0 calificaciones0% encontró este documento útil (0 votos)
6 vistas2 páginas
El documento presenta los requisitos para realizar una evaluación de seguridad de la información de la Universidad Tecnológica de Pereira. Se requiere realizar un diagnóstico bajo la norma ISO/IEC 27001, evaluar la infraestructura tecnológica, crear un inventario de activos de información, clasificar los activos, analizar y evaluar los riesgos, y definir una política de seguridad y la declaración de aplicabilidad de un sistema de gestión de seguridad de la información. Cada requisito incluye ent
El documento presenta los requisitos para realizar una evaluación de seguridad de la información de la Universidad Tecnológica de Pereira. Se requiere realizar un diagnóstico bajo la norma ISO/IEC 27001, evaluar la infraestructura tecnológica, crear un inventario de activos de información, clasificar los activos, analizar y evaluar los riesgos, y definir una política de seguridad y la declaración de aplicabilidad de un sistema de gestión de seguridad de la información. Cada requisito incluye ent
El documento presenta los requisitos para realizar una evaluación de seguridad de la información de la Universidad Tecnológica de Pereira. Se requiere realizar un diagnóstico bajo la norma ISO/IEC 27001, evaluar la infraestructura tecnológica, crear un inventario de activos de información, clasificar los activos, analizar y evaluar los riesgos, y definir una política de seguridad y la declaración de aplicabilidad de un sistema de gestión de seguridad de la información. Cada requisito incluye ent
Numeral Entregables Folio/Página Folio/Página Si No • Resultados de evaluación y diagnóstico, en donde se indican por cada dominio de la norma ISO/IEC 17799:2005. En los resultados del diagnóstico se deben incluir los 1.1. EVALUACIÓN Y DIAGNÓSTICO BAJO LA NORMA ISO/IEC 27001 objetivos de control y los controles de seguridad de la norma. • Resultados de evaluación y diagnóstico de revisión documental del modelo actual de seguridad de la información. • Vulnerabilidades encontradas en los sistemas expuestos a Internet y de los sistemas en la red interna, y el grado de riesgo técnico asociada con estos. Hasta donde se logró acceder en los sistemas de información y un nivel de riesgo general de la institución su exposición desde el punto de vista técnico. • Describir las clases de ataques que se utilizaran. • El reporte deberá estar acompañado de la evidencia sobre la información y accesos que se pudo obtener sobre los sistemas de información. • De igual forma se deben presentar dos Informes en español que incluyan: o Informe Ejecutivo Descripción del trabajo realizado Resumen de las actividades realizadas Descripción del informe final entregado Descripción de principales hallazgos Conclusiones 1.2. EVALUACIÓN Y DIAGNOSTICO DE LA INFRAESTRUCTURA Recomendaciones TECNOLÓGICA DE LA UTP o Informe Técnico de seguridad: Descripción de las pruebas realizadas Metodología utilizada Elemento evaluado Puertos y servicios habilitados
o Listado de vulnerabilidades encontradas en los elementos de la plataforma
tecnológica: Descripción de la vulnerabilidad Nivel de criticidad (Alto, Medio, Bajo) Riesgo asociado o impacto Recomendación Procedimiento de corrección.
• Informe de resultados del levantamiento de información.
• Inventario de activos de información de la Universidad Tecnológica de 2. INVENTARIO DE ACTIVOS DE INFORMACIÓN Pereira, junto con el proceso de inventario de activos de información y los formatos para su definición, actualización y mantenimiento. • Instructivo de clasificación de activos de información de la Universidad Tecnológica de Pereira y su nivel de clasificación, incluyendo las recomendaciones en cuanto a: o Acceso permitido. o Métodos de distribución. o Restricciones en la distribución electrónica. 3. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN o Recomendaciones a cerca de el Almacenamiento y/o archivado. o Recomendaciones a cerca de su disposición y destrucción. o Activos de información clasificados, según inventario e instructivo de clasificación.
o Matriz de valoración riesgos de seguridad de la información priorizada,
identificando los activos, las amenazas, las vulnerabilidades, impactos, los riesgos y las recomendaciones para su mitigación del nivel del riesgo residual. o Informe de identificación de procedimientos y controles necesarios para 4. ANÁLISIS, EVALUACIÓN Y TRATAMIENTO DEL RIESGO mitigar o transferir el riesgo. o Plan de tratamiento de riesgos y cronograma de implementación. o Informe de los resultados del análisis de impacto generado en los procesos por la aplicación de los controles propuestos.
o Informe de revisión de las políticas de seguridad que poseen en la
actualidad la Universidad Tecnológica de Pereira. o Políticas de seguridad corporativa, objetivos del SGSI y procedimientos para su implementación y gestión. 5. DEFINICIÓN DE POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA o Formatos y documentos para llevar los registros necesarios y exigidos por SEGURIDAD Y DECLARACIÓN DE APLICABILIDAD DEL SGSI la norma. o Declaración de aplicabilidad. o Proceso de control de documentos y de control de registros. o Indicadores de gestión base de primer nivel para el SGSI.