STUDYSERTECO CIA LTDA

TEST DE CUMPLIMIENTO NORMATIVO ISO 27001

AUDITORÍA DE SISTEMAS
Responsable: Grupo 2

N°

4
4.1

1.-

2.-

3.-

4.2
1.-

2.-

3.-

4.3
1.-

4.4

1.-

5
5.1

1.-

2.-

3.-

5.2
1.-

2.-

3.-

4.-

5.3

1.-

2.-

6
6.1
1.-

2.-

3.-

4.-

5.-

6.2

1.-

2.-

3.-

7
7.1
1.-

7.2

1.-
2.-

7.3

1.-

2.-

7.4
1.-

2.-

7.5

1.-

2.-

3.-

8
8.1

1.-

2.-

3.-

4.-

8.2

1.-

8.3

1.-
 2.-

3.-

9
9.1
1.-
1

2.-
2
9.2
3 1.-

4 2.-

5 3.-

9.3

1.-
6

2.-
7

10
10.1
1.-
1

2.-
2
10.2
3 1.-

53

Evaluación
4
5

10
 STUDYSERTECO CIA LTDA
TEST DE CUMPLIMIENTO NORMATIVO ISO 27001
AUDITORÍA DE SISTEMAS
Responsable: Grupo 2

PREGUNTAS

La Organización y su Contexto
Entendiendo la Organización y su contexto

¿Están identificados los objetivos del SGS Sistema de Gestión de la Seguridad de la Información?

¿Se han identificado las cuestiones internas y externas relacionadas con la Seguridad de la Información?

¿Se han identificado como las partes internas y externas pueden suponer amenazas o riesgos para la seguridad de la
Información?
Expectativas de las partes interesadas
¿Se han identificado las partes interesadas?

¿Existe un listado de requisitos sobre Seguridad de la Información de las partes interesadas?

¿Existe un listado de requisitos sobre Seguridad de la Información referente a reglamentos, requisitos legales y requisitos
contractuales?
Alcance del SGSI
¿Se ha determinado el alcance del SGS y se conserva información documentada?

SGS Sistema de Gestión de la Seguridad de la información

¿El sistema de Gestión de Seguridad de la información SGSI está establecido, implementado y se revisa de forma
planificada considerando oportunidades de mejora?

SUBTOTAL

Liderazgo
Liderazgo y compromiso

¿Se han establecido objetivos de la Seguridad de la Información acordes con los objetivos del negocio?

¿La dirección provee de los recursos materiales y humanos necesarios para el cumplimiento de los objetivos del SGSI?

¿La dirección revisa directamente la eficacia del SGSI para garantizar que se cumplen los objetivos del SGSI?

Política de la Seguridad de la Información

¿Se ha definido una Política de la Seguridad de la Información?

¿Se ha establecido un marco que permita el establecimiento de objetivos?

¿Se ha comunicado la política de la Seguridad de la información a las partes interesadas y a toda la empresa?

¿Se mantiene información documentada de la política del SGSI y de sus objetivos?

Roles y Responsabilidades

¿Se han asignado las responsabilidades y autoridades sobre la Seguridad de la Información?

¿Se han comunicado convenientemente las responsabilidades y autoridades para la Seguridad de la Información?
SUBTOTAL

Planificación
Tratamiento de Riesgos y Oportunidades
¿El plan para abordar riesgos y oportunidades considera las expectativas de las partes interesadas en relación a la Seguridad
de la Información?
¿Se identifican y analizan los riesgos mediante un método de evaluación y aceptación de riesgos?

¿Se ha definido un proceso de tratamiento de riesgos?

¿Se han establecido criterios para elaborar una declaración de aplicabilidad?

¿Se mantiene información documentada de los puntos anteriores?

Planificación para consecución de objetivos

¿Se han establecido objetivos de la Seguridad de la Información medibles y acordes a los objetivos del negocio?

¿Los objetivos de la Seguridad de la Información están planificados mediante?

-Asignación de responsabilidades
-Cronograma de ejecución temporal
-Método de evaluación

¿Se han integrado los objetivos de la Seguridad de la Información en los procesos de la organización teniendo en cuenta las
funciones principales dentro de la Organización?

SUBTOTAL

Soporte
Recursos
¿Se identifican y asignan los recursos necesarios para el SGSI?

Competencia
¿Se evalúa la competencia en materias de Seguridad de la Información para personas que efectúan tareas que puedan
afectar a la seguridad?
¿Se mantiene información actualizada sobre la competencia del personal?

Concienciación

¿El personal está involucrado y es consciente de su papel en la Seguridad de la Información?

¿Existe conciencia de los daños que se pueden producir de no seguir las pautas de la Seguridad de la Información?

Comunicación
¿Se comunica la política de la Seguridad de la Información con las responsabilidades de cada uno?

