DIAGNOSTICO DEL SISTEMA D

GESTIÓN DE SEGURIDAD DE
INFORMACIÓN ISO 27001

NOMBRE DE LA EMPRESA

LISTA DE CHEQUEO

Pedro Pablo Poveda y Germ

 DEL SISTEMA DE
SEGURIDAD DE
IÓN ISO 27001

Producción
Pedro Pablo Poveda y Germán Cañon Zabala
2014
 LISTA DE CHEQUEO

1. Lista de chequeo del sistema de gestión de

seguridad de la información

2. Tabla de calificación

3. Perfil del sistema de gestión ambiental

4. Perfil específico

5. Perfil de capacidad de mejora

Inicio
Opciones

LISTA DE CHEQUEO DEL SIS

CAP COMPONENTE
 EVALUACIÓN DEL
9
DESEMPEÑO
10 MEJORA
TA DE CHEQUEO DEL SISTEMA DE GESTIÓN DE

ENFOQUE No

9.1
 9.2

Monitorear, medir,
auditar, evaluar los
procesos, investigar
accidentes e incidentes
y revisar la adecuación
y desempeño general
del SGSI y los procesos
asociados.

9.3
9.3
Administrar la gestión
de no conformidades y
las acciones correctivas, 10.1
preventivas y de mejora
de los procesos y del
SGSI para garantizar su
conveniencia,
adecuación y eficacia de
manera sistemática,
10.2
TEMA DE GESTIÓN DE SEGURIDAD DE LA INFOR

REQUISITO

9.1 Seguimiento,
medición, análisis y
evaluación
Auditoría interna

Revisión por la
dirección
Revisión por la
dirección
10.1 No conformidad y
acción correctiva
10.2 Mejora continua
DE SEGURIDAD DE LA INFORMACIÓN ISO 2700

BUENAS PRÁCTICAS

La organización evalua el desempeño de la SI, y la efectividad

La organización determina:
a) A qué es necesario realizar seguimiento y qué se necesita m
procesos y controles de seguridad de la información;
b) Los métodos de seguimiento, medición, análisis y evalu
generar resultados comparables y reproducibles.
c) Las frecuencias y responsabilidades para realizar el seguim
analizar y evaluar los resultados.

La organización conserva información documentada acerca de

seguimiento, medición, análisis y evaluación de resultados.

La organización lleva a cabo auditorías internas a intervalos p

de proporcionar información de que el SGSI:
a) es conforme con los requisitos propios de la organización p
requisitos de esta Norma.
b) se implementa y mantiene de manera efectiva.
La organización:
a) Planifica, establece, implementa y mantiene uno o varios pr
incluyendo la frecuencia, métodos, responsabilidades, requisit
elaboración de informes. La planificación tiene en cuenta la im
y los resultados de las auditorías previas;
b) Define para cada auditoría los criterios y el alcance respect
c) Selecciona los auditores y dirige auditorías para asegurar l
imparcialidad del proceso de auditoría;
d) Asegura que los resultados de la auditoría se informen a la
conserva información documentada como evidencia de los pro
resultados de la auditoría

La Alta Dirección revisa el sistema de gestión de segurid

intervalos planificados para asegurar su continua conveniencia
La revisión por parte de la Dirección considera el análisis de:
a) El estado de las acciones con relación a las revisiones prev
b) Los cambios externos e internos que sean pertinentes al SG
c) La retroalimentación sobre el desempeño de la gestión
información, incluyendo la tendencia en:
i. Las no conformidades y las acciones correctivas;
ii. Resultados del seguimiento y medición;
iii. Resultados de la auditoría; y
iv. Cumplimiento de los objetivos de seguridad de la informa
d) La Retroalimentación por parte de las partes interesadas;
e) Los Resultados de la valoración de riesgos y el estado de e
(los) Plan(es) de Tratamiento; y f) Oportunidades de mejora c

Los elementos de salida de la revisión por parte de la dire

decisiones con respecto a las oportunidades de mejora contin
de cambios en el SGSI.

