ISO27002 plan de mejora

1. Dominio Número del dominio Obj. de control Cantidad y número del objetivo de control Controles
Cantidad y número de controles por cada objetivo Orientacion Proporciona información sobre la
obligatoriedad de implementar o no el control Descripcion Breve descripción de cada objetivo de
control agrupandolos por dominio PD Peso del dominio NC.D Nivel de cumplimineto del dominio PO
Peso del objetivo NC.O Nivel de cumplimineto del objetivo PC Peso del control Alto Mas del 70% de
cumplimiento NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento
Escala Escala del cumplimiento del control Bajo Por debajo del 30% Indicaciones para usar la plantilla
correctamente: Orientación PD NC. D PO NC. O PC NC. C Escala 1 2 1,5 60 2 100 60 1 Debe 50 60 60 2
Debe 50 60 60 2 11 8,27 45,46 8 72,73 32,73 1 Debe 9,09 60 60 2 Debe 9,09 60 60 3 Debe 9,09 60 60
DESCRIPCION DE LA PLANTILLA ISO 27002 Escala visual de la valoración del control Ingrese valores
entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de
cumplimiento de cada control "NC.C" de la norma; tenga en cuenta que en esta escala de valoración,
el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que
también se puede asignar valores intermedios cuando se cumple parcialmente cualquiera de los
controles. % de cumplimiento de la norma Descripción 1 Comité de la dirección sobre seguridad de la
información Revisión de la política de seguridad de la información 100 1 Documento de la política de
seguridad de la información Coordinación de la seguridad de la información Asignación de
responsabilidades para la de seguridad de la información Organización Interna Estructura
organizativa para la seguridad 100 Política de Seguridad de la Información Dominios Objetivos de
Control Controles 5 Política de Seguridad 6

2. 4 Debe 9,09 40 40 5 Debe 9,09 40 40 6 Puede 9,09 40 40 7 Puede 9,09 40 40 8 Puede 9,09 20 20 3
27,27 12,73 1 Debe 9,09 20 20 2 Debe 9,09 60 60 3 Debe 9,09 60 60 Dominios Objetivos de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 64 3 60 44 1 Debe 20 80 80 2 Debe
20 70 70 3 Debe 20 70 70 2 40 20 1 Debe 20 50 50 2 Debe 20 50 50 3 9 6,77 63,3 3 33,33 23,33 1
Debe 11,11 70 70 2 Debe 11,11 70 70 3 Debe 11,11 70 70 3 33,33 21,11 1 Debe 11,11 70 70 2 Debe
11,11 70 70 3 Debe 11,11 50 50 3 33,33 18,89 1 Debe 11,11 50 50 2 Debe 11,11 50 50 3 Debe 11,11
70 70 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 13
9,77 60 Descripción Descripción 100 Verificación Términos y condiciones de empleo Seguridad en el
personal 100 Responsabilidades de la gerencia Educación y formación en seguridad de la información
Procesos disciplinarios Responsabilidades en la terminación Devolución de activos Eliminación de
privilegios de acceso Inventario de activos 2 Identificación de riesgos por el acceso de terceras partes
Temas de seguridad a tratar con clientes Terceras partes Responsabilidad sobre los activos
Clasificación de la información Temas de seguridad en acuerdos con terceras partes Propietario de
activos Uso aceptable de los activos 100Clasificación y control de activos 2 Guías de clasificación
Etiquetado y manejo de la información 1 Proceso de autorización para instalaciones de
procesamiento de información Contacto con grupos de interés Revisión independiente de la
seguridad de la información Acuerdos de confidencialidad Contacto con autoridades 6 1 7 1 2 8 Antes
del empleo Durante el empleo Roles y responsabilidades Terminación o cambio del empleo
Seguridad fisica y del entorno 3

