CUMPLIMIENTO ISO/IEC 27001

PUNTO DE LA NORMA
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 Comprender la organización y su contexto
La organización debe determinar las cuestiones externas e internas que son relevantes para su
propósito y que afecten a su capacidad para lograr los resultados previstos de su sistema de
gestión de la seguridad de la información
4.2 Comprender las necesidades y expectativas de las partes interesadas
a) Las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la
información
b) Los requisitos de estas partes interesadas en materia de seguridad de la información

4.3 Determinar el alcance del SGSI

La organización debe determinar los límites y la aplicabilidad del SGSI para establecer su alcance.
Al determinar este alcance, la organización deberá considerar:

a) El contexto de la organización: Las cuestiones Internas y Externas.

b) Los requisitos y expectativas de las partes interesadas.
c) Interfaces y dependencias entre las actividades realizadas por la organización, y las que son
realizadas por otras organizaciones.

4.4 Sistema de gestión de la seguridad de la información

La organización debe establecer, implementar, mantener y mejorar continuamente un sistema
de gestión de la seguridad de la información de la información.

5 Liderazgo
5.1 Liderazgo y compromiso
La gerencia proporciona evidencia de su compromiso con el establecimiento, implementación,
operación, monitoreo, mantenimiento y mejoramiento del SGSI a través de las siguientes
acciones:
a) garantizar que la política de seguridad de la información y los objetivos de seguridad de la
información se establecen y son compatibles con la dirección estratégica de la organización;
b) garantizar la integración de los requisitos del sistema de gestión de la seguridad de la
información en los procesos de la organización
c) garantizar la disponibilidad de los recursos necesarios para el sistema de gestión de la
seguridad de la información
d) comunicar la importancia de una gestión eficaz de la seguridad de la información y de la
conformidad con
d) comunicar la importancia de una gestión eficaz de la seguridad de la información y del
cumplimiento de los requisitos del sistema de gestión de la seguridad de la información
e) Garantizar que el sistema de gestión de la seguridad de la información logre los resultados
previstos;
f) dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión de la
seguridad de la información seguridad de la información;
g) promover la mejora continua; y
h) apoyar a otras funciones de gestión pertinentes para que demuestren su liderazgo en lo que
respecta a sus
áreas de responsabilidad.

5.2 Política
La gerencia debe establecer una política de seguridad de la información que:
a) es apropiado para el propósito de la organización;
b) incluya objetivos de seguridad de la información o proporcione el marco para establecer
objetivos de seguridad de la información;
c) incluya un compromiso para satisfacer los requisitos aplicables relacionados con la seguridad
de la información
d) incluye un compromiso de mejora continua del sistema de gestión de la seguridad de la
información.
La política de seguridad de la información deberá estar:
e) disponible como información documentada
f) ser comunicada dentro de la organización; y
g) estar a disposición de las partes interesadas, según proceda.

5.3 Roles organizacionales, responsabilidades y autoridades

La gerencia se asegurará de que se asignen y comuniquen las responsabilidades y autoridades de
las funciones relacionadas con la seguridad de la información.
de la información sean asignadas y comunicadas.
La gerencia asignará la responsabilidad y la autoridad para:

a) garantizar que el sistema de gestión de la seguridad de la información se ajusta a los

requisitos de la norma ISO/IEC 27001:2013
b) informar a la gerencia sobre el funcionamiento del sistema de gestión de la seguridad de la
información.

6 Planificación
6.1 Acciones para tratar riesgos y oportunidades
6.1.1 General
Al planificar el sistema de gestión de la seguridad de la información, la organización debe
considerar los cuestiones mencionadas en el punto 4.1 y los requisitos mencionados en el punto
4.2 y determinar los riesgos y oportunidades que deben ser abordados para:
a) garantizar que el sistema de gestión de la seguridad de la información pueda alcanzar los
resultados previstos;
b) prevenir o reducir los efectos no deseados; y
c) conseguir una mejora continua.
La organización debe planificar:
d) las acciones para abordar estos riesgos y oportunidades; y
e) ¿cómo integrar e implementar las acciones en su sistema de gestión de la seguridad de la
información ?
procesos de gestión de la seguridad de la información; y
2) ¿cómo evaluar la eficacia de estas acciones?

