Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PUNTO DE LA NORMA
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 Comprender la organización y su contexto
La organización debe determinar las cuestiones externas e internas que son relevantes para su
propósito y que afecten a su capacidad para lograr los resultados previstos de su sistema de
gestión de la seguridad de la información
4.2 Comprender las necesidades y expectativas de las partes interesadas
a) Las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la
información
b) Los requisitos de estas partes interesadas en materia de seguridad de la información
5 Liderazgo
5.1 Liderazgo y compromiso
La gerencia proporciona evidencia de su compromiso con el establecimiento, implementación,
operación, monitoreo, mantenimiento y mejoramiento del SGSI a través de las siguientes
acciones:
a) garantizar que la política de seguridad de la información y los objetivos de seguridad de la
información se establecen y son compatibles con la dirección estratégica de la organización;
b) garantizar la integración de los requisitos del sistema de gestión de la seguridad de la
información en los procesos de la organización
c) garantizar la disponibilidad de los recursos necesarios para el sistema de gestión de la
seguridad de la información
d) comunicar la importancia de una gestión eficaz de la seguridad de la información y de la
conformidad con
d) comunicar la importancia de una gestión eficaz de la seguridad de la información y del
cumplimiento de los requisitos del sistema de gestión de la seguridad de la información
e) Garantizar que el sistema de gestión de la seguridad de la información logre los resultados
previstos;
f) dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión de la
seguridad de la información seguridad de la información;
g) promover la mejora continua; y
h) apoyar a otras funciones de gestión pertinentes para que demuestren su liderazgo en lo que
respecta a sus
áreas de responsabilidad.
5.2 Política
La gerencia debe establecer una política de seguridad de la información que:
a) es apropiado para el propósito de la organización;
b) incluya objetivos de seguridad de la información o proporcione el marco para establecer
objetivos de seguridad de la información;
c) incluya un compromiso para satisfacer los requisitos aplicables relacionados con la seguridad
de la información
d) incluye un compromiso de mejora continua del sistema de gestión de la seguridad de la
información.
La política de seguridad de la información deberá estar:
e) disponible como información documentada
f) ser comunicada dentro de la organización; y
g) estar a disposición de las partes interesadas, según proceda.
6 Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.1.1 General
Al planificar el sistema de gestión de la seguridad de la información, la organización debe
considerar los cuestiones mencionadas en el punto 4.1 y los requisitos mencionados en el punto
4.2 y determinar los riesgos y oportunidades que deben ser abordados para:
a) garantizar que el sistema de gestión de la seguridad de la información pueda alcanzar los
resultados previstos;
b) prevenir o reducir los efectos no deseados; y
c) conseguir una mejora continua.
La organización debe planificar:
d) las acciones para abordar estos riesgos y oportunidades; y
e) ¿cómo integrar e implementar las acciones en su sistema de gestión de la seguridad de la
información ?
procesos de gestión de la seguridad de la información; y
2) ¿cómo evaluar la eficacia de estas acciones?
f) qué se hará;
g) qué recursos se necesitarán;
h) quién será el responsable;
i) cuándo se completará; y
j) cómo se evaluarán los resultados.
7 Soporte
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para establecimiento,
implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad de la
información.
7.2 Competencia
La organización debe:
a) Determinar la competencia necesario de las personas que realizan, bajo su control, un trabajo
que afecta su desempeño de la seguridad de la información.
b) Asegurarse de que estas personas sean competentes, basándose en la educación, formación o
experiencia adecuadas
c) Cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la
eficacia de las acciones tomadas
d) Conservar la información documentada apropiada, como evidencia de la competencia
7.4 Comunicación
La organización debe determinar la necesidad de comunicaciones internas y externas
pertinentes al SGSI que incluya:
a) Contenido de la comunicación
b) Cuando, a quién, quién debe comunicar
c) Procesos para llevar la comunicación
8 Operación
8.1 Planificación y control operacional
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos de seguridad de la información.
La información será documentada para tener la certeza en que los procesos se esten llevando a
cabo segun lo que se haya planificado.
La organización debe controlar los cambios planificados y revisar las consecuencias de cambios
no previstos, mitigando efectos adversos si fuese necesario.
10 Mejora
10.1 No conformidad, acción correctiva
El procedimiento documentado para la acción correctiva define los requerimiento para:
a) Identificar las no conformidades
b) Determinar las causas de las no conformidades
c) Evaluar la necesidad de acciones para asegurar que las no conformidades no vuelvan a ocurrir
d) Determinar e implementar la acción de acción correctiva
e) Aplicar otras acciones requeridas
e) Registrar los resultados de la acción tomada
f) realizar cambios al sistema de gestión de la información si es requerida
REVISADO: Autor 1
APROBADO: Autor 2
RESULTADO
No Implementado
No Implementado
No Implementado
Implementado
Implementado
Implementado
Implementado
Implementado
No Implementado
Implementado
No Implementado
No Implementado
No Implementado
No Implementado
No Implementado
No Implementado
No Implementado
No Implementado
No Implementado
No Implementado
No Implementado
Implementado
No Implementado
Implementado
Implementado
VERSION: 1.0
EVIDENCIA
Se establece el alcance del Sistema de Gestión de Servicios y Seguridad de la Información en el Manual del Sistema de Gestión
aprobado con acta de reunión del Comité de Gestión fecha 13 de junio de 2021.
