Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Jefe de Infraestructura
Jefe de Comunicaciones
DBA
Jefe de Unidad de Gestin Informtica
Gestor de Proyecto
Alcances
Misin Institucin
Visin Institucin
Objetivos Estrategicos Institucin
Objetivos de la Unidad
Misin
Visin
Objetivo Estrategico que Persigue
Objetivo Estrategico que apoya el Software
Valores de la Unidad
Empresa
Limitaciones
Comentarios
Historial de Cambios
Version No.
Fecha
Descripcin de Cambios
1.00
02.01.2014 Creacin de Plantillas base
1.01
29.12.2012
Version
1.0
Fecha Tope
Plan de Trabajo
mbios
Persona - Empresa
Julio Lamas - Decalink
Autor
In Percent
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
ISO 27001:2005 Controles Apndice-A Implementacin Estado por la Clasificacin en nmero y porcentaje
7; 5%
49; 37%
23; 17%
5; 4%
49; 37%
7; 5%
49; 37%
23; 17%
5; 4%
49; 37%
porcentaje
20
0
Proceso
Cumple con la
norma y esta
documentado
0 se
Proceso
lleva a cabo y
se debe
documentar
0 no
Proceso
cumple con la
norma y debe
ser rediseado
0 no
Proceso
est en su
lugar / no esta
implementado
0 no es
Proceso
aplicable
Conf ormidad %
50%
Meta
40%
30%
20%
10%
m a s d e in fo rm a c i n , d e s a rro llo y m a n t e n im ie n t o
0%
C o n fo rm id a d
G e s t i n d e c o n t in u id a d d e l n e g o c io
d e in c id e n t e s d e s e g u rid a d d e in fo rm a c i n
C o n t ro l d e A c c e s o
s t i n d e C o m u n ic a c i n y O p e ra c io n e s
L a s e g u rid a d fis ic a y a m b ie n t a l
a s e g u rid a d d e lo s re c u rs o s h u m a n o s
P o lit ic a d e S e g u rid a d
1200%
1000%
800%
600%
400%
200%
0%
G e s t i n d e A c t ivo s
en nmero y porcentaje
iz a c i n d e la s e g u rid a d d e la in fo rm a c i n
Compliance percentage
005 y documentado
Conf ormidad %
Meta
C o n fo rm id a d
G e s t i n d e c o n t in u id a d d e l n e g
G e s t i n d e in c id e n t e s d e s e g u rid a d d e in f
A d q u is ic i n d e s is t e m a s d e in fo rm a c i n , d e s a rro llo y
C o n t ro l d e A c c e s o
G e s t i n d e C o m u n ic a c i n y O p e ra c
L a s e g u rid a d fis ic a y a m b ie n
L a s e g u rid a d d e lo s re c u rs o s h u m
G e s t i n d e A c t ivo s
O rg a n iz a c i n d e la s e g u rid a d d e la in fo
P o lit ic a d e S e g u rid a d
800%
600%
400%
200%
0%
Conf ormidad %
Meta
n en nmeros
0 no
ceso
en su
ar / no esta
lementado
0 no es
Proceso
aplicable
01:2005 y documentado
Conf ormidad %
Meta
C o n fo rm id a d
G e s t i n d e c o n t in u id a d d e l n e g o c io
r dominio
Conformidad %
Meta
C o n fo rm id a d
G e s t i n d e c o n t in u id a d d e l n e g
Conformidad %
Meta
ISO Clauses
Proceso no
Proceso se lleva a
cumple con la
cabo y se debe
norma y debe ser
documentar
rediseado
Controles documentados e
implementados
Controles
implementados
deben ser
documentados
Controls
23
0
0
0
0
0
0
0
0
0
0
0
0
Controles
implementados
no cumplen con
las normas, tiene
que redisear
49
Conformidad %
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
5
6
7
8
9
10
11
12
13
14
15
0
0
0
0
0
0
0
0
0
0
0
Conformidad %
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
Administracin
CISO
Finanzas
Recursos Humanos
IT
S/W
Alta Direccin
Empleados
No. de controls
16
34
3
9
52
7
4
1
Conformidad %
38%
3%
0%
44%
15%
57%
0%
0%
Meta
100.00%
100.00%
100.00%
100.00%
100.00%
100.00%
100.00%
100.00%
5 - Clusulas
Proceso no est