6.1.2 Objetivos de seguridad de la información y planes para alcanzarlos

La organización debe definir y aplicar un proceso de evaluación de riesgos para la seguridad de
la información que:
a) establezca y mantenga criterios de riesgo para la seguridad de la información que incluyan:
1) los criterios de aceptación del riesgo; y
2) los criterios de realización de las evaluaciones de los riesgos para la seguridad de la
información;
b) garantice que las evaluaciones repetidas de los riesgos para la seguridad de la información
produzcan resultados coherentes, válidos y resultados coherentes, válidos y comparables;
c) identifica los riesgos para la seguridad de la información:
1) aplicar el proceso de evaluación de riesgos de seguridad de la información para identificar
los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la
información en el ámbito del sistema de gestión de la seguridad de la información; y
2) identificar a los responsables de los riesgos;
d) analiza los riesgos de seguridad de la información:
1) evalúe las consecuencias potenciales que se producirían si los riesgos identificados en el
apartado 6.1.2 c) 1) se materializaran;
2) evaluar la probabilidad realista de que se produzcan los riesgos identificados en el apartado
6.1.2 c) 1); y
3) determinar los niveles de riesgo;
e) evalúa los riesgos para la seguridad de la información:
1) comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos en
6.1.2 a); y
2) priorizar los riesgos analizados para su tratamiento.

6.1.3 Tratamiento de los riesgos de la seguridad de la información

La organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la
información para:
a) seleccionar las opciones adecuadas de tratamiento de los riesgos de seguridad de la
información, teniendo en cuenta los los resultados de la evaluación de riesgos;
b) determinar todos los controles necesarios para aplicar la opción o las opciones de tratamiento
de los riesgos para la seguridad de la información b) determinar todos los controles necesarios
para aplicar las opciones de tratamiento de riesgos de seguridad de la información elegidas;
NOTA Las organizaciones pueden diseñar los controles necesarios o identificarlos a partir de
cualquier fuente.
c) comparar los controles determinados en el apartado 6.1.3 b) anterior con los del anexo A y
verificar que no se ha omitido ningún control necesario controles necesarios;
NOTA 1 El Anexo A contiene una lista completa de objetivos de control y controles. Los
usuarios de esta Norma Internacional Los usuarios de esta norma internacional deben consultar
el anexo A para asegurarse de que no se ha omitido ningún control necesario.
NOTA 2 Los objetivos de control se incluyen implícitamente en los controles elegidos. Los
objetivos de control y Los objetivos de control y los controles enumerados en el Anexo A no son
exhaustivos y pueden ser necesarios objetivos de control y controles adicionales.
d) elaborar una declaración de aplicabilidad que contenga los controles necesarios (véase 6.1.3
b) y c)) y justificación de las inclusiones, tanto si se aplican como si no, y la justificación de las
exclusiones de controles del Anexo A;
e) formular un plan de tratamiento de los riesgos para la seguridad de la información; y
f) obtener la aprobación del plan de tratamiento de los riesgos para la seguridad de la
información por parte de los propietarios del riesgo y la aceptación de los riesgos residuales de
seguridad de la información.
La organización conservará información documentada sobre el proceso de tratamiento de los
riesgos para la seguridad de la información de la seguridad de la información.

6.2 Objetivos de seguridad de la información y planes para alcanzarlos

La organización debe establecer objetivos de seguridad de la información en las funciones y
niveles pertinentes.
Los objetivos de seguridad de la información deberán:

a) Ser coherentes con la política de seguridad de la información;

b) ser medibles (si es posible);
c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la
evaluación y el tratamiento de los riesgos y el tratamiento de los riesgos;
d) ser comunicados; y
e) actualizarse según proceda.

La organización debe conservar información documentada sobre los objetivos de seguridad de la

información.
Al planificar cómo alcanzar sus objetivos de seguridad de la información, la organización debe
determinar:

f) qué se hará;
g) qué recursos se necesitarán;
h) quién será el responsable;
i) cuándo se completará; y
j) cómo se evaluarán los resultados.

7 Soporte
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para establecimiento,
implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad de la
información.
7.2 Competencia
La organización debe:
a) Determinar la competencia necesario de las personas que realizan, bajo su control, un trabajo
que afecta su desempeño de la seguridad de la información.
b) Asegurarse de que estas personas sean competentes, basándose en la educación, formación o
experiencia adecuadas
c) Cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la
eficacia de las acciones tomadas
d) Conservar la información documentada apropiada, como evidencia de la competencia

7.3 Toma de conciencia

Las personas bajo el control de la organización deberán tomar conciencia de:

a) La política de la seguridad de la información.

b) Contribución a la eficacia del SGSI, incluyendo beneficios de una mejora del desempeño del SI
c) Las implicaciones de la no conformidad con los requisitos del SGSI

7.4 Comunicación
La organización debe determinar la necesidad de comunicaciones internas y externas
pertinentes al SGSI que incluya:

a) Contenido de la comunicación
b) Cuando, a quién, quién debe comunicar
c) Procesos para llevar la comunicación

7.5 Información documentada

El SGSI debe incluir:
a) Información documentada
b) Ésta sea necesaria para la eficacia del SGSI
c) Complejidad de los procesos e interacciones
d) Competencia de las personas
e) Creación y actualización de la información documentada que incluya: identificación y
descripción, formato, revisión y aprobación
f) Control de la información documentada que este: disponible y adecuada para su uso,
protegida adecuadamente, distribuída, accesible, recuperable y usable, almacenada y
preservada, legitimidad, control de cambios, retención y disposición.