La organización debe conservar la información documentada c

resultados de las revisiones por parte de la dirección.
 Cuando ocurre una no conformidad, la organización:
a) Reacciona ante la no conformidad, y según corresp
i. Toma acción para controlarla y corregirla; y
ii. Hace frente a las consecuencias;
b) Evalua la necesidad de emprender acciones para e
no conformidad, con la finalidad de evitar la recurrenc
cualquier otro lugar, mediante:
i. La revisión de la no conformidad;
ii. La determinación de las causas de la no conform
iii. La verificación de si existe una no conformidad s
darse;
c) Determina e Implementa las acciones necesarias a
descrita en el anterior ítem;
d) Revisa la efectividad de las acciones correctivas to
e) Realiza, según sea necesario cambios al SGSI.

Las acciones correctivas son acordes a los efectos de l

encontradas.
La organización conserva inform. documentada como e
a) La naturaleza de las no conformidades y cualquier a
posteriormente, y
b) Los resultados de las acciones correctivas.

La organización mejora de manera continua la idoneida

efectividad del SGSI
Opcion
es

LISTA DE CHEQUEO DEL SISTEMA DE GESTIÓN DE SEG

CAP COMPONENTE

4 CONTEXTO

5 LIDERAZGO

6 PLANIFICACIÓN
6 PLANIFICACIÓN

7 SOPORTE

8 OPERACIÓN

EVALUACIÓN DEL
9
DESEMPEÑO
 EVALUACIÓN DEL
9
DESEMPEÑO

10 MEJORA
UEO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

ENFOQUE Numeral

4.1
Comprender la Organización, su rol
y su contexto, los requerimientos y 4.2
necesidades de las partes, y
emprender el desafío de establecer,
implementar, mantener y mejorar el 4.3
SGSI.
4.4

5.1
Asumir el compromiso y liderazgo
con el SGSI, formular y desplegar la
política, los objetivos y las metas de 5.2
calidad, y trabajo en equipo por el
logro de las metas y desafíos.
5.3

Establecer los objetivos, las metas y 6.1

la estrategia y recursos para la
seguridad de la informaciónl, a partir
del análisis del desempeño y el
estudio del contexto, los riesgos, las
oportunidades y la interacción con
las partes.
Establecer los objetivos, las metas y
la estrategia y recursos para la
seguridad de la informaciónl, a partir
del análisis del desempeño y el
estudio del contexto, los riesgos, las
oportunidades y la interacción con
las partes. 6.2

7.1

Asegurar la integración armónica de

los procesos de soporte del SGSI, 7.2
teniendo en cuenta la coordinación,
los recursos, competencias,
comunicaciones y toma de 7.3
conciencia del talento humano, al
igual que los flujos de información 7.4
documentada y conocimiento.

7.5

8.1
Planificar y ejecutar los procesos del
SGSI, bajo condiciones controladas
que incluyen el control de cambios y 8.2
la gestión con proveedores y
contratistas y la planificación y
administración de Planes de Gestión
de Riesgos sobre los activos de SI 8.3

Monitorear, medir, auditar, evaluar 9.1

los procesos, investigar
accidentes e incidentes y revisar
9.2
la adecuación y desempeño
general del SGSI y los procesos
asociados.
los procesos, investigar
accidentes e incidentes y revisar
la adecuación y desempeño
general del SGSI y los procesos
asociados. 9.3

Administrar la gestión de no
conformidades y las acciones 10.1
correctivas, preventivas y de
mejora de los procesos y del SGSI
para garantizar su conveniencia,
adecuación y eficacia de manera
10.2
sistemática,
RIDAD DE LA INFORMACIÓN ISO 27001:2015

REQUISITO

4.1 Conocimiento de la organización y de su

contexto
4.2 Conocimiento de las necesidades y
expectativas de las partes interesadas.

4.3 Determinación del alcance del SGSI

4.4 Sistema de Gestión de Seguridad de la

Información.

