Está en la página 1de 16

SISTESEG

ISO 27001 GAP ANALYSIS


Fecha: 10/7/2007 CONFIDENCIAL Pgina 1 de 16

Control ISO 5.1

Requerimiento POLTICA DE SEGURIDAD DE LA INFORMACIN Se tiene documento de la poltica de seguridad de la Informacin Se hace revisin y evaluacin de este documento y se promulga su lectura y aplicacin. ORGANIZACIN SEGURIDAD Compromiso de las Directivas con la seguridad de la informacin

Control (SI/NO)

Porcentaje de cumplimiento

5.1.1

5.1.2

6.1

6.1.1

6.1.2

Coordinacin de la Seguridad

6.1.3

Asignacin de responsabilidades Proceso de Autorizacin a reas de procesamiento de informacin Se realizan acuerdos de confidencialidad

6.1.4

6.1.5

6.1.6

Contacto con las autoridades

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 6.1.7 Requerimiento Contacto con grupos de especial inters CONFIDENCIAL Control (SI/NO) Pgina 2 de 16 Porcentaje de cumplimiento

6.1.8

Se realiza Auditora interna

6.2

Terceros

6.2.1

Identificacin de riesgos

6.2.2

Aproximacin a la seguridad al tratar con clientes

6.2.3

Aproximacin a la seguridad en acuerdos con terceros

7.1

GESTION DE ACTIVOS

7.1.1

Inventario de activos tecnolgicos y de la informacin. Responsables de los activos tecnolgicos

7.1.2

7.1.3

Uso aceptable de las activos tecnolgicos

7.2

Clasificacin de la Informacin

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 7.2.1 Requerimiento Normas para clasificacin de la informacin CONFIDENCIAL Control (SI/NO) Pgina 3 de 16 Porcentaje de cumplimiento

7.2.2

Identificacin y Manejo de la informacin SEGURIDAD RECURSO HUMANO Previo a la contratacin

8.1

8.1.1

Roles y responsabilidades

8.1.2

Investigacin del personal que va a ser contratado

8.1.3

Trminos y condiciones laborales

8.2

Durante el empleo

8.2.1

Responsabilidades de las directivas

8.2.2

Conciencia de la seguridad, educacin y entrenamiento

8.2.3

Procesos disciplinarios

8.3

Terminacin del contrato o cambio de empleo

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 8.3.1 Requerimiento Responsabilidades en la terminacin del contrato CONFIDENCIAL Control (SI/NO) Pgina 4 de 16 Porcentaje de cumplimiento

8.3.2

Devolucin de activos tecnolgicos

8.3.3

Eliminacin de permisos sobre los activos

9.1

SEGURIDAD FISICA reas Restringidas

9.1.1

Permetro de Seguridad Fsica

9.1.2

Controles fsicos de entrada

9.1.3

Aseguramiento de oficinas, cuartos e instalaciones

9.1.4

Proteccin contra amenazas externas y ambientales

9.1.5

Trabajo en reas restringidas

9.1.6

Acceso pblico, envos y reas de carga

9.2

Seguridad de los Componentes Tecnolgicos

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 9.2.1 Requerimiento Ubicacin y proteccin de equipos tecnolgicos CONFIDENCIAL Control (SI/NO) Pgina 5 de 16 Porcentaje de cumplimiento

9.2.2

Seguridad en el suministro de electricidad y servicios (utilities)

9.2.3

Seguridad en el cableado

9.2.4

Mantenimiento

9.2.5

Seguridad de equipos fuera de las reas seguras

9.2.6

Destruccin y reutilizacin de equipos

9.2.7

Extraccin de activos informticos

10.1

COMUNICACIONES Y MANEJOS OPERATIVOS Procedimientos Operativos y Responsabilidades Documentacin de procesos operativos

10.1.1

10.1.2

Control de Cambios

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 10.1.3 Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 6 de 16 Porcentaje de cumplimiento

Segregacin de funciones

10.1.4

Separacin de los ambientes de Desarrollo, prueba y produccin Administracin de Servicios de terceros

10.2

10.2.1

Entrega de servicios

10.2.2

Monitoreo y revisin de servicios de terceros

10.2.3

Administracin de cambios a servicios de terceros

10.3

Planeamiento y aceptacin de sistemas

10.3.1

Administracin de la capacidad

10.3.2

Aceptacin de sistemas

10.4

Proteccin contra cdigo malicioso y mvil

10.4.1

Controles contra cdigo malicioso

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 10.4.2 Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 7 de 16 Porcentaje de cumplimiento

Controles contra cdigo mvil

10.5

Copias de seguridad

10.5.1

Respaldo de la informacin.

10.6

Administracin de la seguridad de la red

10.6.1

Controles de la Red

10.6.2

Seguridad de los Servicios de Red

10.7

Manipulacin de medios

10.7.1

Administracin de medios removibles

10.7.2

Destruccin de medios

10.7.3

Procedimientos de manejo de la informacin

10.7.4

Seguridad de la documentacin de los sistemas

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 10.8 Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 8 de 16 Porcentaje de cumplimiento

Intercambio de informacin

10.8.1

Polticas y procedimientos del intercambio de informacin

10.8.2

Acuerdos para el intercambio de informacin.

