INSTRUCTIVO

“Reporte de los Avances en la Mejora Continua a

la Implementación del EGSI V2.0”

(En cumplimiento del Acuerdo Ministerial No. 025-2019)

2022

QUITO – ECUADOR

[Versión 1.0]
 Tabla de contenido

1. PROPÓSITO .......................................................................................................................................... 3

2. AUDIENCIA ........................................................................................................................................... 3

3. ALCANCE .............................................................................................................................................. 3

4. REPORTE DEL CUMPLIMIENTO DE LOS HITOS DEL PROYECTO EGSI V2.0 EN GPR .......... 3
4.1. DESCRIPCIÓN DE PASOS PARA REPORTAR EL CUMPLIMIENTO DE LOS HITOS EN EL SISTEMA GPR .... 4
5. REPORTE DEL CUMPLIMIENTO DE LOS HITOS DEL PROYECTO EGSI V2.0 A TRAVÉS DE
CORREO ELECTRÓNICO. .......................................................................................................................... 9
5.1. DESCRIPCIÓN DE PASOS PARA REPORTAR EL CUMPLIMIENTO DE LOS HITOS A TRAVÉS DE CORREO
ELECTRÓNICO ..................................................................................................................................................... 9

6. CONTACTO SOPORTE TÉCNICO ................................................................................................... 11

7. CONTROL DE CAMBIOS .................................................................................................................. 11

8. HISTORIAL DE CAMBIOS ................................................................................................................. 11

ANEXOSANEXO 1 ...................................................................................................................................... 12

ANEXO 2 ...................................................................................................................................................... 14

ANEXO 3 ...................................................................................................................................................... 15
1. Propósito

Emitir los lineamientos específicos para el reporte de los avances de la mejora continua de
la implementación del Esquema Gubernamental de Seguridad de la Información, en
cumplimiento del Acuerdo Ministerial 025-2019.

2. Audiencia

 Oficiales de Seguridad de la Información (OSI)

 Comité de Seguridad de la Información (CSI)
 Responsables de la Información
3. Alcance

El presente documento está dirigido a las instituciones de la Administración Pública Central

(APC), que gestionan su planificación institucional bajo la metodología y Sistema Gobierno
por Resultados – GPR

4. Reporte del cumplimiento de los hitos del proyecto EGSI V2.0 en GPR

Para el reporte de los verificables de cumplimiento de cada uno de los hitos homologados en
GPR, se debe utilizar la “Plantilla de la Ficha de cumplimiento de hitos GPR” que se encuentra
como Anexo 1 en el presente documento.

La Ficha de cumplimiento de hitos GPR debe ser validada y firmada en cada institución de la
Administración Pública Central por parte de los siguientes funcionarios:

 Oficial de Seguridad de la Información

 Comité de Seguridad de la Información
 Responsable de la Información (relacionado con el hito a reportar).
Las instituciones deben reportar en el sistema GPR los verificables, los cuales permitirán
realizar el control y seguimiento de la implementación del EGSI V2 en las instituciones de la
APC.

Las Fichas de cumplimiento de hitos GPR que se verificarán, son las que corresponden a los
hitos homologados y que se listan a continuación:

Primera Etapa: 5 meses de acuerdo a los plazos establecidos en el Acuerdo Ministerial No.
025-2019 en el artículo 4.

 0.0.1 Perfil del proyecto “Implementación del EGSI versión 2.0”

 0.0.2 Definición del Alcance.
 0.0.3 Plan de Comunicación y Sensibilización.
 0.0.4 Plan de evaluación Interna.
 0.0.5 Política de Seguridad de la información.
 0.0.6 Metodología de evaluación y tratamiento del riesgo.
 0.0.7 Informe de la Evaluación de los Riesgos.
Segunda Etapa: 7 meses a partir de la finalización de la primera etapa.

 0.0.8 Declaración de Aplicabilidad (SoA).

 0.0.9 Plan de Tratamiento de los riesgos.
  Desde 1.1.1 Políticas de Seguridad de la Información, hasta 14.2.3 Procedimiento de
comprobación del cumplimiento técnico. (115 fichas de cumplimiento)
 0.0.10 Informe de los indicadores de la gestión.
 0.0.11 Informe de la evaluación interna.
 0.0.12 Informe de los resultados de la revisión de la gestión.
 0.0.13 Informe de los resultados de las medidas correctivas aplicadas.
 0.0.14 Informe de cierre del proyecto "Implementación EGSI versión 2.0".

