NA
9.3.6 Incluir oportunidades para la mejora continua NA
10 MEJORA DEL SGSI

10.1 No conformidad y acciones correctivas
10.1.1 Realizar las correciones ante las no conformidades detectadas NA
10.1.2 Evaluar la necesidad de implementar las acciones correctivas NA
10.1.3 Ejecutar la implementación de las acciones correctivas NA
10.1.4 Revisar la efectividad de las acciones correctivas NA
10.1.5 Ejecutar los cambios al SGSI, si fuera necesario, y mantener información documentada NA
Mantener información documentada como evidencia de la naturaleza del
10.1.6 incumplimiento y cualquier acción subsiguiente tomada NA
Mantener información documentada como evidencia de los resultados de cualquier
10.1.7 acción correctiva NA
10.2 Mejora continua
10.2.1 Mejorar continuamente la conveniencia, adecuación y efectividad del SGSI NA
LEYENDA
Nivel de
Cantidad Descripción % implementación
Madurez
OPTIMIZADO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia OP 0%
establecida, responsabilidades bien definidas, se encuentra documentado, cuenta con
indicadores y se busca la mejora continua
PREDECIBLE
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia PR 0%
establecida, responsabilidades bien definidas, se encuentra documentado y cuenta con
indicadores
ESTABLECIDO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia ES 0%
establecida, responsabilidades bien definidas y se encuentra documentado
GESTIONADO
0 El requerimiento o control se ha implementado y se ejecuta con un frecuencia GE 0%
establecida
INICIAL
0 El requerimiento o control se ha implementado y se ejecuta de manera inicial IN 0%
NO IMPLEMENTADO
0 El requerimiento o control no se ha implementado NI 0%
NO APLICABLE
100 El requerimiento o control no aplica NA 100%
100 100%
ANEXO A - Estado y aplicabilidad de los controles de seguridad de la información
Documentación de
Claúsula Título del control Calíficación Responsable del control
referencia
A.5 Políticas de seguridad de la información
A.5.1 Dirección de la gerencia para la seguridad de la información
Dirigir y apoyar al sistema de gestión de seguridad de la información para que este en concordancia con los requisitos del negocio, las leyes y las regulaciones que sean relevantes, para lo cual se debe realizar la emisión y revisión de las políticas y el
A.5.1.1 Emisión de políticas de seguridad de la información NA
A.5.1.2 Revisión de las políticas de seguridad de la información NA
A.6 Organización de la seguridad de la información
A.6.1 Organización Interna
Establecer un marco de gestión para la implementación, operación y control de la seguridad de la información dentro de la organización, para lo cual se debe realizar la definición de los roles y las responsabilidades, la segregación de las funciones y de
en la inclusión de la seguridad de la información en la gestión de los proyectos de la organización
A.6.1.1 Roles y responsabilidades de seguridad de la información NA
A.6.1.2 Segregación de funciones NA
A.6.1.3 Contacto con autoridades NA
A.6.1.4 Contactos con grupos de interés especial NA
A.6.1.5 Seguridad de la información en la gestión de proyectos NA
A.6.2 Dispositivos móviles y teletrabajo
Establecer los lineamientos para poder asegurar la confidencialidad, integridad y confidencialidad de la información, que se encuentren en dispositivos móviles tales como laptops, celulares o tabletas, o cuando se realice una conexión desde cualquier
A.6.2.1 Políticas de dispositivos móviles NA
Xerox Internal Use Only 437518036.xlsx Page 4 of 37

Documentación de
referencia
A.6.2.2 Teletrabajo NA
A.7 Seguridad de los recursos humanos
A.7.1 Antes del empleo
Asegurar que los empleados y contratistas entiendan sus responsabilidades y que sus roles estén alineados a sus responsabilidades para lo cual se debe establecer medidas de protección desde el proceso de selección del personal hasta la firma del co
A.7.1.1 Selección NA
A.7.1.2 Términos y condiciones para el empleo NA
A.7.2 Durante el empleo
Asegurar que los empleados y contratistas sean conscientes y cumplan con sus responsabilidades de seguridad de la información para lo cual se debe contar con el liderazgo y compromiso de las gerencias, realizar tareas de concientización, educación
cumplimiento de las políticas y procedimientos de la organización
A.7.2.1 Responsabilidades de las gerencias NA
A.7.2.2 Concientización, educación y entrenamiento en seguridad de la información NA
A.7.2.3 Responsabilidades ante el termino o cambio del empleo NA
A.7.3 Terminación y cambio de empleo
Proteger los intereses de la organización como parte del proceso de cambio de funciones o ante la terminación del empleo
A.7.3.1 Terminación o cambio de responsabilidades del empleo NA
A.8 Gestión de activos
A.8.1 Responsabilidad de los activos
Identificar los activos de la organización y definir las responsabilidades de su protección, para lo cual se debe realizar el inventariado de los activos de información, la definición y asignación de los propietarios de estos activos, la determinación de su u

Documentación de
referencia
A.8.1.1 Inventario de activos NA
A.8.1.2 Propiedad de los activos NA
A.8.1.3 Uso aceptable de los activos NA
A.8.1.4 Retorno de los activos NA
A.8.2 Clasificación de la información
Asegurar que la información recibe un nivel adecuado de protección de acuerdo a su importancia para la organización, para lo cual es necesario realizar la valorización en relación a su confidencialidad, integridad y disponibilidad, la implementación de
clasificación establecidos
A.8.2.1 Clasificación de la información NA
A.8.2.2 Etiquetado de la información NA
A.8.2.3 Manejo de los activos NA
A.8.3 Manejo de los medios de almacenamiento
Prevenir la divulgación, modificación, remoción o destrucción no autorizada de información almacenada en cualquier de los medios, tanto en los medios que estén en tránsito, como durante la eliminación y destrucción, en los formatos físicos y electrón
A.8.3.1 Gestión de los medios removibles NA
A.8.3.2 Eliminación de medios físicos y digitales NA
A.8.3.3 Transferencia física de los medios NA
A.9 Control de acceso
A.9.1 Requisitos de la empresa para el control de acceso
Limitar el acceso a la información y a las instalaciones de procesamiento de la información, mediante el establecimiento de una política para el control de los accesos, incluyendo a las redes y a los servicios de red