3. 6 46,15 30 1 Debe 7,69 60 60 2 Debe 7,69 60 60 3 Debe 7,69 60 60 4 Debe 7,69 70 70 5 Debe 7,69
70 70 6 Puede 7,69 70 70 7 53,85 30 1 Debe 7,69 70 70 2 Debe 7,69 70 70 3 Debe 7,69 60 60 4 Debe
7,69 70 70 5 Debe 7,69 40 40 6 Debe 7,69 40 40 7 Debe 7,69 40 40 Dominios Objetivos de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala 10 32 24,06 52,2 4 12,5 7,5 1 Debe 3,125 70
70 2 Debe 3,125 60 60 3 Debe 3,125 70 70 4 Debe 3,125 40 40 3 9,38 5,63 1 Puede 3,12 60 60 2
Puede 3,12 60 60 3 Puede 3,12 60 60 2 6,25 4,38 1 Debe 3,125 70 70 2 Debe 3,125 70 70 2 6,25 4,69
1 Debe 3,125 80 80 2 Debe 3,125 70 70 1 3,13 2,19 1 Debe 3,13 70 70 Descripción 10 Gestión de
comunicaciones y operaciones 100 1 2 Entrega de servicios Monitoreo y revisión de servicios de
terceros Manejo de cambios a servicios de terceros Controles contra código móvil Procedimientos de
operación documentados Control de cambios Separación de funciones Separación de las
instalaciones de desarrollo y producción 3 Trabajo de áreas seguras Áreas de carga, entrega y áreas
públicas Herramientas de soporte Seguridad del cableado Mantenimiento de equipos Seguridad del
equipamiento fuera de las instalaciones Seguridad de los Equipos Perímetro de seguridad física
Seguridad en la reutilización o eliminación de equipos Movimientos de equipos Áreas Seguras
Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Protección contra amenazas
externas y ambientales 2 9 Planificación y aceptación del sistema 1 Ubicación y protección del equipo
Planificación de la capacidad Aceptación del sistema 4 Controles contra software malicioso 5
Información de copias de seguridad Procedimientos operacionales y responsabilidades
Administración de servicios de terceras partes Protección contra software malicioso y móvil Copias
de seguridad

4. 2 6,25 5 1 Debe 3,125 80 80 2 Debe 3,125 80 80 4 12,5 8,13 1 Debe 3,125 70 70 2 Debe 3,125 70
70 3 Debe 3,125 60 60 4 Debe 3,125 60 60 5 15,63 7,82 1 Debe 3,126 50 50 2 Puede 3,126 50 50 3
Puede 3,126 50 50 4 Puede 3,126 50 50 5 Puede 3,126 50 50 3 9,38 3,75 1 Puede 3,126 40 40 2
Puede 3,126 40 40 3 Puede 3,126 40 40 6 18,75 3,13 1 Debe 3,126 10 10 2 Debe 3,126 50 50 3 Debe
3,126 10 10 4 Debe 3,126 10 10 5 Debe 3,126 10 10 6 Puede 3,126 10 10 Dominios Objetivos de
Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 7 25 18,8 59,2 1 4 2,8 1 Debe 4 70 4
16 11,2 1 Debe 4 70 2 Debe 4 70 3 Debe 4 70 4 Debe 4 70 Descripción Control de accesos Requisitos
de negocio para el control de acceso Administración de acceso de usuarios Administración de
privilegios Administración de contraseñas Revisión de los derechos de acceso de usuario Monitoreo y
supervisión 100 1 Política de control de accesos 2 Registro de usuarios Protección de los logs Registro
de actividades de administrador y operador del sistema Fallas de login 10 Sincronización del reloj
Manejo de medios de soporte Intercambio de información Controles de redes Seguridad de los
servicios de red Información públicamente disponible 7 Administración de los medios de
computación removibles Eliminación de medios Procedimientos para el manejo de la información
Seguridad de la documentación del sistema 6 8 Políticas y procedimientos para el intercambio de
información Acuerdos de intercambio 9 10 Logs de auditoria Monitoreo de uso de sistema Servicios
de comercio electronico Comercio electronico Transacciones en línea Medios físicos en transito
Mensajes electrónicos Sistemas de información del negocio Administración de la seguridad en redes

5. 3 12 6,4 1 Debe 4 60 2 Puede 4 50 3 Puede 4 50 7 28 16,8 1 Debe 4 70 2 Puede 4 50 3 Puede 4 60 4

Debe 4 60 5 Puede 4 60 6 Debe 4 60 7 Debe 4 60 6 24 12,4 1 Debe 4 10 2 Debe 4 60 3 Debe 4 60 4
Puede 4 60 5 Debe 4 60 6 Puede 4 60 2 8 5,6 1 Puede 4 70 2 Puede 4 70 2 8 4 1 Puede 4 60 2 Puede 4
40 Dominios Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 6 16
12,03 59,39 1 6,25 3,75 1 Debe 6,25 60 60 4 25 16,88 1 Debe 6,25 60 60 2 Puede 6,25 70 70 3 Puede
6,25 70 70 4 Puede 6,25 70 70 12 Desarrollo y mantenimiento de sistemas 100 1 Controles de
procesamiento interno Integridad de mensajes Validación de los datos de salida Validación de los
datos de entrada 2 4 Política de uso de los servicios de red Descripción Ordenadores portátiles y
comunicaciones moviles Teletrabajo Análisis y especificaciones de los requerimientos de seguridad
Requerimientos de seguridad de sistemas de información Procesamiento adecuado en aplicaciones 7
11 Responsabilidades de los usuarios Identificación y autenticación de los usuarios Sistema de
administración de contraseñas Inactividad de la sesión Limitación del tiempo de conexión
Identificación de equipos en la red Administración remota y protección de puertos Segmentación de
redes Uso de utilidades de sistema Control de conexión a las redes Control de enrutamiento en la red
5 Ordenadores portátiles y teletrabajo Control de acceso al sistema operativo 3 Uso de contraseñas
Equipos de cómputo de usuario desatendidos Política de escritorios y pantallas limpias Autenticación
de usuarios para conexiones externas Control de acceso a redes Restricción del acceso a la
información Aislamiento de sistemas sensibles Procedimientos seguros de Log-on en el sistema 6
Control de acceso a las aplicaciones y la información