4.1. Descripción de pasos para reportar el cumplimiento de los hitos en el sistema

GPR

PASO 1:

Utilizar la ficha de cumplimiento para detallar las actividades desarrolladas, en cumplimiento

de lo solicitado en cada hito. Esta ficha será el verificable, por tanto, se debe anexar al hito
correspondiente en el sistema GPR.

PASO 2:

Por cada hito, las instituciones internamente deben elaborar la documentación respectiva y
mantenerla actualizada, esto permitirá verificar el cumplimiento de cada hito. Esta información
debe ser detallada en la ficha de cumplimiento, en el campo VERIFICABLE INTERNO (Los
documentos verificables pueden ser, por ejemplo: políticas, procedimientos, instructivos,
memorandos, oficios, informes técnicos, otros); en este mismo campo ingresar la ubicación,
es decir el lugar en donde reposa la documentación, por ejemplo: repositorio digital, archivo
físico. Se adjunta al presente el Ejemplo de Ficha de cumplimiento de hitos GPR (Anexo 2)
como referencia para el ingreso de la información en la ficha.

Nota: no se debe subir otro documento más que la ficha de cumplimiento, las evidencias serán validadas durante
el proceso de evaluación que será informada oportunamente.

PASO 3:

En caso de no ser posible la implementación de ciertos controles de seguridad establecidos

en el EGSI V2.0 y se encuentre implícito en la Declaratoria de Aplicabilidad (SoA), la
institución deberá realizar un informe técnico, en el cual se describa o registre los
motivos del no cumplimiento del hito. Este informe técnico firmado deberá adjuntarse en
el sistema GPR (de manera excepcional a lo descrito en el Paso 2), como verificable
adicional a la ficha de cumplimiento.

PASO 4:

Con el objetivo de facilitar el control a las partes, se deberá seguir la siguiente nomenclatura
para nombrar las Fichas de cumplimiento de hitos GPR (verificables) que se carguen al
sistema GPR:

EGSIV2_SiglasEntidad_NroHito_SecArchivo_FechadeCarga

en donde:

 EGSIV2: Esquema Gubernamental de Seguridad de la Información versión 2.0

  SiglasEntidad: Son las siglas o acrónimo de la institución pública.

 NroHito: Número de hito para el cual se registra el cumplimiento. El número es el

que consta en la “Plantilla de los hitos homologados GPR”, adjunto a la presente como
Anexo 3.
 SecArchivo: Número secuencial del verificable cargado. Para el caso de que
exista más de un verificable, se deberá utilizar un secuencial con el que se reporte el
cumplimiento del hito respectivo con un verificable adicional (único ejemplo: informe
técnico de no cumplimiento de hitos).
 FechadeCarga: Fecha en la que se realiza la carga del verificable al sistema GPR.
La fecha deberá estar en el formato “AAAAMMDD” (sin espacios ni guiones).
Nota: Estos archivos (verificables) deberán ser firmados y escaneados para que tengan validez, en formato PDF.

Ejemplos:

a) Reporte de varios verificables por hito:

• EGSIV2_MINTEL_1.1.1_01_20220111.pdf
• EGSIV2_MINTEL_1.1.1_02_20220111.pdf
• EGSIV2_MINTEL_1.1.1_03_20220111.pdf
b) Reporte de un solo verificable por hito:

• EGSIV2_MINTEL_0.0.5_01_20220111.pdf

PASO 5:

Una vez definido los criterios para reportar los verificables, el siguiente paso es ingresar al
sistema GPR y subir la ficha de cumplimiento a cada hito.

 Ingresar al sistema GPR a través del siguiente enlace:

http://gpr.administracionpublica.gob.ec/gpr_ecuador/n4

Seleccionar los datos requeridos de validación de la unidad a la que pertenece:

 Categoría: Ministerios, Secretarías, otros

 Entidad: Institución respectiva
 Organización/unidad: Departamento respectivo
 Unidad: Unidad operativa donde labora el Oficial de Seguridad
 Usuario y clave: Credenciales del usuario registrado en el sistema GPR

PASO 6:

Escoger la opción “FCE8: Gestión de Proyectos y Procesos”

PASO 7:

Escoger la opción “Proyectos de Gasto Corriente” del menú que se despliega

PASO 8:

Escoger el nombre del proyecto “Mejora Continua de la Implementación del Esquema

Gubernamental de Seguridad de la Información EGSIV2” y dar clic en el ícono de la columna
“Detalle”.

