Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NUMERAL R_ID
4 CONTEXTO DE LA ORGANIZACIÓN 4.1
5 CONTEXTO DE LA ORGANIZACIÓN 4.2
6 CONTEXTO DE LA ORGANIZACIÓN 4.3
7 CONTEXTO DE LA ORGANIZACIÓN 4.4
5 LIDERAZGO 5.1
5 LIDERAZGO 5.2
5 LIDERAZGO 5.3
6 PLANIFICACIÓN 6.1
6 PLANIFICACIÓN 6.1
6 PLANIFICACIÓN 6.1
6 PLANIFICACIÓN 6.2
7 SOPORTE 7.1
7 SOPORTE 7.2
7 SOPORTE 7.3
7 SOPORTE 7.4
7 SOPORTE 7.5
7 SOPORTE 7.5
7 SOPORTE 7.5
8 OPERACIÓN 8.1
8 OPERACIÓN 8.2
8 OPERACIÓN 8.3
9 EVALUACIÓN DEL DESEMPEÑO 9.1
9 EVALUACIÓN DEL DESEMPEÑO 9.2
9 EVALUACIÓN DEL DESEMPEÑO 9.3
10 MEJORA 10.1
10 MEJORA 10.2
Estado del
REQUISITO
Requisito
CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO Sin definir
COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS Sin definir
DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Sin definir
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Sin definir
LIDERAZGO Y COMPROMISO Sin definir
POLÍTICA Sin definir
ROLES, RESPONSABILIDADES. Y AUTORIDADES EN LA ORGANIZACIÓN Sin definir
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES - 6.1.1 Generalidades Sin definir
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES - 6.1.2 Valoración de riesgos de la seguridad de la
Sin definir
información
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES - 6.1.3 Tratamiento de los riesgos de seguridad de la
Sin definir
información
OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA LOGRARLO Sin definir
RECURSOS Sin definir
COMPETENCIA Sin definir
TOMA DE CONCIENCIA Sin definir
COMUNICACIÓN Sin definir
INFORMACIÓN DOCUMENTADA - 7.5.1 Generalidades Sin definir
INFORMACIÓN DOCUMENTADA- 7.5.2 Creación y actualización Sin definir
INFORMACIÓN DOCUMENTADA - 7.5.3 Control de la información documentada Sin definir
PLANIFICACIÓN Y CONTROL OPERACIONAL Sin definir
VALORACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Sin definir
TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Sin definir
SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN Sin definir
AUDITORIA INTERNA Sin definir
REVISIÓN POR LA DIRECCIÓN Sin definir
NO CONFORMIDADES Y ACCIONES CORRECTIVAS Sin definir
MEJORA CONTINUA Sin definir
FECHA
% DE CUMPLIMIENTO ESTADO
DEL REQUISITO SEGUIMIENTO
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
D_ID DOMINIO OC_ID
Equipos A.11.2.1
Equipos A.11.2.1
Equipos A.11.2.1
Equipos A.11.2.2
Equipos A.11.2.2
Equipos A.11.2.3
Equipos A.11.2.3
Equipos A.11.2.3
Equipos A.11.2.4
Equipos A.11.2.4
Equipos A.11.2.5
Equipos A.11.2.5
Equipos A.11.2.6
Equipos A.11.2.7
Equipos A.11.2.7
Equipos A.11.2.8
Equipos A.11.2.8
Equipos A.11.2.9
Equipos A.11.2.9
Redundancias A.17.2.1
Redundancias A.17.2.1
Separación de deberes
Separación de deberes
Separación de deberes
Teletrabajo
Teletrabajo
Selección
Selección
Selección
Selección
Responsabilidades de la dirección
Responsabilidades de la dirección
Proceso disciplinario
Proceso disciplinario
Inventario de activos
Inventario de activos
Devolución de activos
Devolución de activos
Clasificación de la información
Clasificación de la información
Etiquetado de la información
Manejo de activos
Manejo de activos
Gestión de llaves
Servicios de suministro
Servicios de suministro
Mantenimiento de equipos
Mantenimiento de equipos
Retiro de activos
Retiro de activos
Seguridad de equipos y activos fuera de las instalaciones
Gestión de cambios
Gestión de cambios
Gestión de capacidad
Respaldo de la información
Respaldo de la información
Registro de eventos
Sincronización de relojes
Sincronización de relojes
Controles de redes
Controles de redes
Controles de redes
Controles de redes
Controles de redes
Mensajería electrónica
Responsabilidades y procedimientos
Responsabilidades y procedimientos
Responsabilidades y procedimientos
Recolección de evidencia
Recolección de evidencia
Protección de registros
Protección de registros