6. 2 12,5 3,75 1 Puede 6,25 30 30 2 Puede 6,25 30 30 3 18,75 11,88 1 Debe 6,25 70 70 2 Puede 6,25
60 60 3 Debe 6,25 60 60 5 31,25 18,75 1 Debe 6,25 60 60 2 Debe 6,25 60 60 3 Puede 6,25 60 60 4
Debe 6,25 60 60 5 Debe 6,25 60 60 1 6,25 4,38 1 Debe 100 70 70 Dominios Objetivos de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala 2 5 3,76 60 2 40 24 1 Debe 20 60 60 2
Puede 20 60 60 3 60 36 1 Debe 20 70 70 2 Puede 20 70 70 3 Debe 20 40 40 1 5 3,76 68 5 100 68 1
Debe 20 60 60 2 Debe 20 70 70 3 Debe 20 70 70 4 Debe 20 70 70 5 Debe 20 70 70 Dominios
Objetivos de Control Controles Orientación PD NC. D PO NC. O PC NC. C Escala 1 Lecciones
aprendidas Recolección de evidencia Desarrollo e implementación de planes de continuidad
incluyendo seguridad de la información Marco para la planeación de la continuidad del negocio
Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio Continuidad del
negocio y análisis del riesgo Aspectos de seguridad de la información en la gestión de continuidad del
negocio 12 3 Protección de los datos de prueba del sistema 6 Seguridad en los procesos de desarrollo
y soporte Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas Inclusión de
seguridad de la información en el proceso de gestión de la continuidad del negocio 13 Gestión de
incidentes de la seguridad de la información 100 1 Reportando eventos de seguridad de la
información Gestión de incidentes y mejoramiento de la seguridad de la información Notificando
eventos de seguridad de la información y debilidades Descripción 14 Gestión de la continuidad del
negocio 100 Reportando debilidades de seguridad 2 Procedimientos y responsabilidades 5
Descripción Restricciones en los cambio a los paquetes de software 4 Desarrollo externo de software
Fugas de información Política de utilización de controles criptográficos Administración de llaves
Control de acceso al código fuente de las aplicaciones Procedimientos de control de cambios
Revisión técnica de los cambios en el sistema operativo Controles criptográficos Seguridad de los
archivos del sistema Control del software operacional

7. 3 10 7,52 63,33 6 60 22 1 Debe 10 30 30 2 Debe 10 30 30 3 Debe 10 50 50 4 Debe 10 30 30 5 Debe

