MODELO MADUREZ - CMMI

CALIFICACION
Cada uno de los Controles de las Cláusulas de la norma ha sido calificado en una escala del 0 al 5,
siendo 0 el menor valor y 5 el valor más alto.
Se recomienda que para poder cumplir con un proceso de Auditoría de nivel satisfactorio, cada control
requerimiento evaluado debería obtener por lo menos una calificación de Nivel 3 (Cumplimiento de Nivel
Aceptable)

CALIFICACION DESCRIPCION DE CUMPLIMIENTO

0 No está definido ningún tipo de control

No existen controles efectivos, debido a que existen deficiencias considerables con

1
respecto a lo esperado para el requerimiento o control específico.
Controles básicos con deficiencias menores con respecto a lo esperado para el
2
requerimiento o control específico.

3 El requerimiento se cumple en forma efectiva (Nivel Aceptable)

4 Controles Gestionados (se controla su aplicación y buen uso)

5 Optimizado debido a que existe una implementación que mejora la norma.

 Matriz de Evaluación de Capacidad de Controles de Seguridad de la Información

ISO 27001:2013
Nº CONTROL
CLÁUSULA

OBJETIVO
NIVEL DE MADUREZ
OBSERVACIONES / NO
CONTROL DESCRIPCIÓN DE CONTROL PREGUNTA DESCRIPCION DE LA EVIDENCIA ACTUAL (Ver Hoja RECOMENDACIONES / OPORTUNIDADES DE MEJORA
CONFORMIDADES
Nivel de Madurez)

5 Políticas de seguridad de la información

Lineamientos de proporcionar orientación y apoyo a la gestión para

gestión para la la seguridad de la información
5 5.1
seguridad de la en concordancia con los requisitos del negocio y
información las leyes y regulaciones relevantes.

5 5.1.1
Un conjunto de políticas para la La mayoria de los trabajadores Contar con el documento de manera fisica y en lugar visible
seguridad de la información debería ¿Se cuenta con el Se observa que el area de service desk desconocen de la existencia del donde todos los empleados puedan tener acceso en cualquier
Políticas para la
ser definido, aprobado por la gerencia, documento fisico de la no cuenta con el documento de politica documento de la politica de momento.
seguridad de la 3
publicado y comunicado a los pulitica de seguridad de la de seguridad de la información de seguridad de la información.
información
empleados y a las partes externas información en el area ? manera visible. Capacitar a todo el personal sobre las politicas de seguridad de
relevantes. la información establecidas en la empresa.

Las políticas para la

Contar con un calendario para reralizar la revisión de las
seguridad de la información deberían ¿Se cuenta con un
Revisión de las No se cuenta con un area politicas de seguridad de la información con el fin de mejoras.
ser revisadas a intervalos calendario para realizar la
políticas para la Se valida que no se realiza la revisión de responsable de realizar la revisión Asi mismo informar a todos los empleados de dichos cambios
5 5.1.2 planificados o si ocurren cambios revisión de las politicas de 2
seguridad de la las politicas constantemente. de las politicas de seguridad de la
significativos para asegurar su seguridad de la
información información Contar con una area especializada para realizar la revisión de
conveniencia, adecuación información?
las politicas de la suridad de la información.
y efectividad continua.

Se deben diseñar y aplicar

Trabajo en
11 11.1.5 procedimientos para trabajar en áreas ###
áreas seguras
seguras.
 Matriz de Evaluación de Capacidad de Controles de Seguridad de la Información

ISO 27001:2013
Nº CONTROL
CLÁUSULA

OBJETIVO
NIVEL DE MADUREZ
OBSERVACIONES / NO
CONTROL DESCRIPCIÓN DE CONTROL PREGUNTA DESCRIPCION DE LA EVIDENCIA ACTUAL (Ver Hoja RECOMENDACIONES / OPORTUNIDADES DE MEJORA
CONFORMIDADES
Nivel de Madurez)

Se deben controlar los puntos de

acceso, tales como áreas de entrega y
de carga y otros puntos donde las
Areas de personas no autorizadas pueden
11 11.1.6 ###
entrega y carga acceder a las instalaciones, y si es
posible, aislarlas de las instalaciones
de procesamiento de la información
para evitar el acceso no autorizado.