Documentación de
referencia
A.9.1.1 Política de control de acceso NA
A.9.1.2 Acceso a redes y servicios de red NA
A.9.2 Gestión de acceso de usuario
Asegurar el acceso de los usuarios que estén autorizados y así evitar los accesos no autorizados a los sistemas de información, mediante la emisión y revocación de accesos a la red y los sistemas, la gestión de perfiles y los derechos de los usuarios p
A.9.2.1 Registro y baja de Usuarios NA
A.9.2.2 Aprovisionamiento de acceso a usuarios NA
A.9.2.3 Gestión de derechos de accesos privilegiados NA
A.9.2.4 Gestión de información de autentificación secreta de usuarios NA
A.9.2.5 Revisión de derechos de acceso de usuarios NA
A.9.2.6 Remoción o ajuste de derechos de acceso NA
A.9.3 Responsabilidades de los usuarios
Hacer que los usuarios respondan por la salvaguarda de su información de autentificación, mediante el uso de la información secreta para la autenticación
A.9.3.1 Uso de la información de autentificación secreta NA
A.9.4 Control de acceso a sistema de aplicativos
Prevenir el acceso no autorizado a los sistemas y aplicaciones, mediante la restricción del acceso a la información, empleando procedimientos de ingreso seguros, la gestión de contraseñas, restricción del uso de programas utilitarios y controlando el a
A.9.4.1 Restricción de acceso a la información NA
A.9.4.2 Procedimientos de ingreso seguro NA

Documentación de
referencia
A.9.4.3 Sistema de gestión de contraseñas NA
A.9.4.4 Uso de programas de utilidad privilegiada NA
A.9.4.5 Control de acceso al código fuente de los programas NA
A.10 Criptografía
A.10.1 Controles criptográficos
Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información, mediante el establecimiento de una política que contenga los lineamientos para el control criptográfico y las activida
A.10.1.1 Política sobre el uso de controles criptográficos NA
A.10.1.2 Gestión de las llaves criptográficos NA
A.11 Seguridad física y ambiental

A.11.1 Áreas Seguras
Impedir el acceso no autorizado físico, los daños e interferencia a la información y a las instalaciones de procesamiento de la información de la organización, mediante la protección del perímetro y los controles de ingreso físico, aseguramiento de las á
A.11.1.1 Perímetro de seguridad física NA
A.11.1.2 Controles de ingreso físico NA
A.11.1.3 Asegurar oficinas, salas e instalaciones NA
A.11.1.4 Protección contra amenazas externas y ambientales NA
A.11.1.5 Trabajo en áreas seguras NA
A.11.1.6 Áreas de despacho y carga en los perímetros de seguridad NA

Documentación de
referencia
A.11.2 Equipos
Prevenir la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización, mediante la implementación de protecciones en el emplazamiento de los equipos, los suministros de servicios, la seguridad en el cab
des atendidos, escritorio limpio y pantalla limpias, y la revisión independiente
A.11.2.1 Emplazamiento y protección de los equipos NA
A.11.2.2 Servicios de suministro NA
A.11.2.3 Seguridad del cableado NA
A.11.2.4 Mantenimiento de equipos NA
A.11.2.5 Remoción de activos NA
A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones NA
A.11.2.7 Disposición o reutilización de equipos NA
A.11.2.8 Equipos de usuarios desatendidos NA
A.11.2.9 Política de escritorio limpio y pantalla limpia NA
A.12 Seguridad en las operaciones de Sistemas

A.12.1 Procedimientos y responsabilidades operativas
Asegurar que las operaciones en las instalaciones de procesamiento de la información sean correctas y seguras, mediante la formalización y documentación, se gestión los cambios, las capacidades y la separación de los entornos de desarrollo, prueba
A.12.1.1 Procedimientos operativos documentados NA
A.12.1.2 Gestión del cambio NA
A.12.1.3 Gestión de la capacidad NA

Documentación de
referencia
A.12.1.4 Separación de los entornos de desarrollo, pruebas y producción NA
A.12.2 Protección contra códigos maliciosos
Asegurar que la información y las instalaciones de procesamiento de la información estén protegidas contra malware
A.12.2.1 Controles contra malware NA
A.12.3 Respaldo
Proteger contra la pérdida de datos
A.12.3.1 Respaldo de información NA
A.12.4 Registros y monitoreo
Registrar todos los eventos necesarios y generar las evidencias, mediante la generación de estos registros de eventos, incluyendo los relacionados a las operaciones de los administradores y operadores, implementado protección para estos registros y
A.12.4.1 Registro de eventos NA
A.12.4.2 Protección de los registros de auditoria NA
A.12.4.3 Registros del administrador y del operador NA
A.12.4.4 Sincronización del reloj NA
A.12.5 Control del software en producción
Asegurar la integridad de los sistemas y de la información
A.12.5.1 Instalación de software en los ambientes de producción NA
A.12.6 Gestión de vulnerabilidades técnicas
Prevenir la explotación de vulnerabilidades técnicas, mediante una gestión oportuna y restringiendo la instalación de software

Documentación de
referencia
A.12.6.1 Gestión de vulnerabilidades técnicas NA
A.12.6.2 Restricciones sobre la instalación de software NA
A.12.7 Consideraciones para la auditoría de los sistemas de información
Minimizar el impacto de las actividades de los sistemas de información
A.12.7.1 Controles para la auditoría de los sistemas de información NA
A.13 Seguridad de las comunicaciones