10 70 70 6 Debe 10 10 10 2 20 12 1 Debe 10 60 60 2 Debe 10 60 60 2 20 2 1 Debe 10 10 10 2 Debe 10
10 10 Dominios 11 Objetivos de control 39 Controles 133 2 1 Identificación de la legislación aplicable
Derechos de propiedad intelectual (dpi) 3 Controles de auditoria a los sistemas de información
Consideraciones de la auditoria de sistemas de información Cumplimiento con las políticas y
estándares de seguridad y cumplimiento técnico Cumplimiento con los requisitos legales Regulación
de controles para el uso de criptografía Protección de los registros de la organización Protección de
datos y privacidad de la información personal 100 15 Cumplimiento Prevención del uso inadecuado
de los recursos de procesamiento de información Protección de las herramientas de auditoria de
sistemas Cumplimiento con las políticas y procedimientos Verificación de la cumplimiento técnico
8. DOMINIO VALOR 40 40 40 40 20 40 50 50 50 50 50 40 40 40 40 8 Desarrollar una politica de
terminación de contrato para empleados teniendo encuenta los activos y accesos en el sistema y
organización 9 Desarrollo de una politica para el manejo de equipos dentro de la empresa desde su
compra hasta su eliminacionde los activos mejorar la organización fisica de las instalaciones y
procesos independientes 7 Organizar la información según los procesos de calidad y la organización
de la empresa Contactar organizaciones con experiencia en SI Seguridad en la reutilización o
eliminación de equipos Movimientos de equipos Separación de las instalaciones de desarrollo y
producción Procesos disciplinarios Responsabilidades en la terminación Devolución de activos
Seguridad del equipamiento fuera de las instalaciones Contacto con grupos de interes revisión
independiente de la SI Identificación de riesgos por el acceso de terceras partes Guías de clasificación
Etiquetado y manejo de la información Valor de cumplimiento del dominio 5 60 OBJETIVOS CRITICOS
Acuerdos de confidencialidad Contacto con autoridades MEJORA PROPUESTA Creación y gestión de
formularios de autorización de servicios Buscar acompañamiento de entidades como la policia.
Nombre de la empresa En-Core sector de la empresa Informatica y telecomunicaciones Los aspectos
criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la
información en el dominio 5 de la auditoria. Consideracion de aspectos criticos Proceso de
autorización para instalaciones de procesamiento de información 6 Creación y gestión de formularios
de autorización de servicios Realizar auditorias externas y certificacion en SI

9. 50 50 50 50 50 40 404 40 18,75 50 50 50 10 40 30 30 13 30 14 68 30 30 50 30 10 10 10 12
Desarrollar la politica para el manejo de la información interna y los canales de trabajo para el
manejo de email o medios fisicos como CD, USB u otros dispositivos. Asi como tambien archivos en la
nube Utilizar cifrado y criptografia en información sensible aprovechar la información de los log
como lecciones aprendidas almacenando y protegiendo los casos dados proteger las contraseñas y
acceso remoto definir politicas de registro al sistema Adjustar las politicas del manual de seguridad
para el comercio y transaciones en linea Gestion de continuidad del negocio Identificación de la
legislación aplicable Derechos de propiedad intelectual (dpi) 15 10 11 Orientar los contenidos de los
equipos a la identidadde la empresa Orientar y articular politicas con legislacion internacional y
normas de seguridad y protección de datos de la empresa Establecer los controles de auditoria
interna y externa de la SI Aplicar practicas de continuidad definir el teletrabajo Unificar el
procedimiento de lecciones aprendidas Implementar criptografia en informacion sensible de la
empresa y clientes Protección de datos y privacidad de la información personal Regulación de
controles para el uso de criptografía Controles de auditoria a los sistemas de información Protección
de las herramientas de auditoria de sistemas Protección de los registros de la organización
Teletrabajo Política de utilización de controles criptográficos Administración de llaves Recolección de
evidencia Monitoreo y supervision Equipos de cómputo de usuario desatendidos Política de
escritorios y pantallas limpias Autenticación de usuarios para conexiones externas Procedimientos
seguros de Log-on en el sistema Medios físicos en transito Mensajes electrónicos Sistemas de
información del negocio Comercio electronico Transacciones en línea Información públicamente
disponible Políticas y procedimientos para el intercambio de información Acuerdos de intercambio

Recomendado

Las mejores fórmulas ingeniosas, macros avanzadas, tutoriales esenciales, funciones básicas y trucos
de Excel.
Las mejores fórmulas ingeniosas, macros avanzadas, tutoriales esenciales, funciones básicas y trucos
de Excel.

Desafiando Excel

Contenido patrocinado

PowerPoint 2016 avanzado: Trucos

PowerPoint 2016 avanzado: Trucos

Curso en línea - LinkedIn Learning

Cómo comunicar de forma efectiva en la empresa

Cómo comunicar de forma efectiva en la empresa

Curso en línea - LinkedIn Learning

Fundamentos de las ventas

Fundamentos de las ventas

Curso en línea - LinkedIn Learning

16 planeacion estrategicaseguridad

16 planeacion estrategicaseguridad

princess2105

Normas iso 27000

Normas iso 27000

Alberto Landa

2 fundamentos enlaces_radioelectricos

2 fundamentos enlaces_radioelectricos

Francisco Sandoval

Iso 27000

Iso 27000

julianabh

Normas (estándares) ISO relativas a TICs

Normas (estándares) ISO relativas a TICs

EOI Escuela de Organización Industrial

Manual seguridad informatica

Manual seguridad informatica

Eder Fernando Bolaño Rocha

SGI Mapamental

SGI Mapamental

Eder Fernando Bolaño Rocha

English Español Português Français Deutsch

Acerca de Desarrolladores y API Blog Condiciones Privacidad Copyright Atención al cliente