10.8.3

Medios fsicos en movimiento

10.8.4

Mensajera Electrnica

10.8.5

Sistemas de informacin de negocios

10.9

Servicios de Comercio Electrnico

10.9.1

Comercio Electrnico

10.9.2

Transacciones en Lnea

10.9.3

Informacin pblica

10.10

Monitoreo

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 10.10.1 Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 9 de 16 Porcentaje de cumplimiento

Auditora de registros

10.10.2

Uso de sistemas de monitoreo

10.10.3

Proteccin de registros de monitoreo

10.10.4

Registros de monitoreo de administradores y operadores

10.10.5

Registro de fallas

10.10.6

Sincrona CONTROL DE ACCESO A LA INFORMACIN; de acuerdo a las necesidades del negocio. Poltica de Control de Acceso Administracin de acceso de los usuarios Registro de Usuarios

11.1

11.1.1 11.2 11.2.1

11.2.2

Administracin de privilegios

11.2.3

Administracin de Contraseas (passwords)

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 11.2.4 11.3 Requerimiento Revisin de los permisos asignados a los usuarios Responsabilidades de los usuarios Uso de las contraseas CONFIDENCIAL Control (SI/NO) Pgina 10 de 16 Porcentaje de cumplimiento

11.3.1

11.3.2

Equipos desatendidos

11.3.3

Poltica de escritorios y pantallas limpias Control de acceso a la red de datos Polticas para el uso de los servicios de la red de datos Autenticacin de usuarios para conexiones externas Identificacin de equipos en la red Diagnstico remoto y proteccin de la configuracin de puertos

11.4 11.4.1

11.4.2

11.4.3

11.4.4

11.4.5

Segregacin en la red

11.4.6

Control de conexin a la red

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 11 de 16 Porcentaje de cumplimiento

11.4.7

Control de enrutamiento de la red Control de acceso a los sistemas operativos Procedimientos para inicio de sesin de las estaciones de trabajo

11.5

11.5.1

11.5.2

Identificacin y autenticacin de los usuarios.

11.5.3

Sistema de administracin de contraseas.

11.5.4

Uso de las utilidades del sistema

11.5.5

Time-out para las estaciones de trabajo. Limitacin en los periodos de tiempo de conexin a servicios y aplicaciones Control de acceso a las aplicaciones

11.5.6

11.6

11.6.1

Restriccin de acceso a los sistemas de informacin

11.6.2

Aislamiento de sistemas sensibles

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 11.7 11.7.1 11.7.2 Requerimiento Computacin Mvil y Teletrabajo Computacin Mvil y comunicacioines Teletrabajo DESARROLLO DE SOFTWARE Requerimientos de seguridad para los sistemas de informacin CONFIDENCIAL Control (SI/NO) Pgina 12 de 16 Porcentaje de cumplimiento

12.1

12.1.1

Anlisis y especificaciones de los requerimientos de seguridad

12.2

Procesamiento correcto en aplicaciones

12.2.1

Validacin de los datos de entrada

12.2.2

Control del procesamiento interno

12.2.3

Integridad de los mensajes

12.2.4

Validacin de los datos de salida Controles Criptogrficos Poltica para el uso de controles criptogrficos

12.3 12.3.1

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 12.3.2 12.4 Requerimiento Administracin de llaves Seguridad en los archivos del sistema (System Files) Control del software operacional(operativo) Proteccin de los datos en sistemas de prueba Control de acceso a las libreras de cdigo fuente Seguridad en el desarrollo y en los procesos de soporte tcnico Procedimientos para el control de cambios Revisin tcnica de aplicaciones despus de cambios al sistema operativo Restricciones a cambios en paquetes de software CONFIDENCIAL Control (SI/NO) Pgina 13 de 16 Porcentaje de cumplimiento

12.4.1

12.4.2

12.4.3

12.5 12.5.1

12.5.2

12.5.3

12.5.4

Fuga de informacin

12.5.5 12.6 12.6.1 13.1

Desarrollo de software por parte de Outsourcing Administracin Tcnica de Vulnerabilidades Control tcnico de vulnerabilidades REPORTE DE EVENTOS DE SEGURIDAD INFORMTICA Y DE SUS DEBILIDADES

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 14 de 16 Porcentaje de cumplimiento

13.1.1

Reporte de eventos de Seguridad de la informacin.

13.1.2

Reporte de debilidades de seguridad Administracin de incidentes de seguridad informtica y de su mejoramiento Responsabilidades y procedimientos

13.2

13.2.1

13.2.2

Aprendizaje a partir de los incidentes de seguridad

13.2.3

Recoleccin de evidencia ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO Inclusin de seguridad de la informacin en el proceso de administracin de la continuidad del negocio Continuidad del negocio y anlisis de impacto (BIA) Desarrollo e implementacin de planes de continuidad Marco de planeacin para la continuidad del negocio

14.1

14.1.1

14.1.2

14.1.3

14.1.4

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO Requerimiento Pruebas, mantenimiento y revisin de los planes de continuidad del negocio CUMPLIMIENTO CON REQUERIMIENTOS LEGALES Identificacin de leyes aplicables CONFIDENCIAL Control (SI/NO) Pgina 15 de 16 Porcentaje de cumplimiento

14.1.5

15.1

15.1.1

15.1.2

Derechos de autor y propiedad intelectual Salvaguardar los registros de la organizacin Proteccin de los datos y privacidad de la informacin personal

15.1.3

15.1.4

15.1.5

Prevencin mal uso de los componentes tecnolgicos Regulacin de controles criptogrficos Revisin de la poltica de seguridad y cumplimiento tcnico Cumplimiento de los diferentes requerimientos y controles establecidos por la poltica de seguridad

15.1.6 15.2

15.2.1

15.2.2

Chequeo del cumplimiento tcnico

SISTESEG
ISO 27001 GAP ANALYSIS
Fecha: 10/7/2007 Control ISO 15.3 Requerimiento Consideraciones relacionadas con la auditora interna Controles para auditora del sistema CONFIDENCIAL Control (SI/NO) Pgina 16 de 16 Porcentaje de cumplimiento

15.3.1

15.3.2

Proteccin de las herramientas para auditora del sistema

FIN