PASO 9:

Ubicarse en la parte inferior de la ficha del proyecto y dar clic en la opción “Agregar Archivo
Anexo” como lo indica la siguiente figura:
PASO 10:

Hacer clic en “Examinar”, seleccionar el archivo PDF a subir, ingresar la “Descripción del
Archivo” con el mismo nombre del archivo cargado omitiendo la extensión “.pdf” y hacer clic
en la opción “Aceptar”.

Por ejemplo, si el nombre del archivo es: “EGSI_MINTEL_1.1.1_01_20220130.pdf”; en el

campo “Descripción de Archivo” se debe ingresar como:
“EGSI_MINTEL_1.1.1_01_20220130”

PASO 11:
Ubicar la opción “Editar Hitos” y hacer clic.

PASO 12:

Ubicar el hito respectivo al cual se ha dado cumplimiento y modificar la “Fecha Estimada”

por la fecha en la cual se realizó el cumplimiento.

Ubicar en la columna “Hito Cumplido”, el hito respectivo y seleccionar “Si”, tal como lo indica
en la siguiente figura:

La “Fecha Real” se actualizará automáticamente con la fecha estimada que modificó

anteriormente.

PASO 13:

Finalmente hacer clic en “Aceptar”, para actualizar la información.

5. Reporte del cumplimiento de los hitos del proyecto EGSI V2.0 a través de correo
electrónico.

Para el reporte de los verificables de cumplimiento de cada uno de los hitos homologados en
GPR, se debe utilizar la “Plantilla de la Ficha de cumplimiento de hitos GPR” que se encuentra
como Anexo 1 en el presente documento.

Considerar los lineamientos establecidos en el ítem 4 “Reporte del cumplimiento de los hitos
del proyecto EGSI V2.0 en GPR” que para este caso son los mismos.

De manera adicional revisar el detalle de las fechas comprometidas en la “Plantilla de los hitos
homologados GPR” que se encuentra como Anexo 3 en el presente documento. Estas fechas
se han establecido con el fin de garantizar el cumplimiento de los plazos establecidos en el
Acuerdo Ministerial No. 025-2019.

En virtud de lo expuesto, el reporte de las fichas de cumplimiento a través de correo electrónico,

debe realizarse en las fechas mencionadas.

Nota: Las fechas para el cumplimiento de los hitos GPR 1.1.1 al 14.2.3, las debe definir cada institución
considerando el periodo establecido en las fechas comprometidas del Anexo 3 y considerando también que durante
este periodo se deberán reportar el cumplimiento de los 115 controles de seguridad a través de las fichas de
cumplimiento.

5.1. Descripción de pasos para reportar el cumplimiento de los hitos a través de

correo electrónico

PASO 1:

Utilizar la ficha de cumplimiento para detallar las actividades desarrolladas, en cumplimiento

de lo solicitado en cada hito. Esta ficha será el verificable, por tanto, se debe anexar al correo
electrónico con el que se reportará los avances del cumplimiento de la implementación del
EGSI.

PASO 2:

Por cada hito, las instituciones internamente deben elaborar la documentación respectiva y
mantenerla actualizada, esto permitirá verificar el cumplimiento de cada hito. Esta información
debe ser detallada en la ficha de cumplimiento, en el campo VERIFICABLE INTERNO (Los
documentos verificables pueden ser, por ejemplo: políticas, procedimientos, instructivos,
memorandos, oficios, informes técnicos, otros); en este mismo campo ingresar la ubicación,
es decir el lugar en donde reposa la documentación, por ejemplo: repositorio digital, archivo
físico. Se adjunta al presente el “Ejemplo de Ficha de cumplimiento de hitos GPR” (Anexo 2)
como referencia para el ingreso de la información en la ficha.
Nota: no se debe adjuntar al correo electrónico otro documento más que la ficha de cumplimiento, las evidencias
serán validadas durante el proceso de evaluación que será informada oportunamente.