A.13.1 Gestión de seguridad de la red
Asegurar la protección de la información en las redes y en sus instalaciones que soportan el procesamiento de información, mediante la implementación de controles, servicios de seguridad y segregación en las redes
A.13.1.1 Controles de red NA
A.13.1.2 Seguridad de servicios de red NA
A.13.1.3 Segregación en redes NA
A.13.2 Transferencia de información
Mantener la seguridad de la información durante su transferencia dentro o fuera de la organización, mediante el establecimiento de políticas y procedimientos, inclusión de acuerdos sobre la transferencia de la información, confidencialidad y no divulg
A.13.2.1 Políticas y procedimientos de transferencia de información NA
A.13.2.2 Acuerdo sobre transferencia de información NA
A.13.2.3 Mensajes electrónicos NA
A.13.2.4 Acuerdos de confidencialidad o no divulgación NA

Documentación de
referencia
A.14 Adquisición, desarrollo y mantenimiento de sistemas

A.14.1 Requerimientos de seguridad en los sistemas de información
Garantizar que la seguridad de la información sea parte integral del ciclo de vida de los sistemas de información. Esto también incluye los requisitos para sistemas de información que provean servicios sobre redes públicas, mediante el análisis y espec
protección de las transacciones de las aplicaciones
A.14.1.1 Análisis y especificación de requerimientos de seguridad de la información NA
A.14.1.2 Aseguramiento de servicios de aplicaciones sobre redes públicas NA
A.14.1.3 Protección de transacciones en servicios de aplicación NA
A.14.2 Seguridad en los procesos de desarrollo y soporte

Garantizar que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información, mediante el establecimiento de una política para el desarrollo de sistemas seguros, el empleo de proce
estableciendo el principio de ingeniera de sistemas seguros, empleando entorno seguros, asegurando la información en los sistemas externos adquiridos y realizando las pruebas necesarias que prevean incidentes o brechas de seguridad
A.14.2.1 Política de desarrollo seguro NA
A.14.2.2 Procedimientos de control del cambio del sistema NA
A.14.2.3 Revisión técnica de aplicaciones después de cambios a la plataforma operativa NA
A.14.2.4 Restricciones sobre cambios a los paquetes NA
A.14.2.5 Principios de ingeniería de sistemas seguros NA
A.14.2.6 Ambiente de desarrollo seguro NA
A.14.2.7 Desarrollo contratado externamente NA
A.14.2.8 Pruebas de seguridad del sistema NA
A.14.2.9 Pruebas de aceptación del sistema NA

Documentación de
referencia
A.14.3 Datos de prueba
Proteger la confidencialidad de la información durante las pruebas de los sistemas de información
A.14.3.1 Protección de datos de prueba NA
A.15 Relaciones con los proveedores

A.15.1 Seguridad de la información en las relaciones con los proveedores
Asegurar la protección de los activos de la organización que son accesibles por los proveedores, mediante el establecimiento de una política con los lineamientos para establecer y gobernar las relaciones con los proveedores, las medidas para abordar
A.15.1.1 Política de seguridad de la información para las relaciones con los proveedores NA
A.15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores NA
A.15.1.3 Cadena de suministro de tecnología de información y comunicación NA
A.15.2 Gestión de entrega de servicios del proveedor
Mantener un nivel acordado de seguridad de la información y prestación de servicios en línea con los acuerdos del proveedor, mediante el monitoreo y revisión de los proveedores, así como la gestión de los cambios en los servicios brindados por los pr
A.15.2.1 Monitoreo y revisión de servicios de los proveedores NA
A.15.2.2 Gestión de cambios en los servicios de proveedores NA
A.16 Gestión de incidentes de seguridad de la información

A.16.1 Gestión de incidentes de seguridad de la información y mejoras
Asegurar mediante un enfoque consistente y efectivo se gestionen los incidentes de seguridad de la información, incluyendo la identificación sobre eventos de seguridad y las debilidades, para lo cual se deben establecer las responsabilidades, los plan
aprendidas
A.16.1.1 Responsabilidades y procedimientos NA

Documentación de
referencia
A.16.1.2 Reporte de eventos de seguridad de la información NA
A.16.1.3 Reporte de debilidades de seguridad de la información NA
A.16.1.4 Evaluación y decisión sobre eventos de seguridad de la información NA
A.16.1.5 Respuesta a incidentes de seguridad de la información NA
A.16.1.6 Lecciones aprendidas ante incidentes de seguridad de la información NA
A.16.1.7 Recolección de evidencia NA
A.17 Aspectos de seguridad de la información en la gestión de co

A.17.1 Continuidad de seguridad de la información
La continuidad de seguridad de la información debe estar embebida en los sistemas de gestión de continuidad del negocio de la organización, mediante su planificación, implementación y la revisión
A.17.1.1 Planificación de la continuidad de seguridad de la información NA
A.17.1.2 Implementación de la continuidad de seguridad de la información NA
A.17.1.3 Verificación, revisión y evaluación de la continuidad de seguridad de la información NA
A.17.2 Redundancias
Asegurar la disponibilidad de la información y de las instalaciones donde se procesa esta información
A.17.2.1 Disponibilidad de las instalaciones de procesamiento de la información NA
A.18 Cumplimiento
A.18.1 Cumplimiento con los requisitos legales y contractuales

Documentación de
referencia
Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o contractuales relacionadas a la seguridad de la información y a cualquier requisito de seguridad, mediante la identificación de estos requisitos, asegurando los derechos de prop
controles criptográficos
A.18.1.1 Identificación de requisitos contractuales y de legislación aplicables NA
A.18.1.2 Derechos de propiedad intelectual NA
A.18.1.3 Protección de registros importantes de la organización NA
A.18.1.4 Privacidad y protección de datos personales NA
A.18.1.5 Regulación de controles criptográficos NA
A.18.2 Revisiones de seguridad de la información
Asegurar que la seguridad de la información está implementada y sea operada de acuerdo con las políticas y procedimientos organizativos
A.18.2.1 Revisión independiente de la seguridad de la información NA
A.18.2.2 Cumplimento de políticas y estándares de seguridad de la información NA
A.18.2.3 Revisión del cumplimiento técnico NA
LEYENDA
Nivel de
Cantidad Descripción % implementación
Madurez
OPTIMIZADO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia OP 0%
establecida, responsabilidades bien definidas, se encuentra documentado, cuenta con
indicadores y se busca la mejora continua
PREDECIBLE
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia PR 0%
establecida, responsabilidades bien definidas, se encuentra documentado y cuenta
con indicadores