Seguimiento a los logs de eventos para corroborar que todos los ingresos
cumplen con las Políticas del SGSI
Verificar que los logs de eventos del uso de los Programas utilitarios sean
revisados por la auditoría
Borrar todas las copias de código fuente que se encuentren por fuera de
los medios de almacenamiento permitidos por el SGSI
Deben implementarse controles que eviten la copia de cdigo fuente de
aplicativos
Definir los perímetros físicos en los cuales cada funcionario con base en
su rol esta autorizado a permanecer
Establecer que solo los roles con función de auditoría tienen acceso a los
logs de eventos
Reportar los equipos que no estén sincronizados con el NTP del XXXXXX
Reportar el software que no cumpla con las Políticas del SGSI del XXXXXX
Revisar que los acuerdos de información sean aplicados tanto con partes
externas como internas
Exigir la protección establecida en el SGSI para los datos utilizados en la
mensajería electrónica con base en el nivel de su clasificación
Verificar con el área legal las modificaciones requeridas para las firmas de
las renovaciones y los nuevos contratos
Definir controles temporales para mitigar los riesgos asociados con las
carencias identificadas en los Contratos con los proveedores
0 ANUAL
0 ANUAL
0 ANUAL
0 ANUAL
0 ANUAL
0 ANUAL
0 ANUAL
0 ANUAL
0 ANUAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 ANUAL
0 ANUAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0 SEMESTRAL
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
ESTADO
Recomendaciones a Implementar
SEGUIMIENTO
Nivel de madurez del
Control
control
A.5.1.1 Políticas para la seguridad de la información 0.00
A.5.1.2 Revisión de las políticas para la seguridad de la información 0
A.6.1.1 Roles y responsabilidades para la seguridad de la información 0
A.6.1.2 Separación de deberes 0
A.6.1.3 Contacto con las autoridades 0
A.6.1.4 Contacto con grupos de interés especial 0
A.6.1.5 Seguridad de la información en la gestión de proyectos 0
A.6.2.1 Políticas para dispositivos móviles 0
A.6.2.2 Teletrabajo 0
A.7.1.1 Selección 0
A.7.1.2 Términos y condiciones del empleo 0
A.7.2.1 Responsabilidades de la dirección 0
A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la 0
información
A.7.2.3 Proceso disciplinario 0
A.7.3.1 Terminación o cambio de responsabilidades de empleo 0
A.8.1.1 Inventario de activos 0
A.8.1.2 Propiedad de los activos 0
A.8.1.3 Uso aceptable de los activos 0
A.8.1.4 Devolución de activos 0
A.8.2.1 Clasificación de la información 0
A.8.2.2 Etiquetado de la información 0
A.8.2.3 Manejo de activos 0
A.8.3.1 Gestión de medios removibles 0
A.8.3.2 Disposición de los medios 0
A.8.3.3 Transferencia de medios físicos 0
A.9.1.1 Política de control de acceso 0
A.9.1.2 Acceso a redes y a servicios en red 0
A.9.2.1 Registro y cancelación de registro de usuarios 0
A.9.2.2 Suministro de acceso de usuarios 0
A.9.2.3 Gestión de derechos de acceso privilegiado 0
A.9.2.4 Gestión de información de autenticación secreta de usuarios 0
A.9.2.5 Revisión de los derechos de acceso de usuarios 0
A.9.2.6 Retiro o ajuste de los derechos de acceso 0
A.9.3.1 Uso de información de autenticación secreta 0
A.9.4.1 Restricción de acceso a la información 0
A.9.4.2 Procedimiento de ingreso seguro 0
A.9.4.3 Sistema de gestión de contraseñas 0
A.9.4.4 Uso de programas utilitarios privilegiados 0
A.9.4.5 Control de acceso a códigos fuente de programas 0
A.10.1.1 Política sobre el uso de controles criptográficos 0
A.10.1.2 Gestión de llaves 0
A.11.1.1 Perímetro de seguridad física 0
A.11.1.2 Controles de acceso físicos 0
A.11.1.3 Seguridad de oficinas, recintos e instalaciones 0
A.11.1.4 Protección contra amenazas externas y ambientales 0
A.11.1.5 Trabajo en áreas seguras 0
A.11.1.6 Áreas de despacho y carga 0
A.11.2.1 Ubicación y protección de los equipos 0
A.11.2.2 Servicios de suministro 0