¿Existe un proceso para comunicar las deficiencias o malas prácticas en la seguridad de la Información?

Información Documentada

¿Se dispone de la documentación requerida por la norma más la requerida por la organización incluyendo?
-La política de la Seguridad de la Información y el alcance del Sistema de Gestión
-Los procesos principales de la seguridad de la Información
-Los Documentos exigidos por la Norma ISO 27001 incluyendo registros
-Los Documentos propios de Seguridad de la Información identificados por la empresa (instrucciones técnicas etc.)
¿Existe un control documental donde se verifica?
-Quien publica el documento
-Quien lo autoriza y como se revisan
-Formatos y Soportes de publicación
-Su
¿Se almacenamiento y protección
controlan los documentos de origen externo?
SUBTOTAL

Operación
Control Operacional

¿Los procesos de seguridad de la Información están documentados para controlar que se realizan según lo planificado?

¿Existe un proceso para evaluar los riesgos en la Seguridad de la Información antes de realizar cambios en el Sistema de
Gestión o procesos de Seguridad?

¿Se establecen medidas y planes para mitigar los riesgos en la Seguridad de la Información ante cambios realizados?

¿Se identifican y controlan los procesos externalizados en cuanto a los riesgos para la Seguridad de la Información?

Análisis de riesgos de la Seguridad de la Información

¿Se ha establecido un proceso documentado de análisis y evaluación de riesgos para la Seguridad de la Información donde
se identifique?
-El propietario del riesgo
-La importancia del riesgo o nivel de impacto
-La probabilidad de ocurrencia

Tratamiento de riesgos de la Seguridad de la Información

¿Se ha implementado un plan de tratamiento de riesgos dónde?
-Los propietarios del riesgo están informados y han aprobado el plan
-Se documentan los resultados
¿Se identifican todos los controles necesarios para mitigar el riesgo justificando su aplicación?

¿Se documenta el nivel de aplicación de todos los controles a aplicar?

SUBTOTAL

Evaluación del desempeño

Seguimiento y medición
¿Se ha establecido un proceso continuo de monitoreo de los aspectos clave de la seguridad de la información teniendo en
cuenta los controles para la seguridad de la información?

¿Se ha establecido un proceso documentado para evaluar los resultados de las mediciones y de que estos resultados son
tomados en cuenta por los responsables tanto de los procesos como de la Seguridad de la Información?

Auditorías Internas
¿Se ha establecido una programación de Auditorías Internas y asignado responsables?

¿Se ha definido el alcance y los requisitos para el informe de auditoría?

¿Se consideran acciones correctivas y propuestas de cambio en los informes de auditoría?

Informe de Revisión por la Dirección

¿Existe una programación para los informes de la dirección y existe constancia de su realización periódica?

¿Se documentan los resultados de los informes y la dirección se implica tanto en su conocimiento como en la toma de
decisiones sobre los aspectos cruciales para el SGSI?
SUBTOTAL

Mejora
No Conformidades y acciones correctivas
¿Existe un procedimiento documentado para identificar y registrar las no conformidades y su tratamiento?
¿Dentro de las acciones correctivas existe una diferenciación entre acciones correctivas sobre la no conformidad y sobre las
causas de la misma?
Mejora continua
¿Existe un proceso para garantizar la mejora continua del SGSI identificando las oportunidades de mejora?
SUBTOTAL
TOTAL

Evaluación
La Organización y su Contexto
Ponderación
Calificación obtenida
Nivel de madurez
Riesgo de control
Puntuacón Total de cada Control
Número de controles totales
N.M.C. =
Recomendación: Mediante la valoracion del control podemos definir que la entidad cumple parcialmente los requerimientos de las T
recomienda una reestructuracion de los objetivos para alinearlos a las metas de la entidad y su plan estrategico
Recomendación: Mediante la valoracion del control podemos definir que la entidad cumple parcialmente los requerimientos de las T
recomienda una reestructuracion de los objetivos para alinearlos a las metas de la entidad y su plan estrategico
Liderazgo
Puntuacón Total de cada Control
Número de controles totales
N.M.C. =
Recomendación: El liderazgo de la organizacion que se realiza para el departamento de las TI tiene una falencia a la aproximacion y
entidad por lo tanto se recomienda revisar la manera que se ejecuta y delega las funciones por parte de la maxima autoridad del dep
sincronizada de las metas.
Soporte
Puntuación Total de cada Control
Número de controles totales
N.M.C. =

Recomendación:

Operación
Puntuación Total de cada Control
Número de controles totales
N.M.C. =
Recomendación:

Evaluación del desempeño

Puntuación Total de cada Control
Número de controles totales
N.M.C. =
Recomendación:

Mejora
Puntuacón Total de cada Control
Número de controles totales
N.M.C. =
Recomendación:

Test de Cumplimiento Normativa ISO 27001

Puntuacón Total de cada Control
Número de controles totales
N.M.C. =
Fecha: 31/07/2020