Documentación de
referencia
ESTABLECIDO
0 El requerimiento o control se ha implementado, se ejecuta con un frecuencia ES 0%
establecida, responsabilidades bien definidas y se encuentra documentado
GESTIONADO
0 El requerimiento o control se ha implementado y se ejecuta con un frecuencia GE 0%
establecida
INICIAL
0 El requerimiento o control se ha implementado y se ejecuta de manera inicial IN 0%
NO IMPLEMENTADO
0 El requerimiento o control no se ha implementado NI 0%
NO APLICABLE
114 El requerimiento o control no aplica NA 100%
114 100%

la información
Justificación de la aplicabilidad o de la
Acciones de mejora Descripción del control
no aplicabilidad
cual se debe realizar la emisión y revisión de las políticas y el grupo de documentos relacionados a la seguridad de la información
Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado por niveles gerenciales
idóneos, publicado y comunicado a los empleados y a las partes externas relevantes; cabe señalar que, la política
general debe ser aprobada por el Directorio u órgano equivalente o al que se designe
La política de seguridad de la información será revisada a intervalos planificados o si se producen cambios
significativos para asegurar su conveniencia, adecuación y efectividad continua
es y las responsabilidades, la segregación de las funciones y de las áreas de responsabilidad, el contacto permanentes con las autoridades y los grupos de interés especializados en seguridad de la información y
Definir claramente todas las responsabilidades de seguridad de la información
Realizar una segregación de las funciones y áreas de responsabilidad en conflicto para reducir oportunidades de
modificación no autorizada o no intencional, o mal uso de los activos de la organización
Mantener los contactos apropiados con las autoridades pertinentes
Mantener los contactos apropiados con los grupos de interés especial u otros foros de seguridad especializados y
asociaciones profesionales
Tratar la seguridad de la información en la gestión de proyectos, sin importar el tipo de proyecto
s o tabletas, o cuando se realice una conexión desde cualquier dispositivo fuera de la organización para realizar teletrabajo o trabajos remotos
Adoptar una política y medidas de seguridad de soporte para gestionar los riesgos asociados con el uso de
dispositivos móviles

no aplicabilidad
Implementar una política y medidas de seguridad de soporte para proteger la información a la que se accede,
procesa o almacena a través del teletrabajo
desde el proceso de selección del personal hasta la firma del contrato la cual considere todas las cláusulas de seguridad
Verificar los antecedentes de los candidatos a ser empleados en concordancia con las leyes, regulaciones y ética
relevantes, y que deben ser proporcionales a los requisitos del negocio, la clasificación de la información a la que se
tendrá acceso y los riesgos percibidos
Asegurar que los acuerdos contractuales con los empleados y contratistas estipulen responsabilidades de éstos y de
la organización respecto a la seguridad de la información
de las gerencias, realizar tareas de concientización, educación y entrenamiento a los empleados y contratistas, y sancionar las violaciones e incidentes mediante un proceso disciplinario, asegurando el
Definir y comunicar al empleado o contratista sobre las responsabilidades y deberes de seguridad de la información
que son válidos luego de la terminación o cambio de empleo y forzar su cumplimiento
Brindar capacitación y educación sobre seguridad de la información, y realizar actualizaciones regulares sobre
políticas y procedimientos de la organización, según sea relevante para la función del trabajo que cumplan
Establecer un proceso disciplinario formal y tomar acción ante las infracciones que en materia de seguridad de la
información cometieran los empleados
Definir y comunicar al empleado o contratista sobre las responsabilidades y deberes de seguridad de la información
que siguen siendo válidos luego de la terminación o cambio de empleo y forzar su cumplimiento.
n de los propietarios de estos activos, la determinación de su uso aceptable y las actividades para su devolución a la organización

no aplicabilidad
Identificar la información, otros activos asociados con información e instalaciones de procesamiento; además,
elaborar y mantener un inventario de activos
Los activos registrados en el inventario deben ser de propiedad de la organización
Identificar, documentar e implementar las reglas para el uso aceptable de la información y activos asociados a las
instalaciones de procesamiento de información
Asegurar que los empleados y usuarios de partes externas devuelvan los activos de la organización en su posesión a
la conclusión de su empleo, contrato o acuerdo
fidencialidad, integridad y disponibilidad, la implementación del proceso de etiquetado que permita su identificación y determinando cual es el manejo aceptable de los activos de acuerdo a los niveles de
La información se clasificará en términos de los requisitos legales, valor, criticidad y sensibilidad respecto a la
divulgación o modificación no autorizada
Desarrollar un conjunto apropiado de procedimientos para el etiquetado de información y tramitación que se

ejecutará de conformidad con el sistema de clasificación adoptado por la organización
Desarrollar e implementar los procedimientos para el manejo de activos acorde con el esquema de clasificación de
la información adoptado por la organización
e la eliminación y destrucción, en los formatos físicos y electrónicos
Implementar procedimientos para la gestión de medios removibles acordes al esquema de clasificación de la

información adoptado por la organización
Los medios de almacenamiento deben eliminarse de forma segura cuando ya no se requieran, utilizando
procedimientos formales
Proteger los medios que almacenan información contra el acceso no autorizado, el mal uso o la corrupción durante
el transporte
s y a los servicios de red