PASO 3:

En caso de no ser posible la implementación de ciertos controles de seguridad establecidos

en el EGSI V2.0 y se encuentre implícito en la Declaratoria de Aplicabilidad (SoA), la
institución deberá realizar un informe técnico, en el cual se describa o registre los
 motivos del no cumplimiento del hito. Este informe técnico firmado deberá adjuntarse al
correo electrónico (de manera excepcional a lo descrito en el Paso 2), como verificable
adicional a la ficha de cumplimiento.

PASO 4:

Con el objetivo de facilitar el control a las partes, se deberá seguir la siguiente nomenclatura
para nombrar las Fichas de cumplimiento de hitos GPR (verificables) que se envíen a través
de correo electrónico:

EGSIV2_SiglasEntidad_NroHito_SecArchivo_FechadeEnvío

en donde:

 EGSIV2: Esquema Gubernamental de Seguridad de la Información versión 2.0

 SiglasEntidad: Son las siglas o acrónimo de la institución pública.

 NroHito: Número de hito para el cual se registra el cumplimiento. El número es el

que consta en la “Plantilla de los hitos homologados GPR”, adjunto a la presente como
Anexo 3.

 SecArchivo: Número secuencial del verificable enviado. Para el caso de que exista
más de un verificable, se deberá utilizar un secuencial con el que se reporte el
cumplimiento del hito respectivo con un verificable adicional (único ejemplo: informe
técnico de no cumplimiento de hitos).

 FechadeEnvío: Fecha en la que se realiza el envío del archivo a través de correo

electrónico. La fecha deberá estar en el formato “AAAAMMDD” (sin espacios ni
guiones).
Nota: Estos archivos (verificables) deberán ser firmados y escaneados para que tengan validez, en formato PDF.

Ejemplos:

a) Reporte de varios verificables por hito:

• EGSIV2_MINTEL_1.1.1_01_20220111.pdf
• EGSIV2_MINTEL_1.1.1_02_20220111.pdf
• EGSIV2_MINTEL_1.1.1_03_20220111.pdf
b) Reporte de un solo verificable por hito:

• EGSIV2_MINTEL_0.0.5_01_20220111.pdf

PASO 5:

Una vez definido los criterios para reportar los verificables a través de correo electrónico, el
siguiente paso es redactar el contenido del correo electrónico, adjuntar la ficha de
cumplimiento del hito a reportar e incluir la siguiente descripción de ejemplo como asunto:
  Asunto: Reporte de avances EGSIV2_MINTEL_1.1.1_20220111
Nota: ingresar como parte del asunto el nombre del archivo, omitiendo la extensión “.pdf”, como muestra el ejemplo.

Finalmente enviar el correo electrónico a la dirección: soporte@gobiernoelectronico.gob.ec

6. Contacto Soporte Técnico

Para preguntas o requerimientos de cómo aplicar o seguir el procedimiento a continuación los

contactos de soporte:

INSTITUCIÓN / UNIDAD DIRECCIÓN DE CORREO TELÉFONO

ELECTRÓNICO

MINTEL / Subsecretaría soporte@gobiernoelectronico.gob.ec 1800 637276

de Gobierno Electrónico y
Registro Civil

7. Control de cambios

Versión: 1.0

Fecha de la versión: 28-01-2022

Dirección de Infraestructura, Interoperabilidad, Seguridad de la

Creado por:
Información y Registro Civil

Aprobado por: Subsecretaría de Gobierno Electrónico y Registro Civil

Nivel de
Bajo
confidencialidad:

8. Historial de cambios

Versión Fecha Detalle de la modificación

Creación y publicación del
1.0 28/01/2022
documento
ANEXOS
 Anexo 1

Plantilla de la Ficha de cumplimiento de hitos GPR

SISTEMA DE GOBIERNO POR RESULTADOS (GPR)

PROYECTO “IMPLEMENTACIÓN DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA

INFORMACIÓN (EGSI V2)”

FICHA DE CUMPLIMIENTO DE HITOS GPR

Mejora continua del EGSI v2

ENTIDAD / (SIGLAS):

DENOMINACIÓN

DEL HITO GPR:

NÚMERO DE HITO
GPR:

No. RESUMEN ACTIVIDADES VERIFICABLE INTERNO

REALIZADAS
N

N+1

N1+1 UBICACIÒN

...

