Documentos de Académico
Documentos de Profesional
Documentos de Cultura
[nombre de la organización]
Código:
Versión:
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de
confidencialidad:
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
Historial de modificaciones
Fecha Versión Creado por Descripción de la modificación
Tabla de contenido
1. OBJETIVO, ALCANCE Y USUARIOS.......................................................................................................... 3
2. DOCUMENTOS DE REFERENCIA.............................................................................................................. 3
6. APÉNDICES............................................................................................................................................ 7
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
Los usuarios de este documento son todos los empleados de [nombre de la organización] que
participan en la evaluación y tratamiento de riesgos.
2. Documentos de referencia
Norma ISO/IEC 27001, capítulos 6.1.2, 6.1.3, 8.2, y 8.3
Política de Seguridad de la Información
Lista de requisitos legales, normativos y contractuales y demás requisitos
Política de seguridad para proveedores
Declaración de aplicabilidad
El primer paso en la evaluación de riesgos es la identificación de todos los activos dentro del alcance
del SGSI; es decir, todos los activos que pueden afectar la confidencialidad, integridad y
disponibilidad de la información en la organización. Los activos pueden ser documentos en papel o
en formato electrónico, aplicaciones y bases de datos, personas, equipos de TI, infraestructura y
servicios externos o procesos externalizados. Al identificar los activos también es necesario
identificar a sus propietarios: la persona o unidad organizativa responsable de cada activo.
El siguiente paso es identificar todas las amenazas y vulnerabilidades relacionadas con cada activo.
Las amenazas y vulnerabilidades se identifican utilizando los catálogos incluidos en el Cuadro de
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
evaluación de riesgos. Cada activo puede estar relacionado a varias amenazas, y cada amenaza
puede estar vinculada a varias vulnerabilidades.
Para cada riesgo es necesario identificar un propietario: la persona o unidad organizativa responsable
de cada riesgo. Esta persona puede o no ser la misma que el propietario del activo..
Una vez que se han identificado los riesgos, es necesario evaluar las consecuencias para cada
combinación de amenazas y vulnerabilidades de un activo específico en caso que ello se pueda
producir:
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
Los valores 0, 1 y 2 son riesgos aceptables, mientras que los valores 3 y 4 son riesgos no aceptables.
Los riesgos no aceptables deben ser tratados.
Para los riesgos calificados en 3 y 4 se deben seleccionar una o más opciones de tratamiento.
El tratamiento de riesgos relacionados con procesos externalizados debe ser atendido por medio de
contratos con los terceros responsables, como se especifica en la [Política de seguridad para
proveedores].
Los propietarios de riesgos deben revisar los riesgos vigentes y deben actualizar el Cuadro de
evaluación de riesgos y el Cuadro de tratamiento de riesgos de acuerdo con los nuevos riesgos
identificados. La revisión se realiza al menos una vez por año, o con mayor frecuencia en caso de
cambios organizacionales significativos, cambios importantes en tecnología, en los objetivos de
negocios, en el entorno empresarial, etc.
En nombre de los propietarios de riesgos, la [alta dirección] aceptará todos los riesgos residuales a
través de la Declaración de aplicabilidad.
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
3.6. Informes
El [cargo] documentará los resultados de la evaluación y del tratamiento de riesgos, y de todas las
revisiones subsiguientes, en el Informe de evaluación y tratamiento de riesgos.
Cuadro de Ordenador del [cargo del Solamente el [cargo] Los datos son
tratamiento de [cargo] propietario del tiene derecho a crear archivados
riesgos (formulario Cuadro de entradas y a realizar de forma
electrónico, tratamiento de modificaciones en el permanente
documento en riesgos] Cuadro de tratamiento
Excel) de riesgos
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
de 3 años.
Solamente el [cargo] puede permitir a otros empleados el acceso a los documentos mencionados
precedentemente.
Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los siguientes
criterios:
6. Apéndices
Apéndice 1: Formulario - Cuadro de evaluación de riesgos
Apéndice 2: Formulario - Cuadro de tratamiento de riesgos
Apéndice 3: Formulario - Informe sobre evaluación y tratamiento de riesgos
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
[cargo]
[nombre]
_________________________
[firma]
©2013 Plantilla para clientes de EPPS Services Ltd. www.iso27001standard.com, según Contrato de licencia.