5.1 Liderazgo y compromiso.

5.2 Política

5.3 Roles organizacionales, responsabilidades y

autoridad en la organización

6.1 Acciones para enfrentar los riesgos y las

oportunidades
6.2 Objetivos de la Seguridad de Información y
Planes para lograrlos

7.1 Recursos

7.2 Competencias

7.3 Toma de Conciencia

7.4 Comunicación

7.5 Información documentada

8.1 Planificación y control operacional

8.2 Valoración de riesgos de seguridad de la

información

8.3 Tratamiento de los riesgos de seguridad de la

Información

9.1 Seguimiento, medición, análisis y evaluación

9.2 Auditoría interna

9.3 Revisión por la dirección

10.1 No conformidad y acción correctiva

10.2 Mejora continua

 OPCIONES

NOMBRE DE LA EMPRESA

ID No. CAPITULO PROM No. DESCRIPTOR

1 4.1 CONTEXTO
2 4.2 PARTES
4 4. CONTEXTO 86%
3 4.3 ALCANCE
4 4.4 SISTEMA
5 5.1 LIDERAZGO
6 5 5. LIDERAZGO 53% 5.2 POLÍTICA
7 5.3 ROLES - RESPONSABILIDADES
8 6.1 RIESGOS - OPORTUNIDADES
6 6. PLANIFICACIÓN 68%
9 6.2 PLANIF ESTRATÉGICA
10 7.1 RECURSOS
11 7.2 COMPETENCIA
12 7 7. SOPORTE 60% 7.3 CONCIENCIA
13 7.4 COMUNICACIÓN
14 7.5 INFO DOCUMENTADA
15 8.1 PLANIF OPERACIONAL
16 8 8. OPERACIÓN 81% 8.2 VALORACIÓN RIESGOS
17 8.3 TRATAMIENTO RIESGOS
18 9.1 SMAE
19 9 9. EVALUACIÓN 27% 9.3 AUDITORIA
20 9.4 REVISIÓN
21 10.1 MEJORA
10 10. MEJORA 45%
22 10.2 MEJORA CONTINUA
 TABLA DE CALIFICACIÓN
SISTEMA DE GESTIÓN DE CALIDAD ISO 27001:2015
NOMBRE DE LA EMPRESA
NIVEL DE
REQUISITOS ISO 9001:2015 CUMPLIMIENTO
4.1 Comprensión de la organización y de su contexto 93%
4.2 Comprensión de las necesidades y expectativas de las partes interesadas 82%
4.3 Determinación del alcance del SGSI 78%
4.4 Sistema de Gestión de la Seguridad de la Información 89%
5.1 Liderazgo y compromiso 88%
5.2 Política 60%
5.3 Roles, responsabilidades y autoridades en la organización 11%
6.1 Acciones para enfrentar riesgos y oportunidades 68%
6.2 Objetivos de la seguridad de la información y planificación para lograrlos. 68%
7.1 Recursos 89%
7.2 Competencias 66%
7.3 Toma de conciencia 84%
7.4 Comunicación 10%
7.5 Información documentada 52%
8.1 Planificación y control operacional 81%
8.2 Valoración de riesgos de seguridad de la información 81%
8.3 Tratamiento de los riesgos de seguridad de la Información 81%
9.1 Seguimiento, medición, análisis y evaluación 21%
9.2 Auditoría interna 36%
9.3 Revisión por la dirección 25%
10.1 No conformidad y acción correctiva 96%
10.2 Mejora continua 82%
66%
 NOMBRE DE LA E
OPCIONES