PIE DE RESPONSABILIDAD
FECHA ELABORACIÓN: dd/mm/aaaa

NOMBRE DEL OFICIAL DE SEGURIDAD: FIRMA:

[Nombres, Apellidos]
NOMBRE DEL REPRESENTANTE DEL COMITÉ
DE SEGURIDAD DE LA INFORMACIÓN:
[Nombres, Apellidos]
[Firma manuscrita o digital del funcionario]
FIRMA:
Firma manuscrita o digital del funcionario]

NOMBRE DEL RESPONSABLE DE LA FIRMA:

INFORMACIÓN:
[Nombres, Apellidos] Firma manuscrita o digital del funcionario]
 Anexo 2

Ejemplo de la Ficha de cumplimiento de hitos GPR

SISTEMA DE GOBIERNO POR RESULTADOS (GPR)

PROYECTO “IMPLEMENTACIÓN DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA

INFORMACIÓN (EGSI V2)”

FICHA DE CUMPLIMIENTO DE HITOS GPR

Mejora Continua del EGSI v2

Ministerio de Telecomunicaciones y de la Sociedad de la Información

ENTIDAD / (SIGLAS):
/ MINTEL

DENOMINACIÓN
Términos y condiciones laborales, firmados.
DEL HITO GPR:
NÚMERO DE HITO
3.1.2
GPR:

No. RESUMEN ACTIVIDADES VERIFICABLE INTERNO

REALIZADAS
1 Elaboración del acuerdo de confidencialidad, con las Acuerdos de confidencialidad o
partes involucradas, Oficial de Seguridad, Responsable de no divulgación firmados por
la Unidad de Talento Humano y delegado de Jurídico. todos los funcionarios.

2 Socialización del contenido del acuerdo de

confidencialidad elaborado: derechos y responsabilidades UBICACIÓN
legales de los funcionarios relacionados a la seguridad de
Área de archivo de la Unidad de
la información.
Talento Humano (expediente de
funcionarios)
3 Recepción y registro de firmas de acuerdos de
confidencialidad de parte de todos los funcionarios de la
institución.
PIE DE RESPONSABILIDAD
FECHA ELABORACIÓN: 31/03/2020
NOMBRE DEL OFICIAL DE SEGURIDAD: FIRMA:
[Nombres y Apellidos del Oficial de Seguridad
nombrado] [Firma manuscrita o digital del funcionario]
NOMBRE DEL REPRESENTANTE DEL COMITÉ FIRMA:
DE SEGURIDAD DE LA INFORMACIÓN:
[Nombres y Apellidos del funcionario que preside el Firma manuscrita o digital del funcionario]
Comité de Seguridad de la Información]
NOMBRE DEL RESPONSABLE DE LA FIRMA:
INFORMACIÓN:
[Nombres y Apellidos del responsable de la Unidad Firma manuscrita o digital del funcionario]
de Talento Humano (para el caso del presente
ejemplo)]
 Anexo 3