no aplicabilidad
Establecer una política de control de acceso, documentada y revisada en base a los requisitos empresariales y de
seguridad para el acceso
Restringir a los usuarios el acceso a la red y a los servicios de red que hayan sido autorizados a usar
sistemas, la gestión de perfiles y los derechos de los usuarios privilegiados
Implementar un proceso formal para otorgar y revocar el acceso a los sistemas informáticos y servicios de
información
Implementar un proceso formal de aprovisionamiento de accesos para asignar o revocar los derechos de acceso
para todos los tipos de usuarios en todos los sistemas y servicios
Restringir y controlar la asignación y uso de derechos de acceso
Controlar la información de autentificación secreta a través de un proceso de gestión formal
Revisar los derechos de acceso de usuario a intervalos regulares
Remover los derechos de acceso a información e instalaciones de procesamientos de información de los empleados
y de los usuarios de partes externas al término de su empleo, contrato o acuerdo, o modificarse según el cambio
Exigir a los usuarios el uso de las buenas prácticas de seguridad en la selección y uso de contraseñas
s, restricción del uso de programas utilitarios y controlando el acceso a los códigos fuentes de los sistemas y aplicativos
Restringir el acceso a la información y a las funciones de los sistemas informáticos y aplicaciones acorde con la
política de control de acceso
Controlar el acceso al sistema y las aplicaciones, cuando la política de control de acceso lo requiera

no aplicabilidad
Asegurar que los sistemas de gestión de contraseñas sean interactivos y permitan generar contraseñas seguras y
confiables
Restringir el uso de programas utilitarios que podrían ser capaces de pasar por alto los controles del sistema y de
las aplicaciones
Restringir el acceso al código fuente de los programas
enga los lineamientos para el control criptográfico y las actividades para gestionar las claves
Desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información
Desarrollar e implementar una política sobre el uso, protección y tiempo de vida de las claves criptográficas a través
de un ciclo de vida
ímetro y los controles de ingreso físico, aseguramiento de las áreas críticas, áreas de carga y despecho, y la protección contra amenazas externas y ambientales
Definir y utilizar perímetros de seguridad para proteger áreas que contienen información sensible o crítica e
instalaciones de procesamiento de la información
Proteger las áreas seguras por medio de controles apropiados que aseguren el acceso sólo al personal autorizado
Diseñar e implementar la seguridad física de las oficinas e instalaciones
Diseñar e implementar la protección física contra desastres naturales, ataque malicioso o accidentes
Diseñar e implementar procedimientos para el trabajo en áreas seguras
Controlar los puntos de acceso, tales como las zonas de entrega, carga y otros puntos en los que las personas no
autorizadas puedan entrar a los locales y, si es posible, aislarlos de las instalaciones de procesamiento de
información para evitar el acceso no autorizado

no aplicabilidad
los equipos, los suministros de servicios, la seguridad en el cableado, el mantenimiento de los equipos, la remoción de los equipos, la seguridad fuera de las instalaciones, la reutilización y disposición, los equipos
Ubicar y proteger los equipos para reducir los riesgos de amenazas y peligros ambientales, así como las
oportunidades para el acceso no autorizado
Proteger los equipos contra fallas de energía y otras interrupciones causadas por fallas en los servicios de suministro
Proteger el cableado de energía y telecomunicaciones que llevan datos o servicios de información de soporte para
evitar la interceptación, interferencia o daño
Mantener el equipo correctamente para permitir su continua disponibilidad e integridad
Retirar los equipos, la información y/o el software sólo si existe autorización previa
Aplicar la seguridad a los activos que están fuera del local de la organización tomando en cuenta los distintos
riesgos involucrados
Verificar todos los elementos del equipo que contengan medios de almacenamiento para asegurar que cualquier
dato sensible y software con licencia se haya eliminado o se haya sobre escrito de manera segura antes de su
disposición o reutilización
Asegurar que el equipo desatendido tenga la protección adecuada
Adoptar una política de escritorio limpio de papeles y de medios de almacenamiento removibles, así como una
política de pantalla limpia para las instalaciones de procesamiento de la información
pacidades y la separación de los entornos de desarrollo, prueba y de producción
Documentar los procedimientos operativos de las áreas de sistemas y ponerlos a disposición de sus integrantes
cuando lo necesiten
Controlar los cambios en la organización, procesos de negocio, instalaciones de procesamiento de la información y

sistemas que afecten la seguridad de la información
Monitorear el uso de los recursos y hacer proyecciones de los futuros requisitos de capacidad para asegurar el
desempeño requerido de los sistemas informáticos

no aplicabilidad
Separar los entornos de desarrollo, pruebas y operaciones para reducir los riesgos de acceso no autorizado o
cambios en el entorno operativo
Implementar controles de detección, prevención y recuperación para proteger contra malware y concientizar de
manera apropiada a los usuarios
Probar periódicamente las copias de respaldo de la información, del software y de las imágenes acorde la política de
respaldo
y operadores, implementado protección para estos registros y asegurando la sincronización de los relojes para la trazabilidad de las acciones
Producir, mantener y revisar regularmente los registros (logs) de eventos de actividades de usuarios, excepciones,
fallas y eventos de seguridad de la información
Proteger las instalaciones para registros (logs) y la información de los registros (logs) contra la adulteración y el
acceso no autorizado
Registrar las actividades del administrador del sistema y del operador del sistema. Asimismo, proteger y revisar
regularmente los registros (logs)
Sincronizar los relojes de todos los sistemas de procesamiento de la información relevantes dentro de una
organización o dominio de seguridad a una fuente de tiempo de referencia única
Implementar procedimientos para controlar la instalación de software en los ambientes de producción

no aplicabilidad
Obtener de manera oportuna la información acerca de las vulnerabilidades técnicas de los sistemas informáticos
que se utilizan, evaluar la exposición de la organización a tales vulnerabilidades y tomar las medidas adecuadas
para hacer frente a los riesgos asociados
Establecer e implementar reglas que gobiernen la instalación de software por parte de los usuarios
Planificar y acordar los requisitos de las auditorías y las actividades que involucrean la verificación de sistemas
informáticos en producción para minimizar la interrupción a los procesos de negocio
ad y segregación en las redes
Gestionar y controlar las redes para proteger la información en los sistemas y las aplicaciones
Identificar los mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los servicios de red e
incluirlos en acuerdos de servicios de red, ya sea que estos servicios se provean internamente o por terceros
Segregar en las redes internas a los grupos de servicios de información, usuarios y sistemas informáticos
la transferencia de la información, confidencialidad y no divulgación, y la protección de la mensajería electrónica
Aplicar políticas, procedimientos y controles de transferencia formales para proteger la información a través del uso
de instalaciones de comunicación
Definir acuerdos para dirigir la transferencia segura de información del negocio entre la organización y partes
externas
Proteger la información involucrada en mensajería electrónica, por ejemplo correo electrónico, tecnologías de
mensajerías instantánea, entre otros
Identificar, revisar regularmente y documentar los requisitos para los acuerdos de confidencialidad o no divulgación
que reflejan las necesidades de la organización para la protección de la información