La empresa ha establecido , documentado en implementado un Sistema de Gestión para Servicios y Seguridad mediante la
aprobación del Manual del Sistema de Gestión y un Plan de Seguridad de la Información estos documentos fueron aprobados en
reunión del Comité de Gestión con fecha 13 de junio 2021 tal como consta en Acta.
Para el cumplimiento de este punto de norma se han aprobado mediante acta de reunión del Comité SGSSI de fecha 13 y 17 de
junio de 2021 los documentos del Sistema de Gestión y Seguridad de la Información que evidencian el compromiso de la Alta
Dirección con el establecimiento, implementación, operación, monitoreo, mantenimiento y mejoramiento del sistema de gestión,
entre los documentos que podemos resaltar tenemos a la Política de Seguridad de Información, el Manual del Sistema de Gestión
de Servicios y Seguridad, el Plan de Seguridad de la Información, la Metodología de Riesgos, el Plan de Tratamiento de Riesgos, la
Declaración de Aplicabilidad (SoA), las Auditorias y Revisiones por la Dirección. En las revisiones por la Dirección se establece que
por lo menos una vez al año se revise el Sistema de Gestión de Servicios y Seguridad de la Información e incluye Actas del Comité.
Las revisiones por la Dirección incluyen en su agenda el revisar el Cumplimiento de los objetivos del Sistema, las Políticas, los
Resultados de las Auditorias, Acciones de Seguimiento a las acciones correctivas, cumplimiento de legislación aplicable. Asimismo
en las reuniones ordinarias del Comité del Sistema de Gestión de Servicios y Seguridad de la Información se revisarán las
estadísticas sobre incidentes y problemas y se establearán las acciones correctivas de conformidad con el procedimiento
aprobado.
Se aprueba la Política de Seguridad de la Información está aprobada mediante acta de reunión del Comité de Gestión con fecha 13
de Junio de 2014, ha sido comunicada y es accesible.
La Política de Seguridad de la Información definida por la Dirección de SU EMPRESA y aprobada por el Comité SG ha sido
comunicada dentro de la empresa, es adecuada, proporciona un marco de referencia para revisar y definir los objetivos de
seguridad e incluye el compromiso para mejora continua, cumplimientos de requisitos legales y de seguridad de la información
aplicables.
La capacitación a los trabajadores en Gestión de Servicios y Seguridad de la Información se establece mediante la aprobación del
Manual del Sistema de Gestión y en el Plan de Seguridad de la Información y Procedimiento de Gestión de Recursos Humanos.
Se ha podido evidenciar dentro del proceso de Gestión de Recursos Humanos la existencia de documentos aprobados en la
empresa para la evaluación de las capacidades del personal (formato de evaluación del desempeño)
Para la capacitación de los trabajadores existe un Plan de Anual de Capacitaciones aprobado antes de poner en operación el
Sistema de Servicios y Seguridad de la Información por lo que se debe actualizar.
Los trabajadores de SU EMPRESA que trabajan en la Mesa de Ayuda o tienen relación directa en la provisión de servicios para las
operaciones de la misma asistieron a una primera charla de concienciación y sensibilización sobre Seguridad de la Información.
Los registros de las capacitaciones en Seguridad de la Información los tendrá el Responsable del Sistema de Gestión y el Oficial de
Seguridad.
Se establece como parte de la Gestión de Riesgo el Plan de Tratamiento de Riesgos aprobado mediante acta de reunión del
Comité de Gestión de fecha 13 de junio de 2021.
Para las auditorias se envía un Plan de Auditoria el cual es aprobado por el Comité SGSSI
En el procedimiento de Acciones Preventivas y Correctivas aprobado con fecha 13 de junio de 2021 se considera la identificación
de las no conformidades, la determinación de las causas de las no conformidades, las acciones para evitar su concurrencia, la
acciones correctivas a realizar, el seguimiento de resultados y la revisión de la efectividad de las acciones correctivas.
Se considera la mejora continua en los documentos aprobados para el Sistema de Gestión de Servicios y Seguridad de la
Información denominados Manual del Sistema de Gestión y Plan de Seguridad de la Información.
No
Implementado En Proceso No Aplica
implementado
9 16 0 0
64%
36%
ISO 27000-1
roceso No Aplica
64%
Resultado
Implementado
No Implementado
En Proceso
No aplica