A.11.2.3 Seguridad del cableado 0
A.11.2.4 Mantenimiento de equipos 0
A.11.2.5 Retiro de activos 0
A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones 0
A.11.2.7 Disposición segura o reutilización de equipos 0
A.11.2.8 Equipos de usuario desatendido 0
A.11.2.9 Políticas de escritorio limpio y pantalla limpia 0
A.12.1.1 Procedimientos de operación documentados 0
A.12.1.2 Gestión de cambios 0
A.12.1.3 Gestión de capacidad 0
0
A.12.1.4 Separación de los ambientes de desarrollo, pruebas y operación
A.12.2.1 Controles contra códigos maliciosos 0
A.12.3.1 Respaldo de la información 0
A.12.4.1 Registro de eventos 0
A.12.4.2 Protección de la información de registro 0
A.12.4.3 Registros del administrador y del operador 0
A.12.4.4 Sincronización de relojes 0
A.12.5.1 Instalación de software en los sistemas operativos 0
A.12.6.1 Gestión de las vulnerabilidades técnicas 0
A.12.6.2 Restricciones sobre la instalación de software 0
A.12.7.1 Controles de auditorías de sistemas de información 0
A.13.1.1 Controles de redes 0
A.13.1.2 Seguridad de los servicios de red 0
A.13.1.3 Separación en las redes 0
A.13.2.1 Políticas y procedimientos de transferencia de información 0
A.13.2.2 Acuerdos sobre transferencia de información 0
A.13.2.3 Mensajería electrónica 0
A.13.2.4 Acuerdos de confidencialidad o de no divulgación 0
0
A.14.1.1 Análisis y especificación de requisitos de seguridad de la información
A.14.1.2 Seguridad de servicios de las aplicaciones en redes públicas 0
0
A.14.1.3 Protección de las transacciones de los servicios de las aplicaciones
A.14.2.1 Política de desarrollo seguro 0
A.14.2.2 Procedimientos de control de cambios en sistemas 0
A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la 0
plataforma de operación
A.14.2.4 Restricciones en los cambios a los paquetes de software 0
A.14.2.5 Principios de construcción de los sistemas seguros 0
A.14.2.6 Ambiente de desarrollo seguro 0
A.14.2.7 Desarrollo contratado externamente 0
A.14.2.8 Pruebas de seguridad de sistemas 0
A.14.2.9 Pruebas de aceptación de sistemas 0
A.14.3.1 Protección de datos de prueba 0
A.15.1.1 Política de seguridad de la información para las relaciones con 0
proveedores
0
A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores
0
A.15.1.3 Cadena de sumistro de tecnología de información y comunicación
A.15.2.1 Seguimiento y revisión de los servicios de los proveedores 0
A.15.2.2 Gestión de cambios en los servicios de los proveedores 0
A.16.1.1 Responsabilidades y procedimientos 0
A.16.1.2 Reporte de eventos de seguridad de la información 0
A.16.1.3 Reporte de debilidades de seguridad de la información 0
A.16.1.4 Evaluación de eventos de seguridad de la información y decisiones 0
sobre ellos
A.16.1.5 Respuesta a incidentes de seguridad de la información 0
A.16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la 0
información
A.16.1.7 Recolección de evidencia 0
0
A.17.1.1 Planificación de la continuidad de la seguridad de la información
0
A.17.1.2 Implementación de la continuidad de la seguridad de la información
A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad 0
de la información
0
A.17.2.1 Disponibilidad de instalaciones de procesamiento de información
0
A.18.1.1 Identificación de la legislación aplicable a los requisitos contractuales
A.18.1.2 Derechos de propiedad intelectual 0
A.18.1.3 Protección de registros 0
A.18.1.4 Privacidad y protección de información de datos personales 0
A.18.1.5 Reglamentación de controles criptográficos 0
A.18.2.1 Revisión independiente de la seguridad de la información 0
A.18.2.2 Cumplimiento con las políticas y normas de seguridad 0
A.18.2.3 Revisión del cumplimiento técnico 0
1.00
0.90
0.80
0.70
0.60
0.50
0.40
0.30
0.20
0.10
0.00
1.00
0.90
0.80
0.70
0.60
0.50
0.40
0.30
0.20
0.10
0.00
%
Cumplimiento
0.00
0.00
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Nivel de madurez del %