no aplicabilidad
ean servicios sobre redes públicas, mediante el análisis y especificaciones de los requerimientos de seguridad de la información, aseguramiento de los servicios de aplicaciones sobre las redes públicas y la
Incluir los requerimientos relacionados a la seguridad de la información dentro de la formulación de requerimientos

para nuevos sistemas de información o mejoras a los sistemas de información existentes.
Proteger la información involucrada en servicios de aplicaciones que pasan sobre redes públicas de actividades
fraudulentas, disputa de contratos o divulgación no autorizada y modificación.
Proteger la información involucrada en las transacciones de servicios de aplicación para prevenir transmisión
incompleta, ruteo incorrecto, alteración no autorizada de mensajes, divulgación no autorizada, duplicación o
respuesta no autorizada de mensajes.
tica para el desarrollo de sistemas seguros, el empleo de procedimientos formales para realizar los cambios en los aplicativos, revisar técnicamente las aplicaciones, restringiendo el acceso a los paquetes,
s que prevean incidentes o brechas de seguridad
Establecer reglas para el desarrollo de software y sistemas para aplicarlas a desarrollos dentro de la organización.
Controlar los cambios a los sistemas dentro del ciclo de vida del desarrollo por medio del uso de procedimientos
formales de control de cambios.
Revisar y probar las aplicaciones críticas del negocio cuando se cambian las plataformas operativas para evitar
impacto adverso en las operaciones o en la seguridad de la organización.
Limitar las modificaciones de los paquetes de software a los cambios necesarios y controlar estos cambios.
Establecer, documentar, mantener y aplicar los principios para la ingeniería de sistemas seguros.
Establecer y proteger apropiadamente los ambientes de desarrollo seguros para los esfuerzos de desarrollo e
integración de sistemas que cubren todo el ciclo de vida del desarrollo del sistema.
Supervisar y monitorear la actividad de desarrollo de sistemas contratado externamente.
Llevar a cabo pruebas de funcionalidad de la seguridad durante el desarrollo.
Establecer programas de pruebas de aceptación y criterios relacionados para nuevos sistemas de información,
actualizaciones y nuevas versiones.

no aplicabilidad
Seleccionar, proteger y controlar los datos de prueba utilizando técnicas de enmascaramiento.
r las relaciones con los proveedores, las medidas para abordar los requerimientos de seguridad en los contratos y el aseguramiento en la cadena de suministros tecnológicos y de comunicaciones
Acordar con los proveedores los requisitos de seguridad de la información para mitigar los riesgos asociados al
acceso no autorizado a los activos de la organización.
Establecer y acordar con cada proveedor todos los requisitos relevantes de seguridad de la información sobre
acceder, procesar, almacenar, comunicar o proveer componentes de infraestructura de TI para la información de la
organización.
Incluir en los acuerdos con proveedores los requisitos para abordar los riesgos de seguridad de la información
asociados con los servicios de tecnología de la información y comunicaciones y la cadena de suministro de los
mismos.
o la gestión de los cambios en los servicios brindados por los proveedores
Monitorear, revisar y auditar regularmente la entrega de servicios por parte de los proveedores.
Gestionar los cambios a la provisión de servicios por parte de proveedores, incluyendo el mantenimiento y
mejoramiento de las políticas, procedimientos y controles existentes de seguridad de la información tomando en
cuenta la criticidad de la información del negocio, sistemas y procesos involucrados y una reevaluación de riesgos.
para lo cual se deben establecer las responsabilidades, los planes de respuesta, la detección y evaluación de los eventos y debilidades, al actividades de respuesta y la mejora mediante la revisión de las lecciones
Establecer las responsabilidades de gestión y los procedimientos para asegurar una respuesta rápida, efectiva y
ordenada a los incidentes de seguridad de la información

no aplicabilidad
Reportar los eventos de seguridad de la información a través de canales de gestión apropiados tan rápido como sea
posible
Exigir a los empleados y contratistas que usan los sistemas y servicios de información para que adviertan y reporten
cualquier debilidad observada o de la que se sospecha en cuanto a seguridad de la información en los sistemas o
servicios
Evaluar los eventos de seguridad de la información y decidir si serán clasificados como incidentes de seguridad de la
información
Responder sobre los incidentes de seguridad de la información de acuerdo con los procedimientos documentados
Utilizar el conocimiento adquirido de analizar y resolver los incidentes de seguridad de la información para reducir la
posibilidad o el impacto de incidentes futuros
Definir y aplicar procedimientos para la identificación, recolección, adquisición y preservación de información que
pueda servir como evidencia
la revisión
Determinar los requisitos de seguridad de la información y continuidad de la gestión de seguridad de la información

en situaciones adversas, por ejemplo durante una crisis o desastre
Establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel
requerido de continuidad de seguridad de la información durante una situación adversa
Verificar los controles de continuidad de seguridad de la información que se han establecido e implementado a
intervalos regulares, para asegurarse que son válidos y efectivos durante situaciones adversas
Implementar en las instalaciones de procesamiento de la información la redundancia suficiente para cumplir con los
requisitos de disponibilidad