Perfi l del Sistema de Gesti ón de Calid

100%

90%
86%
81%
80%

70% 68%

60%
60%
53%
50%

40%

30%

20%

10%

0%
4. CONTEXTO 5. LIDERAZGO 6. PLANIFICACIÓN 7. SOPORTE 8. OPERA
 NOMBRE DE LA EMPRESA

de Gesti ón de Calidad

81%

60%

45%

27%

7. SOPORTE 8. OPERACIÓN 9. EVALUACIÓN 10. MEJORA

NIVEL DE CONFORMIDAD 66%

 10%
20%
30%
40%
50%
60%
70%
80%
90%
100%

0%
CONTEXTO
OPCIONES

PARTES

CONTEXTO
ALCANCE

SISTEMA

LIDERAZGO

POLÍTICA

LIDERAZGO
ROLES - RESPONSABILIDADES

RIESGOS - OPORTUNIDADES

PLANIFICACIÓN
PLANIF ESTRATÉGICA

RECURSOS

COMPETENCIA

CONCIENCIA

SOPORTE
REQUISITOS ISO 27001:2015

COMUNICACIÓN

INFO DOCUMENTADA
PERFIL ESPECÍFICO DEL SISTEMA DE GESTIÓN DE CA
NOMBRE DE LA EMP
 COMPETENCIA

CONCIENCIA

SOPORTE
OS ISO 27001:2015
COMUNICACIÓN

INFO DOCUMENTADA

PLANIF OPERACIONAL

VALORACIÓN RIESGOS
SISTEMA DE GESTIÓN DE CALIDAD
NOMBRE DE LA EMPRESA

OPERACIÓN
TRATAMIENTO RIESGOS

SMAE

AUDITORIA

EVALUACIÓN
REVISIÓN

MEJORA

NIVEL DE CONFORMIDAD

MEJORA
MEJORA CONTINUA

66%
 100%

10%
20%
30%
40%
50%
60%
70%
80%
90%

0%
5 .1 L i d e ra zgo y co m p ro m i s o
OPCIONES

4 .1 C o m p re n s i ó n d e l a o rga n i za c i ó n y d e s u co n te xto

4 .2 C o m p re n s i ó n d e l a s n e c e s i d a d e s y e xp e c ta t va s d e l a s p a rte s i n te re s a d a s

DIRECCIÓN - ENFOQUE
6 .1 A c c i o n e s p a ra e n f re n ta r ri e s go s y o p o rtu n i d a d e s

6 .2 O b je t vo s d e l a s e g u ri d a d d e l a i n fo rm a c i ó n y p l a n i fca c i ó n p a ra l o g ra rl o s .

7 .2 C o m p e te n c i a s

7 .3 To m a d e co n c i e n c i a

RECURSOS
7 .4 C o m u n i ca c i ó n

7 .5 I n fo rm a c i ó n d o c u m e n ta d a

8 .1 P l a n i f ca c i ó n y co n tro l o p e ra c i o n a l
REQUISITOS ISO 27001:2015
PERFIL CAPACIDAD DE MEJORA

8 .2 Va l o ra c i ó n d e ri e s go s d e s e g u ri d a d d e l a i n fo rm a c i ó n
NOMBRE DE LA EMP
 7 .4 C o m u n i ca c i ó n

7 .5 I n fo rm a c i ó n d o c u m e n ta d a

8 .1 P l a n i f ca c i ó n y co n tro l o p e ra c i o n a l

OS ISO 27001:2015
PACIDAD DE MEJORA
8 .2 Va l o ra c i ó n d e ri e s go s d e s e g u ri d a d d e l a i n fo rm a c i ó n

EVALUACIÓN
REALIMENTACIÓN
8 .3 Tra ta m i e n to d e l o s ri e s go s d e s e g u ri d a d d e l a I n fo rm a c i ó n

9 .1 S e g u i m i e n to , m e d i c i ó n , a n á l i s i s y e va l u a c i ó n
NOMBRE DE LA EMPRESA

9 .2 A u d i to ría i n te rn a

9 .3 R e vi s i ó n p o r l a d i re c c i ó n

ACCIÓN
1 0 .1 N o co n fo rm i d a d y a c c i ó n co rre c t va

NIVEL DE CAPACIDAD
1 0 .2 M e jo ra co n t n u a

66%