Plantilla de los hitos homologados GPR

Ítem HITOS HOMOLOGADOS PARA GPR Fecha comprometida

1 DEFINICIÓN: 0.0.1 Perfil de proyecto "Implementación EGSI versión 2.0", aprobado 5/2/2022
2 PLANEACIÓN: 0.0.2 Definición del Alcance, aprobado. 15/2/2022
3 PLANEACIÓN: 0.0.3 Plan de Comunicación y Sensibilización, aprobado. 28/2/2022
4 PLANEACIÓN: 0.0.4 Plan de evaluación Interna, aprobado. 5/3/2022
5 PLANEACIÓN: 0.0.5 Política de Seguridad de la información, aprobado. 15/3/2022
6 PLANEACIÓN: 0.0.6 Metodología de evaluación y tratamiento del riesgo, aprobado. 31/3/2022
7 EJECUCIÓN: 0.0.7 Informe de la Evaluación de los Riesgos, aprobado. 31/5/2022
8 EJECUCIÓN: 0.0.8 Declaración de Aplicabilidad (SoA), aprobada. 10/6/2022
9 EJECUCIÓN: 0.0.9 Plan de Tratamiento de los riesgos, aprobado. 15/6/2022
10 EJECUCIÓN: 1.1.1 Políticas de Seguridad de la Información, documentadas.
Desde:
EJECUCIÓN: 1.1.2 Revisión de las políticas para la seguridad de la información,
20/06/2022
11 actualizada.
EJECUCIÓN: 2.1.1 Compromiso de la máxima autoridad de la institución con la seguridad Hasta:
12 de la información, documentado e implementado. 20/10/2022
13 EJECUCIÓN: 2.1.2 Separación de funciones, documentado e implementado.
14 EJECUCIÓN: 2.1.3 Contacto con las autoridades, documentado e implementado.
EJECUCIÓN: 2.1.4 Contacto con los grupos de interés especial, documentado e
15 implementado.
16 EJECUCIÓN: 2.1.5 Seguridad de la Información en la gestión de proyectos, verificado.
EJECUCIÓN: 2.1.6 Consideraciones de la seguridad cuando se trata con ciudadanos o
17 clientes, identificados.
18 EJECUCIÓN: 2.2.1 Política de dispositivos móviles, documentada e implementada.
EJECUCIÓN: 2.2.2 Política de Teletrabajo y medidas de seguridad, documentada
19 implementada.
EJECUCIÓN: 3.1.1 Procedimiento para verificar antecedentes, documentado e
20 implementado.
21 EJECUCIÓN: 3.1.2 Términos y condiciones laborales, firmados.
22 EJECUCIÓN: 3.2.1 Responsabilidades de la Máxima Autoridad o su delegado, socializadas.
EJECUCIÓN: 3.2.2 Plan de Concienciación, educación y formación en seguridad de la
23 información, documentado e implementado.
24 EJECUCIÓN: 3.2.3 Proceso disciplinario, garantizado y socializado.
EJECUCIÓN: 3.3.1 Responsabilidades ante la finalización o cambio de empleo, definidas y
25 comunicadas.
26 EJECUCIÓN: 4.1.1 Inventario de activos, actualizado.
27 EJECUCIÓN: 4.1.2 Propiedad de los activos, asignado.
28 EJECUCIÓN: 4.1.3 Uso aceptable de los activos, documentado e implementado.
29 EJECUCIÓN: 4.1.4 Devolución de activos, documentado e implementado.
30 EJECUCIÓN: 4.2.1 Clasificación de la información, documentada.
31 EJECUCIÓN: 4.2.2 Etiquetado de la información, documentado e implementado.
32 EJECUCIÓN: 4.2.3 Manejo de los activos, documentado e implementado.
33 EJECUCIÓN: 4.3.1 Gestión de medios extraíbles, documentado e implementado.
EJECUCIÓN: 4.3.2 Procedimiento de eliminación de los medios, documentado e
34 implementado.
35 EJECUCIÓN: 4.3.3 Transferencia de medios físicos, documentado e implementado.
36 EJECUCIÓN: 5.1.1 Política de control de acceso, documentada e implementada.
37 EJECUCIÓN: 5.1.2 Acceso a redes y servicios de red, difundido.
38 EJECUCIÓN: 5.2.1 Registro y retiro de usuarios, documentado e implementado.
39 EJECUCIÓN: 5.2.2 Provisión de accesos a usuarios, documentado e implementado.
EJECUCIÓN: 5.2.3 Gestión de los derechos de acceso con privilegios especiales,
40 documentado e implementado.
 EJECUCIÓN: 5.2.4 Gestión de la información confidencial de autenticación de los usuarios,
41 documentado e implementado.
42 EJECUCIÓN: 5.2.5 Derechos de acceso de usuario, revisado.
EJECUCIÓN: 5.2.6 Retiro o adaptación de los derechos de acceso, documentado e
43 implementado.
EJECUCIÓN: 5.3.1 Uso de la información confidencial para la autenticación, documentado e
44 implementado.