en su lugar / no
esta
implementado
Proceso no
es aplicable
- annexure - A Controles
Control no
Controles no
implementado y
aplicados
documentado
49
Meta
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
Meta
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
4
4.1
4.1
4.2
4.2.1
4.2.1 (a)
4.2.1 (b)
4.2.1 (c)
4.2.1 (d)
4.2.1 (e)
4.2.1 (f)
4.2.1 (g)
4.2.1 (h)
4.2.1 (i)
4.2.1 (j)
4.2.2
4.2.2 (a)
4.2.2 (b)
4.2.2 (c)
4.2.2 (d)
4.2.2 (e)
4.2.2 (f)
4.2.2 (g)
4.2.2 (h)
4.2.3
4.2.3 (a)
4.2.3 (b)
4.2.3 (c)
4.2.3 (d)
4.2.3 (e)
4.2.3 (f)
4.2.3 (g)
4.2.3 (h)
4.2.4
4.2.4 (a)
4.2.4 (b)
4.2.4 (c)
4.2.4 (d)
Status
4.3
4.3.1
4.3.1 (a)
4.3.1 (b)
4.3.1 (c)
4.3.1 (d)
4.3.1 (e)
4.3.1 (f)
4.3.1 (g)
4.3.1 (h)
4.3.1 (i)
4.3.2
4.3.2
4.3.2 (a)
4.3.2 (b)
4.3.2 (c)
4.3.2 (d)
4.3.2 (e)
4.3.2 (f)
4.3.2 (g)
4.3.2 (h)
4.3.2 (i)
4.3.2 (j)
4.3.3
4.3.3
4.3.3
4.3.3
4.3.3
4.3.3
4.3.3
5
5.1
5.1
5.1 (a)
Requisitos de documentacin
Documentacin SGSI Generales
Declaraciones documentadas de la poltica del SGSI (ver 4.2.1b) y
objetivos
Alcance del SGSI (ver 4.2.1a)
Procedimientos y controles en apoyo del SGSI
Descripcin de la metodologa de evaluacin de riesgos (ver 4.2.1c)
Informe de evaluacin de riesgos (ver 4.2.1c a 4.2.1g)
Plan de tratamiento del riesgo (ver 4.2.2b)
Procedimientos necesitados por la organizacin para asegurarse de
la eficaz planificacin, operacin y control de sus procesos de
seguridad de la informacin y describir la forma de medir la
efectividad de los controles (ver 4.2.3c)
Los registros requeridos por esta Norma Internacional (vase 4.3.3)
Declaracin de aplicabilidad
Control de los documentos
Los documentos requeridos por el SGSI sern protegidos y
controlados. Debe establecerse un procedimiento documentado para
definir las acciones de gestin necesarias para:
Aprobar documentos adecuacin antes de su emisin
Documentos que sean necesarios Revisar y actualizar y re-aprobar
los documentos
Asegurarse de que se identifican los cambios y el estado de revisin
actual de los documentos
Asegrese de que las versiones pertinentes de los documentos
aplicables estn disponibles en los puntos de uso
Asegrese de que los documentos permanecen legibles y fcilmente
identificables
Asegrese de que los documentos se encuentran a disposicin de
quienes los necesitan, y de conformidad con los procedimientos
aplicables a su clasificacin son transferidos, almacenados y
finalmente eliminados
Asegurarse de que se identifican los documentos de origen externo
Asegrese de que se controla la distribucin de documentos
Prevenir el uso no intencionado de documentos obsoletos
Aplicar una identificacin adecuada en los documentos si se
mantengan por cualquier razn
Control de los registros
Los registros deben establecerse y mantenerse para proporcionar
evidencia de la conformidad con los requisitos y el funcionamiento
eficaz del SGSI
Los registros deben ser protegidos y controlados.
Protegidos servi Los Registros Deben Y Controlados.
Los registros deben permanecer legibles, fcilmente identificables y
recuperables.
Los controles necesarios para la identificacin, almacenamiento,
proteccin, recuperacin, tiempo de retencin y disposicin de
registros deben ser documentados e implementados.
Deber llevarse un registro de los resultados del proceso, como se
indica en 4.2 y de todas las apariciones de los incidentes de
seguridad significativos relacionados con el SGSI.