8 Operación
8.1 Planificación y control operacional
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos de seguridad de la información.
La información será documentada para tener la certeza en que los procesos se esten llevando a
cabo segun lo que se haya planificado.
La organización debe controlar los cambios planificados y revisar las consecuencias de cambios
no previstos, mitigando efectos adversos si fuese necesario.

8.2 Valoración de riesgos de la seguridad de la información

La organización debe llevar a cabo valoraciones de riesgos de la seguridad de la información a
intervalos planificados o cuando se propongan u ocurran cambios significativos.
Todo deberá ser documentado adecuadamente.

8.3 Tratamiento de riesgos de la seguridad de la información

La organización debe implementar el plan de tratamiento de riesgos de la seguidad de la
información.
Esto debe ser documentado adecuadamente.
9 Evaluación del desempeño
9.1 Monitoreo, Medición, Análisis Y Evaluación
La organización debe evaluar el desempeño de la seguridad de la información y la eficacia de
gestión de la seguridad de la información, para eso evaluar lo siguiente:

a) ¿Se hace seguimiento, medición, análisis y evaluación a procesos y controles de seguridad de

información?
b) ¿Se aplican métodos válidos para el seguimiento, medición, análisis y evaluación?
c) ¿Esta definido cada cuanto tiempo hacer el seguimiento y medición?
d) ¿Hay alguien asignado para esta tarea?
e) ¿Esta definido cada cuanto tiempo hacer el análisis y evaluación?
f) ¿Hay alguien asignado a analizar y evaluar los resultados?

9.2 Auditoría interna

La organización debe llevar a cabo auditorías internas en intervalos programados, para mostrar
la información del sistema de gestión de la seguridad de la información.
a) Conformidad con los propios requisitos de la organización para el sistema de gestión de la
seguridad de información
b) Conformidad con la norma ISO/IEC 27001
c) Planificar, establecer, implementar y mantener uno o varios programas de auditoría que
incluya la frecuencia, métodos, actores responsables, requisitos de planificación y elaboración de
informes, procesos involucrados, importancia de ellos y resultados previos de otras auditoría.
d) Definición de criterios y alcance de la auditoría
e) Selección del grupo auditor para gestionar la auditoría y así asegurar la objetividad e
imparcialidad
f) Informar los resultados de la auditoría a la gerencia
g) Almacenar la información de la auditoría como evidencia del programa

9.3 Revisión por la dirección

La revisión por la gerencia o dirección, debe incluir:
a) El estado de las acciones con relación a las revisiones previas por la dirección
b) Los cambios en las cuestiones externas e internas que sean pertinentes al sistema de gestión
de seguridad de la información
c) Retroalimentación sobre el desempeño de la seguridad de la información que incluya: no
conformidades y acciones correctivas, seguimiento y resultados de las mediciones, resultados de
auditoría y cumplimiento de los objetivos de la seguridad de información
d) Retroalimentación de las partes interesadas
e) Resultados de la valoración de riesgos y estado del plan de tratamiento de riesgos
f) Las oportunidades de mejora

10 Mejora
10.1 No conformidad, acción correctiva
El procedimiento documentado para la acción correctiva define los requerimiento para:
a) Identificar las no conformidades
b) Determinar las causas de las no conformidades
c) Evaluar la necesidad de acciones para asegurar que las no conformidades no vuelvan a ocurrir
d) Determinar e implementar la acción de acción correctiva
e) Aplicar otras acciones requeridas
e) Registrar los resultados de la acción tomada
f) realizar cambios al sistema de gestión de la información si es requerida

10.2 Mejora continua

¿Existe una mejora continua al sistema de gestión de la seguridad de la información?
CODIGO: F-SG-05.03

FECHA: 13 JUNIO 2021

REVISADO: Autor 1

APROBADO: Autor 2

RESULTADO

No Implementado

No Implementado

No Implementado

Implementado

Implementado
Implementado

Implementado
Implementado

No Implementado
Implementado
No Implementado
No Implementado

No Implementado

No Implementado

No Implementado

No Implementado
No Implementado

No Implementado

No Implementado

No Implementado

No Implementado
Implementado

No Implementado

Implementado

Implementado
VERSION: 1.0

EVIDENCIA

Se establece el alcance del Sistema de Gestión de Servicios y Seguridad de la Información en el Manual del Sistema de Gestión
aprobado con acta de reunión del Comité de Gestión fecha 13 de junio de 2021.