no aplicabilidad
ntificación de estos requisitos, asegurando los derechos de propiedad intelectual, la protección de los registros, la protección de la privacidad y datos personales y el cumplimiento de las regulaciones para los
Identificar, documentar y mantener al día para cada sistema de información todos los requisitos legislativos,
estatutarios, regulatorios y contractuales relevantes así como el enfoque de la organización para cumplir con estos
requisito
Implementar los procedimientos apropiados para asegurar el cumplimiento de requisitos legislativos, regulatorios y
contractuales relacionados a los derechos de propiedad intelectual y uso de productos de software propietario.
Proteger los registros importantes de la organización frente a cualquier pérdida, destrucción, falsificación, acceso no
autorizado y divulgación no autorizada, de acuerdo con los requisitos de las leyes regulaciones, contractos y del
negocio
Asegurar la privacidad y la protección de datos personales tal como se requiere en las leyes y regulaciones
relevantes que apliquen a la organización
Utilizar los controles criptográficos asegurando el cumplimiento de todos los acuerdos, leyes y regulaciones
relevantes
Revisar independientemente (por ejemplo ejecutadas por auditores, gestores independientes u organizaciones
especializadas) a intervalos planeados o cuando ocurran cambios significativos el enfoque de la organización para
manejar la seguridad de la información y su implementación (por ejemplo objetivos de control, controles, políticas,
procesos y procedimientos
en lospara la seguridad de la información)
Revisar regularmente procesos y los procedimientos el cumplimento de las políticas, estándares y otros
requerimientos de seguridad de la información
Revisar tecnicamente los sistemas de información (por ejemplo realizando pruebas de penetración y evaluaciones
de vulnerabilidades) regularmente respecto al cumplimiento de las políticas y normas de seguridad de la
información de la organización

ESTADO DE LA SEGURIDAD DE LA INFORMA
No aplicable -
0 0.5 1 1.5 2
5
REQUERIMIENTOS DE LA ISO 27001
No aplicable -
0 0.5 1 1.5 2 2.5 3 3.5 4 4.5

5
Claúsula 4
5.0
Claúsula 10 Claúsula 5
0.0
Claúsula 4 - 2
Claúsula 5
Claúsula 9 - 2
Claúsula 6
Claúsula 6 - 2
Claúsula 7 - 2
Claúsula 8 - 2
Claúsula 9 - 2
Claúsula 10 - 2
-
Claúsula 8 Claúsula 7
Avanzado Medio Básico Estado

Avanzado Medio Básico Estado
RESUMEN RESULTADOS DEL ESTADO DE LOS
Optimizado 0
Predecible 0
Establecido 0
Optimizado
Gestionado 0 Predecible
Inicial 0 Establecido
No impementada 0 Gestionado
No aplica 100 Inicial
No impementada
No aplica
100.00%
Requerimientos Optimizado Predecible
Claúsula 4 Claúsula 4 - Contexto de la organización 0 0

Claúsula 5 Claúsula 5 - Liderazgo 0 0
Claúsula 6 Claúsula 6 - Planificación 0 0
Claúsula 7 Claúsula 7 - Soporte 0 0
Claúsula 8 Claúsula 8 - Operación 0 0
Claúsula 9 Claúsula 9 - Evaluación del Desempeño 0 0
Claúsula 10 Claúsula 10 - Mejora del SGSI 0 0
Total 0 0
RESUMEN RESULTADOS DEL ESTADO DE LOS
Optimizado
Predecible
Establecido
Optimizado 0
Predecible 0
Optimizado
Establecido 0
Predecible
Gestionado 0
Establecido
Inicial 0
Gestionado
No impementada 0
Inicial
No aplica 114
No impementada
No aplica
100.00%
Controles Optimizado Predecible
Anexo A.5
Anexo A.5 - Políticas de seguridad de la 0 0
información
Anexo A.6
Anexo A.6 - Organización de la seguridad 0 0
de la información
Anexo A.7
Anexo A.7 - Seguridad de los recursos 0 0
humanos
Anexo A.8 Anexo A.8 - Gestión de activos 0 0
Anexo A.9 Anexo A.9 - Control de acceso 0 0
Anexo A.10 Anexo A.10 - Criptografía 0 0
Anexo A.11
Anexo A.11 - Seguridad física y 0 0
ambiental
Anexo A.12
Anexo A.12 - Seguridad en las 0 0
operaciones de Sistemas
Anexo A.13
Anexo A.13 - Seguridad de las 0 0
comunicaciones
Anexo A.14
Anexo A.14 - Adquisición, desarrollo y 0 0
mantenimiento de sistemas
Anexo A.15
Anexo A.15 - Relaciones con los 0 0
proveedores
Anexo A.16
Anexo A.16 - Gestión de incidentes de 0 0
seguridad de la información
Anexo A.17
Anexo A.17 - Aspectos de SI en la 0 0
gestión de continuidad del negocio
Anexo A.18 Anexo A.18 - Cumplimiento 0 0
Total 0 0
E LA INFORMACIÓN
5 2 2.5 3 3.5 4
27001 CONTROLES DEL ANEXO A DE LA IS
No aplicable -
3.5 4 4.5 0
Anexo 0.5
A.5 1- 1.5 2 2 2.5 43 3.5
5 Anexo A.5
Anexo A.18 Anexo A.6
5.0
Claúsula 5 Anexo A.17 Anexo A.7
Anexo A.6 - 2 4
Anexo
Anexo A.7
A.16 - 2 4 Anexo A.8
Anexo A.8 - 2 4
Anexo A.9 - 2 4
0.0
4 Anexo A.10 - 2 4
4 5 Anexo A.11 - 2 4
Claúsula 6 4 5 Anexo
Anexo A.12
A.15 - 2 4 Anexo A.9
4 5 Anexo A.13 - 2 4
4 5 Anexo A.14 - 2 4
4 5 Anexo A.15 - 2 4
4 5 Anexo A.16 - 2 4
4 Anexo
5 Anexo A.14
A.17 - 2 4 Anexo A.10
Anexo A.18 - 2 4
a7 Anexo A.13 Anexo A.11
- Anexo A.12
Estado Avanzado Medio Básico Estado