Responsabilidad de la direccin
Compromiso de la direccin
Direccin debe proporcionar evidencia de su compromiso con el
establecimiento, implementacin, operacin, monitoreo, revisin,
mantenimiento y mejora del SGSI por:
El establecimiento de una poltica de SGSI
5.1 (b)
5.1 (c)
5.1 (d)
5.1 (e)
5.1 (f)
5.1 (g)
5.1 (h)
5.2
5.2.1
5.2.1
5.2.1 (a)
5.2.1 (b)
5.2.1 (c)
5.2.1 (d)
5.2.1 (e)
5.2.1 (f)
5.2.2
5.2.2
5.2.2 (a)
5.2.2 (b)
5.2.2 (c)
5.2.2 (d)
5.2.2
6
6
6 (a)
6 (b)
6 (c)
6 (d)
6
6
7
7.1
7.1
7.2
7.2
7.2 (a)
7.2 (b)
7.2 (c)
7.2 (d)
7.2 (e)
7.2 (f)
7.2 (g)
7.2 (h)
7.2 (i)
7.3
7.3
7.3 (a)
7.3 (b)
7.3 (c)
7.3 (d)
7.3 (e)
8
8.1
8.1
8.2
8.2
8.2 (a)
8.2 (b)
8.2 (c)
8.2 (d)
8.2 (e)
8.2 (f)
8.3
8.3
8.3 (a)
8.3 (b)
8.3 (c)
8.3 (d)
8.3 (e)
8.3
Leyenda
Cantidad
0
Codigos Status
D
MD
RD
PNP
NA (Not Applicable)
Buscar
Hallazgos
Significado
El control se document e implement
El Control se lleva a cabo y el proceso debe ser
documentado para asegurar la repetibilidad del
proceso y mitigar los riesgos.
El control no cumple las normas y debe ser
rediseado para cumplir con las normas
El proceso no est en su lugar / no implementado.
(Control requeridos ni documentado ni
implementado)
El control no es aplicable para la empresa ni para el
negocio
Recomendaciones
Contribution %
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
Funcin
Status
Buscar
Hallazgos
A.6.1.8
A6.2
A.6.2.1
A.6.2.2
A.6.2.3
A.7
A.7.1
A.7.1.1
279791472.xls
Page 28 of 49
Anexo A de referencia
A.7.1.2
A.7.1.3
A.7.2
A.7.2.1
A.7.2.2
A.8
A.8.1
A.8.1.1
A.8.1.2
A.8.1.3
A.8.2
A.8.2.1
A.8.2.2
A.8.2.3
A.8.3
A.8.3.1
A.8.3.2
A.8.3.3
A.9
Ttulo de control
Funcin
Status
Buscar
Hallazgos
279791472.xls
Page 29 of 49
Anexo A de referencia
A9.1
A9.1.1
A9.1.2
A9.1.3
A9.1.4
A9.1.5
A9.1.6
A9.2
A9.2.1
A9.2.2
A9.2.3
A9.2.4
A9.2.5
A9.2.6
A9.2.7
A10
A10.1
A10.1.1
A10.1.2
A10.1.3
A10.1.4
A10.2
A10.2.1
Ttulo de control
Funcin
Status
Buscar
Hallazgos
279791472.xls
Page 30 of 49
Anexo A de referencia
A10.2.2
A10.2.3
A10.3
A10.3.1
A10.3.2
A10.4
A10.4.1
A10.4.2
A10.5
A10.5.1
A10.6
A10.6.1
A10.6.2
A10.7
A10.7.1
A10.7.2
A10.7.3
A10.7.4
A10.8
A10.8.1
A10.8.2
A10.8.3
Ttulo de control
Funcin
279791472.xls
Status
Buscar
Hallazgos
Page 31 of 49
Anexo A de referencia
Ttulo de control
A10.8.4
Mensajeria Electronica
A10.8.5
Sistemas de informacin de
negocios
A10.9
Servicios de comercio
electrnico
A10.9.1
Comercio Electronico
A10.9.2
Transacciones On-line
A10.9.3
Informacin pblica
A10.10
Monitoreo
A10.10.1
Registro de Auditoria
A10.10.2
A10.10.3
A10.10.4
A10.10.5
A10.10.6
A11
A11.1
A11.1.1
A11.2
A11.2.1
Administracin de Privilegios
A11.2.3
Administracin de Password de
Usuarios
A11.2.4
A11.3.1
A11.3.2
Status
Buscar
Hallazgos
A11.2.2
A11.3
Funcin
279791472.xls
Page 32 of 49
Anexo A de referencia
Ttulo de control
A11.3.3
A11.4
A11.4.1
Los usuarios slo debern disponer de acceso a los servicios que han sido
especficamente autorizados para su uso.