Objetivos de control
objetivo Cumplimiento
A.5.1 Orientación de la dirección para la gestión de la
seguridad de la información 0 0
A.6.1 Organización Interna 0 0
A.6.2 Dispositivos móviles y teletrabajo 0 0
A.7.1 Antes de asumir el empleo 0 0
A.7.2 Durante la ejecución del empleo 0 0
A.7.3 Terminación y cambio de empleo 0 0
A.8.1 Responsabilidad por los activos 0 0
A.8.2 Clasificación de la información 0 0
A.8.3 Manejo de medios 0 0
A.9.1 Requisitos del negocio para control de acceso 0 0
A.9.2 Gestión de acceso de usuarios 0 0
A.9.3 Responsabilidades de los usuarios 0 0
A.9.4 Control de acceso a sistemas y aplicaciones 0 0
A.10.1 Controles criptográficos 0 0
A.11.1 Áreas seguras 0 0
A.11.2 Equipos 0 0
Chart T
1
1
1
1
1
1
0
0
0
0
0
Chart Title
Nivel de madurez %
Dominios
del dominio Cumplimiento
A.5 POLÍTICAS DE LA SEGURIDAD DE
LA INFORMACIÓN 0 0
A.6 ORGANIZACIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN 0 0
A.7 SEGURIDAD DE LOS RECURSOS
HUMANOS 0 0
A.8 GESTIÓN DE ACTIVOS 0 0
A.9 CONTROL DE ACCESO 0 0
A.10 CRIPTOGRAFÍA 0 0
A.11 SEGURIDAD FÍSICA Y DEL
ENTORNO 0 0
A.12 SEGURIDAD DE LAS
OPERACIONES 0 0
A.13 SEGURIDAD DE LAS
COMUNICACIONES 0 0
A.14 ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS 0 0
A.15 RELACIONES CON LOS
PROVEEDORES 0 0
A.16 GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN 0 0
Chart Title
1
1
1
1
1
1
0
0
0
0
0
Chart Title
% de Cumplimiento Definición
0%
El control no ha sido implementado. La Organización no ha reconocido que hay un
0 problema a tratar. No se aplican controles.
Inexistente
20%
La organización reconoce que existe un problema que debe ser tratado. No
existen procesos estandarizados sino procedimientos particulares aplicados a
1 casos individuales (ad hoc), es decir que la implementación de un control
depende de cada individuo y es principalmente reactiva.
Control particular de
algunos colaboradores
40% Se desarrollan procesos dependientes de las personas y otras le siguen. No hay
una comunicación ni entrenamiento formal y la responsabilidad recae sobre los
2 individuos. Excesiva confianza en el conocimiento de los individuos, por tanto, los
Control aplicado, pero errores son comunes. No hay formación ni comunicación formal sobre los
no documentado procedimientos y estándares. Hay un alto grado de confianza en los
conocimientos de cada persona, por eso hay probabilidad de errores.
60%
3 Los procesos se definen, documentan y se comunican a través de entrenamiento
formal. Es obligatorio el cumplimiento de los procesos y por tanto la posibilidad
Control formalizado, de detectar desviaciones es alta. Los procedimientos por si mismos no son
falta medición y sofisticados pero se formalizan las prácticas existentes.
monitoreo
80% Existen mediciones y monitoreo sobre el cumplimiento de los procedimientos y es
4 posible tomar medidas de acción donde los procesos no estén funcionando
eficientemente. Los procedimientos están bajo constante mejoramiento y
Control bajo mejora aportan a la calidad y productividad. Normalmente requiere de herramientas
continua automatizadas para la medición.
100% Los procesos se depuran a nivel de buenas prácticas con base en los resultados
5 del mejoramiento continuo y los modelos de madurez de otras empresas.
Normalmente se cuenta con herramientas automatizadas de work flow que
Cumple con las ayudan a la identificación de los elementos más débiles del proceso. Se recoge
directrices normativas evidencia numérica que se usa para justificar la aplicación de tecnología en áreas
críticas. Se realiza un riguroso análisis de causas y prevención de defectos
Estado de la actividad Estado del documento
Inexistente Inexistente
Particular de algunos colaboradores En elaboración
Aplicada, pero no documentada Sin Aprobar
Formalizada, falta medición y monitoreo Aprobado sin publicar
En seguimiento