Estado Avanzado Medio Básico Estado
ESTADO DE LOS REQUERIMIENTOS DE LA ISO 27001
30
25
Optimizado 20
Predecible
Establecido
Gestionado 15
Inicial
No impementada 10
No aplica
0
Claúsula 4 Claúsula 5 Claúsula 6 Claúsula 7 Claúsula 8 Claúsul
No
Establecido Gestionado Inicial impementad No aplica Calificación
a
0 0 0 0 4 No aplicable
0 0 0 0 100 100
ESTADO DE LOS CONTROLES DEL ANEXO A DE LA ISO 2
16
14
12
Optimizado 10
Predecible
Establecido 8
16
14
12
Optimizado 10
Predecible
Establecido 8
Gestionado 6
Inicial
No impementada 4
No aplica 2
No
Establecido Gestionado Inicial impementad No aplica Calificación
a
0 0 0 0 114 114
4 4.5
XO A DE LA ISO 27001
.5 3 3.55 4 4.5
Anexo A.6
Anexo A.7
5 A.8
Anexo
5
5
5
5
5 A.9
Anexo
5
5
5
5
Anexo A.10
5
5
Anexo A.11
sico Estado
sico Estado
ISO 27001
No aplica
No impementada
Inicial
Gestionado
Establecido
Predecible
Optimizado
a7 Claúsula 8 Claúsula 9 Claúsula 10
A DE LA ISO 27001
No aplica
No impementada
No aplica
No impementada
Inicial
Gestionado
Establecido
Predecible
Optimizado

Auto Evaluacion SGSI ISO 27001

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auto Evaluacion SGSI ISO 27001

Încărcat de

Drepturi de autor:

Formate disponibile

ISO 27001 - Estado de implementación Sistema de gestión de seguridad de la información

Responsable del Documentación de Justificación de la aplicabilidad o de la

4.1 Entendimiento de la organización y su contexto

4.2 Entender las necesidades y expectativas de las partes interesadas

4.4 Sistema de gestión de seguridad de la información

Establecer, implementar, mantener y mejorar continuamente un sistema de gestión de

5.1 Liderazgo y compromiso

Asegurar que la política y los objetivos de seguridad de la información estén

5.1.7 Promover la mejora continua en el sistema de gestión de seguridad de la información NA

Asegurar que sea apropiada de acuerdo al propósito, actividad y objetivos de la

5.2.5 Asegurar la disponibilidad como información documentada NA

5.2.6 Debe ser comunicada dentro de la organización NA

5.3 Roles, responsabilidades y autoridades organizacionales

Asignar responsabilidades y autoridades para asegurar que el sistema de gestión de

6.1 Acciones para abordar los riesgos y las oportunidades

6.1.5 Evaluación de riesgos de seguridad de la información

Establecer y mantener criterios de riesgo de seguridad de la información que incluyan

6.1.6 Tratamiento de riesgos de seguridad de la información

Definir y aplicar un proceso de tratamiento de riesgos de la seguridad de la información

6.2.2 Realizar la medición de los objetivos en cuanto a su consecución NA

6.2.4 Comunicar a las partes pertinentes en la organización los objetivos y la planificación NA

6.2.5 Actualizar y mantener documentado según sea apropiado NA

6.2.8 La planificación debe prever la asignación de responsabilidades para su ejecución NA

6.2.9 La planificación y los objetivos deben prever plazos para su culminación NA

6.2.10 La planificación debe prever cómo se evaluarán los resultados NA

Determinar y proporcionar los recursos necesarios para el establecimiento,

Determinar las competencias necesaria de las personas en materia de seguridad de la

7.2.4 Mantener información documentada apropiada como evidencia de competencia. NA

Concientizar a las personas que trabajan en la organización sobre política de seguridad

Determinar la necesidad de la comunicación interna y externa relevante al SGSI,

7.5 Información y documentación

7.5.1 Documentar y mantener la información necesaria para la efectividad del SGSI NA

7.5.2 Creación y Actualización de los documentos

Asegurar la identificación y descripción de los documentos (por ejemplo: un título,

7.5.2.2 Determinar el formato apropiado NA

7.5.2.3 Realizar la revisión y aprobación para asegurar su conveniencia y adecuación NA

7.5.3 Información documentada

7.5.3.3 Realizar los controles de la distribución, acceso, recuperación y uso de la información NA

7.5.3.4 Almacenar y preservar la información, previendo su legibilidad NA

7.5.3.5 Realizar control de cambios (por ejemplo: control de versiones) NA

7.5.3.6 Realizar retención y disposición de acuerdo a lineamientos establecidos NA

8.1 Planificación y control operacional

8.1.4 Asegurar que los procesos tercerizados están identificados y controlados NA

8.2 Evaluación de riesgos de seguridad de la información

Realizar evaluaciones de riesgos de seguridad de la información en intervalos

8.3 Tratamiento de riesgos de seguridad de la información

8.3.1 Implementar el plan de tratamiento de riesgos de seguridad de la información NA

9 EVALUACIÓN DEL DESEMPEÑO

9.1 Monitoreo, medición, análisis y evaluación

Determinar lo que necesita ser monitoreado y medido, incluyendo procesos y controles

9.1.3 Determinar cuándo el monitoreo y medición debe ser realizado NA

9.1.4 Determinar responsables para el monitoreo y medición NA

9.1.6 Determinar responsables para el análisis y evaluación de los resultados NA

9.2 Auditoría interna

Conducir auditorías en intervalos planificados para determinar la conformidad con los

9.2.4 Definir los criterios y el alcance de cada auditoría NA

9.3 Revisión de la gestión

9.3.4 Incluir retroalimentación de las partes interesadas NA

9.3.6 Incluir oportunidades para la mejora continua NA

10 MEJORA DEL SGSI

10.1.1 Realizar las correciones ante las no conformidades detectadas NA

10.1.2 Evaluar la necesidad de implementar las acciones correctivas NA

10.1.3 Ejecutar la implementación de las acciones correctivas NA