A11.4.2
A11.4.3
A11.4.4
A11.4.5
Segregacin en redes
A11.4.6
A11.4.7
A11.5
A11.5.1
A11.5.2
A11.5.3
A11.5.4
A11.5.5
A11.5.6
A11.6
A11.6.1
A11.6.2
A11.7
A11.7.1
A11.7.2
Funcin
Status
Buscar
Hallazgos
279791472.xls
Page 33 of 49
Anexo A de referencia
A12.1
A12.1.1
A12.2
A12.2.1
12.2.2
12.2.3
12.2.4
A12.3
A12.3.1
12.3.2
A12.4
A12.4.1
A12.4.2
A12.4.3
A12.5
A12.5.1
A12.5.2
A12.5.3
A12.5.4
A12.5.5
A12.6
A12.6.1
A13
A13.1
Ttulo de control
Descripcin del control
Los requisitos de seguridad de Para asegurar que la seguridad es una parte integral de los sistemas
los sistemas de informacin de informacin.
Declaraciones de los requerimientos del negocio para los nuevos sistemas
Anlisis de los requisitos de
de informacin, o mejoras de los sistemas de informacin existentes
seguridad y las especificaciones
especificarn los requisitos para los controles de seguridad.
Procesamiento correcto en
Para evitar errores, la prdida, modificacin o mal uso de la
aplicaciones
informacin en la aplicacin no autorizada.
La entrada de datos a las aplicaciones deber ser validado para
Validacin de Datos de Entrada
asegurarse de que esta informacin es correcta y apropiada.
Comprobaciones de validacin debern ser incorporados en las
Control del procesamiento interno aplicaciones para detectar cualquier corrupcin de la informacin a travs
de los errores de procesamiento o actos deliberados.
Requisitos para garantizar la autenticidad y la proteccin de la integridad
Integridad de los mensajes
del mensaje en las aplicaciones deben ser identificados, y los controles
apropiados identificados e implementados.
La salida de datos desde una aplicacin deber ser validado para
Validacin de datos de salida
asegurarse de que el procesamiento de la informacin almacenada es
correcta y adecuada a las circunstancias.
Para proteger la confidencialidad, autenticidad o integridad de la
Controles criptogrficos
informacin por medios criptogrficos.
Poltica sobre el uso de controles Una poltica sobre el uso de controles criptogrficos para la proteccin de
criptogrficos
la informacin debe ser desarrollado e implementado
Gestin de claves estar en el lugar para apoyar el uso de la organizacin
Gestin de claves
de las tcnicas criptogrficas.
Seguridad de los archivos del
Para garantizar la seguridad de los archivos del sistema
sistema
Habr procedimientos para controlar la instalacin de software en los
Control del Software Operacional
sistemas operativos
Proteccin de los datos de
Los datos de prueba deben seleccionarse cuidadosamente y protegidos y
prueba del sistema
controlados.
Control de acceso al cdigo
El acceso al cdigo fuente del programa se limitar.
fuente del programa
Seguridad en desarrollo y
soporte de procesos
Funcin
Status
Buscar
Hallazgos
Procedimientos de control de
La implementacin de los cambios se controla mediante el uso de
cambio
procedimientos formales de control de cambios.
Revisin tcnica de aplicaciones
Cuando se cambian los sistemas operativos, aplicaciones crticas de
despus de cambios en el
negocio deben ser revisados y probados para asegurar que no hay impacto
sistema operativo
negativo en las operaciones de la organizacin o de la seguridad.
Las modificaciones a los paquetes de software se pondrn trabas, otros,
Restricciones en los cambios a
las modificaciones necesarias, y todos los cambios deben ser
los paquetes de software
estrictamente controlados.
filtracin de informacin
Se impedir Oportunidades para la fuga de informacin.
Desarrollo de software
Desarrollo de software externalizado ser supervisado y controlado por la
externalizado
organizacin
Gestin de Vulnerabilidades Para reducir los riesgos derivados de la explotacin de las
Tcnica
vulnerabilidades tcnicas publicadas.
La informacin oportuna acerca de las vulnerabilidades tcnicas de los
Control de las vulnerabilidades
sistemas de informacin que se utilizan se obtienen, la exposicin de la
tcnicas
organizacin a tales vulnerabilidades evaluado y tomado las medidas
adecuadas para hacer frente a los riesgos asociados.