La empresa ha establecido , documentado en implementado un Sistema de Gestión para Servicios y Seguridad mediante la
aprobación del Manual del Sistema de Gestión y un Plan de Seguridad de la Información estos documentos fueron aprobados en
reunión del Comité de Gestión con fecha 13 de junio 2021 tal como consta en Acta.
Para el cumplimiento de este punto de norma se han aprobado mediante acta de reunión del Comité SGSSI de fecha 13 y 17 de
junio de 2021 los documentos del Sistema de Gestión y Seguridad de la Información que evidencian el compromiso de la Alta
Dirección con el establecimiento, implementación, operación, monitoreo, mantenimiento y mejoramiento del sistema de gestión,
entre los documentos que podemos resaltar tenemos a la Política de Seguridad de Información, el Manual del Sistema de Gestión
de Servicios y Seguridad, el Plan de Seguridad de la Información, la Metodología de Riesgos, el Plan de Tratamiento de Riesgos, la
Declaración de Aplicabilidad (SoA), las Auditorias y Revisiones por la Dirección. En las revisiones por la Dirección se establece que
por lo menos una vez al año se revise el Sistema de Gestión de Servicios y Seguridad de la Información e incluye Actas del Comité.
Las revisiones por la Dirección incluyen en su agenda el revisar el Cumplimiento de los objetivos del Sistema, las Políticas, los
Resultados de las Auditorias, Acciones de Seguimiento a las acciones correctivas, cumplimiento de legislación aplicable. Asimismo
en las reuniones ordinarias del Comité del Sistema de Gestión de Servicios y Seguridad de la Información se revisarán las
estadísticas sobre incidentes y problemas y se establearán las acciones correctivas de conformidad con el procedimiento
aprobado.

Se aprueba la Política de Seguridad de la Información está aprobada mediante acta de reunión del Comité de Gestión con fecha 13
de Junio de 2014, ha sido comunicada y es accesible.
La Política de Seguridad de la Información definida por la Dirección de SU EMPRESA y aprobada por el Comité SG ha sido
comunicada dentro de la empresa, es adecuada, proporciona un marco de referencia para revisar y definir los objetivos de
seguridad e incluye el compromiso para mejora continua, cumplimientos de requisitos legales y de seguridad de la información
aplicables.
La capacitación a los trabajadores en Gestión de Servicios y Seguridad de la Información se establece mediante la aprobación del
Manual del Sistema de Gestión y en el Plan de Seguridad de la Información y Procedimiento de Gestión de Recursos Humanos.
Se ha podido evidenciar dentro del proceso de Gestión de Recursos Humanos la existencia de documentos aprobados en la
empresa para la evaluación de las capacidades del personal (formato de evaluación del desempeño)

Para la capacitación de los trabajadores existe un Plan de Anual de Capacitaciones aprobado antes de poner en operación el
Sistema de Servicios y Seguridad de la Información por lo que se debe actualizar.

Los trabajadores de SU EMPRESA que trabajan en la Mesa de Ayuda o tienen relación directa en la provisión de servicios para las
operaciones de la misma asistieron a una primera charla de concienciación y sensibilización sobre Seguridad de la Información.

Los registros de las capacitaciones en Seguridad de la Información los tendrá el Responsable del Sistema de Gestión y el Oficial de
Seguridad.
Se establece como parte de la Gestión de Riesgo el Plan de Tratamiento de Riesgos aprobado mediante acta de reunión del
Comité de Gestión de fecha 13 de junio de 2021.
Para las auditorias se envía un Plan de Auditoria el cual es aprobado por el Comité SGSSI

En el procedimiento de Acciones Preventivas y Correctivas aprobado con fecha 13 de junio de 2021 se considera la identificación
de las no conformidades, la determinación de las causas de las no conformidades, las acciones para evitar su concurrencia, la
acciones correctivas a realizar, el seguimiento de resultados y la revisión de la efectividad de las acciones correctivas.

Se considera la mejora continua en los documentos aprobados para el Sistema de Gestión de Servicios y Seguridad de la
Información denominados Manual del Sistema de Gestión y Plan de Seguridad de la Información.
 No
Implementado En Proceso No Aplica
implementado
9 16 0 0

Resultados de Evaluación ISO 27000-1

Implementado No implementado En Proceso No Aplica

64%

36%
 ISO 27000-1
roceso No Aplica

64%
Resultado
Implementado
No Implementado
En Proceso
No aplica