NIVEL DE
NIVEL DE MADUREZ MADUREZ
DESCRIPCIÒN

CALIFICACIÓN 0 No existencia

1 Ad-hoc

2 Ejecutado

2 3 Definido

Manipulable y
3 4
medible

3 5 Optimizado

26

4
4

2
28

14

2
4

3
34

0
 1

16

1
5
128

NIVEL MEDIO DE CUMPLIMIENTO = Puntuación t

Control / Número de Controles totales
Por debajo de 1.65
40 Entre 1.66 y 3.25
26 Por encima de 3.26
65.00%
35.00%
26
8
3.25 Cumple parcialmente
e los requerimientos de las TI en la organizacion por lo tanto se
ategico
 28
9
3.11 Cumple parcialmente
falencia a la aproximacion y orientacion de los objetivos de la
a maxima autoridad del departamento para una persucusion

34
10
3.40 Cumple con requisitos de
la norma

16
8
2.00 Cumple parcialmente

5
7
0.71 No cumple

5
3
1.67 Cumple parcialmente

128
53
2.42 Cumple parcialmente
UMPLIMIENTO = Puntuación total de cada
Número de Controles totales
No cumple
Cumple parcialmente
Cumple con requisitos de la norma
 (APO-03) GESTIONAR LA ARQUITECTURA EMPRESARIAL
AUDITORÍA DE SISTEMAS
Responsable: Mariana Bagui

N°

APO-03

1
1.-

2
2.-

5
3.-

6
4.-

7
5.-

8
6.-

9
7.-

8.-

12
9.-

13

10.-

15

Evaluación
APO-03
 (APO-03) GESTIONAR LA ARQUITECTURA EMPRESARIAL
AUDITORÍA DE SISTEMAS
Responsable: Mariana Bagui

PREGUNTAS

GESTIONAR LA ARQUITECTURA EMPRESARIAL

¿La Arquitectura Empresarial cumple con los lineamientos y principios de la

institución para dar solución a las necesidades del negocio?
¿La arquitectura empresarial permite la disminución de los costos de diseño,
operación, soporte y cambios en TI, minimizando el riesgo en los proyectos?

¿La AE permite a la institución responder de forma ágil y adecuada ante nuevos

retos y oportunidades que se generan en el entorno, en los cambios tecnológicos
y en cualquier otra circunstancia que se presente?
La arquitectura permite a los responsables de TI tener una visión de mediano
plazo y tomar decisiones basado en ello.
¿La arquitectura empresarial mejora la toma de decisiones al interior de la
entidad?
¿Con la arquitectura empresarial la alta gerencia puede optimizar los procesos,
realizar de forma más ágil la toma de decisiones y automatizar tareas?

¿Se puede considerar a la arquitectura empresarial como un respaldo para tomar

decisiones estratégicas, realizar cambios, enfrentar retos y desafíos, así como
para aprovechar oportunidades?

¿Se cuenta con un modelo de información empresarial que facilite el desarrollo

de las aplicaciones y actividades de soporte a la hora de tomar decisiones?
¿Los riesgos de TI están siendo localizados y administrados de manera correcta?

¿La arquitectura ayuda a entender el estado actual de la tecnología en la

institución y a determinar para el cumplimiento de objetivos estratégicos de la
entidad qué capacidades de TI deben ser eliminadas, mejoradas o adquiridas?

TOTAL

Evaluación
 GESTIONAR LA ARQUITECTURA EMPRESARIAL
Puntuacón Total de cada Control
Número de controles totales
N.M.C. =

Recomendación: Establecer canales para la identificación de los puntos débiles que puede presentar la seguridad de la información. El
los mecanismos de respuesta a los eventos. Implementar un proceso que ayude a la empresa a recopilar la evidencia por la
ARIAL

Fecha: 29/08/2020

NIVEL DE
NIVEL DE MADUREZ DESCRIPCIÒN
MADUREZ
CALIFICACIÓN 0 No existencia
MPRESARIAL 1 Ad-hoc
2 Ejecutado

2 3 Definido

2 4 Manipulable y medible

4 5 Optimizado

4 GESTIONAR LA ARQUITECTURA
4.5
4 4
3 4

3.5
3 3
3
4
Calificación

2.5
2 2
2
3 1.5

1
2 0.5

0
1 2 3 4 5 6

3 Número de control

30
TURA EMPRESARIAL
30
10 Cumple parcialmente
3

presentar la seguridad de la información. Elaborar la respectiva documentación que respalde el proceso de gestión de incidentes y
a la empresa a recopilar la evidencia por la cual se producen ciertos incidentes en la S.I. para prevenir estos sucesos.
AR LA ARQUITECTURA EMPRESARIAL

4 4

3 3 3 3

4 5 6 7 8 9 10
Número de controles