Gestin de incidentes de seguridad de informacin
Para garantizar la seguridad de la informacin de eventos y
Informar sobre los eventos de
debilidades asociadas a los sistemas de informacin se comunican de
seguridad de informacin y
una manera que permite acciones correctivas oportunas que deban
debilidades
tomarse.
279791472.xls
Page 34 of 49
Anexo A de referencia
A13.1.1
A13.1.2
A13.2
A13.2.1
A13.2.2
A13.2.3
A14
A14.1
A14.1.1
A14.1.2
A14.1.3
A14.1.4
A14.1.5
A15
A15.1
A15.1.1
A15.1.2
A15.1.3
A15.1.4
Ttulo de control
Informar sobre los eventos de
seguridad de informacin
Funcin
Status
Buscar
Hallazgos
279791472.xls
Page 35 of 49
Anexo A de referencia
A15.1.5
A15.1.6
A15.2
A15.2.1
A15.2.2
A15.3
A15.3.1
A15.3.2
Ttulo de control
Descripcin del control
Prevencin del uso indebido de
Los usuarios se decidan a utilizar las instalaciones de procesamiento de
las instalaciones de
informacin para fines no autorizados.
procesamiento de informacin
Regulacin de los controles
Controles criptogrficos sern utilizados en cumplimiento de todos los
criptogrficos
acuerdos, leyes y reglamentos.
El cumplimiento de las
polticas de seguridad y las Para garantizar el cumplimiento de los sistemas con las polticas y
normas y el cumplimiento
estndares de seguridad de la organizacin
tcnico
Administradores se asegurarn de que todos los procedimientos de
El cumplimiento de las polticas y
seguridad dentro de su rea de responsabilidad se llevan a cabo
correctamente para lograr el cumplimiento con las polticas y estndares de
normas de seguridad
seguridad.
Comprobacin del cumplimiento
Los sistemas de informacin deben ser revisados regularmente por el
tcnico
cumplimiento de las normas de aplicacin de la seguridad.
Consideraciones de auditora Para maximizar la eficacia y minimizar la interferencia a / desde el
del sistema de informacin
proceso de auditora de sistemas de informacin.
Requisitos de auditora y las actividades relacionadas con los controles de
Controles de auditora de
los sistemas operativos debern ser planeadas cuidadosamente y
sistemas de informacin
acordaron reducir al mnimo el riesgo de interrupciones en los procesos de
negocio.
Proteccin de las herramientas
El acceso a las herramientas de auditora de sistemas de informacin debe
de auditora de sistemas de
ser protegido para evitar cualquier posible mal uso o el compromiso.
informacin
Funcin
Status
Buscar
Hallazgos
Leyenda
Cantidad
Codigos Status
Significado
Contribution %
279791472.xls
Page 36 of 49
Anexo A de referencia
0
Ttulo de control
D
MD
RD
PNP
0
0
NA (Not Applicable)
Funcin
279791472.xls
Status
#DIV/0!
Buscar
Hallazgos
#DIV/0!
#DIV/0!
#DIV/0!
#DIV/0!
Page 37 of 49
Recomendaciones
279791472.xls
Page 38 of 49
Recomendaciones
279791472.xls
Page 39 of 49
Recomendaciones
279791472.xls
Page 40 of 49
Recomendaciones
279791472.xls
Page 41 of 49
Recomendaciones
279791472.xls
Page 42 of 49
Recomendaciones
279791472.xls
Page 43 of 49
Recomendaciones
279791472.xls
Page 44 of 49
Recomendaciones
279791472.xls
Page 45 of 49
Recomendaciones
279791472.xls
Page 46 of 49
Recomendaciones
279791472.xls
Page 47 of 49
Nota :
Los nmeros en esta hoja deben ser llenados en marcha manualmente para reflejar en el r
Cantidad de Status
Funciones
Administracion
CISO
Finanzas
Recursos Humanos
IT
S/W
Alta Direccin
Empleados
Gran Total
Status
D
Funciones
Administracin
CISO
Finanzas
Recursos Humanos
IT
S/W
Alta Direccin
Empleados
Gran Total
Conformidad Porcentual %
PNP
RD
6
1
1
19
4
8
4
1
25
NA
3
23
49
PNP
RD
6
1
1
19
4
8
4
1
25
3
MD
8
13
3
4
16
3
1
1
49
Gran Total
1
1
MD
6
1
16
34
3
9
58
8
4
1
133
8
13
3
4
16
3
1
1
1
1
23
49
49
126
18%
39%
39%
4%
100%
NA
Net Total
6
1
133