Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GAP ASSESSMENT
BASADO EN LA NUEVA ISO 27001:2013
www.sigea.es
Fases,
Diferencias
Descripción actividades
con una Contacto
del análisis y equipo de
auditoría
trabajo
DESCRIPCIÓN DEL ANÁLISIS
de mejora
plan
act 27001 do
check
En esta segunda parte del informe, la más extensa, se muestran las áreas de control
de la norma, a nivel agrupado, indicando los grados de implantación de cada una de ellas, para que la entidad
pueda hacerse una idea del estado general de implantación de los controles del Anexo A de la nueva
ISO/IEC 27001:2013
La información acerca del estado de implantación de las áreas de control, también se
muestra de forma gráfica a nivel general, para que la entidad pueda hacerse una idea con tan sólo una
instantánea.
También se incluyen en el informe, para dar una visión más
detallada, el estado de implantación de los
controles de
seguridad
de la norma, indicando uno
por uno su estado y las
evidencias detectadas
A modo de resumen, el
informe también incorpora el
estado de
54% implantación
general
en forma de porcentaje
El informe contiene además una serie de gráficos que permiten, de un solo vistazo, hacerse una idea general del estado
de las medidad de seguridad de la información
Nivel de implantación
por cada uno de los
TIPOS de controles
gráficos que permiten, de un solo vistazo, hacerse una idea
El informe contiene además una serie de
Comparativas entre el
NIVEL de
implantación y el TIPO
de controles
nivel de esfuerzo que sería necesario para que los controles aplicables pasasen a un
También se incluye un análisis del
nivel de implementación medio o alto para cada uno de los tipos detectados.
24 %
50 % 47 %
Este nivel de esfuerzo también es detallado en el informe por cada uno de los objetivos de control
evaluados previamente.
Se trata de uno de los mejores indicadores para decidir por dónde empezar a actuar en el caso de una
implantación.
¿Y CUÁL ES LA DIFERENCIA CON UNA
AUDITORÍA?
Evaluación
inicial (GAP) Act Do Act Do Act Do
Auditoria
Fase I Fase II Fase III Fase IV Fase V interna y
cierre
OPCION A - Gestión del proyecto de forma integral (implantación por consultores certificados)
Auditoria
externa
FASES, ACTIVIDADES Y EQUIPO DE TRABAJO
El objetivo de esta parte es obtener la información necesaria para evaluar nivel de madurez de las
cláusulas que puedan actuar de forma transversal así como el de identificar las necesidades de
implantación de la norma ISO 27001. En concreto:
El objetivo de esta segunda parte del assessment es conocer es estado en el que se encuentra la empresa a
nivel de medidas de seguridad, no sólo técnicas, sino también organizativas, legales y procedimentales. En
concreto, se evaluarán un total de 114 CONTROLES de seguridad, repartidos en 35 OBJETIVOS y basados en
la nueva norma ISO 27001:2013
Los resultados serán presentados de forma individualizada
para cada una de las áreas de control, indicando su grado
Política de seguridad de IMPLANTACIÓN
Aspectos organizativos
Se acompañará cada área con los puntos de atención que
Gestión de activos
sea necesario tener en cuenta para mejorar los grupos que
Seguridad de los RRHH no se encuentren en un grado óptimo.
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de accesos
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad
Continuidad de negocio
Conformidad
GAP Assessment ISO 27001:2013
Desarrollo de las actividades
Las jornadas presenciales se llevan a cabo mediante entrevistas al personal directivo, organizacional, técnico,
administrativos, etc… de la entidad
Mediante una serie de cuestionarios planteados a diversos actores, inspecciones visuales a los diferentes centros
de tratamiento y la revisión de la documentación existente en la compañía, obtendremos una foto fija del estado
de la seguridad de la información.
Las jornadas offsite serán dedicadas al estudio de todas las evidencias recopiladas y la redacción de los
correspondientes informes.
Recursos
Principales actividades 1 Consultor