45 EJECUCIÓN: 5.4.1 Restricción del acceso a la información, implementado.
EJECUCIÓN: 5.4.2 Procedimientos seguros de inicio de sesión, documentados e
46 implementados.
47 EJECUCIÓN: 5.4.3 Política para la gestión de contraseñas, documentada e implementada.
EJECUCIÓN: 5.4.4 Uso de herramientas de administración de sistemas, documentado e
48 implementado.
49 EJECUCIÓN: 5.4.5 Control de acceso al código fuente del programa, implementado.
EJECUCIÓN: 6.1.1 Política de uso de los controles criptográficos, documentada e
50 implementada.
51 EJECUCIÓN: 6.1.2 Política para la Gestión de Claves, documentada e implementada.
52 EJECUCIÓN: 7.1.1 Perímetro de seguridad física, definido y documentado e implementado.
53 EJECUCIÓN: 7.1.2 Controles físicos de entrada, implementados.
54 EJECUCIÓN: 7.1.3 Seguridad de oficinas, despachos e instalaciones, implementado.
55 EJECUCIÓN: 7.1.4 Protección contra las amenazas externas y ambientales, implementado.
EJECUCIÓN: 7.1.5 Procedimiento para trabajo en áreas seguras, documentado e
56 implementado.
57 EJECUCIÓN: 7.1.6 Áreas de carga y entrega, implementado.
58 EJECUCIÓN: 7.2.1 Ubicación y protección de equipos, implementado.
59 EJECUCIÓN: 7.2.2 Instalaciones de suministro de energía sin interrupción, implementado.
60 EJECUCIÓN: 7.2.3 Seguridad del cableado (eléctrico y telecomunicaciones), implementado.
61 EJECUCIÓN: 7.2.4 Plan de Mantenimiento de los equipos, documentado e implementado.
EJECUCIÓN: 7.2.5 Salida de los activos fuera de las instalaciones de la institución,
62 documentado e implementado.
EJECUCIÓN: 7.2.6 Seguridad de los equipos y activos fuera de las instalaciones,
63 implementado.
EJECUCIÓN: 7.2.7 Seguridad en la reutilización o eliminación segura de dispositivos de
64 almacenamiento, implementado.
65 EJECUCIÓN: 7.2.8 Equipo informático de usuario desatendido, protección implementada.
EJECUCIÓN: 7.2.9 Política de puesto de trabajo despejado y pantalla limpia, documentado
66 e implementado.
67 EJECUCIÓN: 8.1.1 Procedimientos de operación, documentados e implementados.
EJECUCIÓN: 8.1.2 Procedimiento para la Gestión de cambios, documentado e
68 implementado.
69 EJECUCIÓN: 8.1.3 Monitoreo y ajuste de capacidades, documentado e implementado.
EJECUCIÓN: 8.1.4 Separación de ambientes de desarrollo, pruebas y producción,
70 documentado e implementado.
71 EJECUCIÓN: 8.2.1 Controles contra malware, documentado e implementado.
EJECUCIÓN: 8.3.1 Política de respaldos y copias de seguridad de la información,
72 documentada e implementada.
73 EJECUCIÓN: 8.4.1 Registro de eventos, documentado e implementado.
EJECUCIÓN: 8.4.2 Procedimiento para la protección de los registros de información,
74 documentado e implementado.
75 EJECUCIÓN: 8.4.3 Registros de administración y operación, documentado e implementado.
76 EJECUCIÓN: 8.4.4 Sincronización de relojes, implementado.
EJECUCIÓN: 8.5.1 Procedimiento para la instalación de software en sistemas en
77 producción, documentado e implementado.
EJECUCIÓN: 8.6.1 Política de monitoreo continuo, gestión de las vulnerabilidades técnicas,
78 documentada e implementada.
EJECUCIÓN: 8.6.2 Política para la restricción en la instalación de software, documentada e
79 implementada.
EJECUCIÓN: 8.7.1 Controles de auditoría de sistemas de información, documentado e
80 implementado.
 EJECUCIÓN: 9.1.1 Administración y control de las redes para proteger la información,
81 implementado.
82 EJECUCIÓN: 9.1.2 Seguridad de los servicios de red, implementado.
83 EJECUCIÓN: 9.1.3 Separación en las redes, documentado e implementado.
EJECUCIÓN: 9.2.1 Políticas y procedimientos de transferencia de información,
84 documentado e implementado.
EJECUCIÓN: 9.2.2 Acuerdos de transferencia de información, documentados e
85 implementados.
EJECUCIÓN: 9.2.3 Políticas y Procedimientos para mensajería electrónica, documentados
86 e implementados.
87 EJECUCIÓN: 9.2.4 Acuerdos de confidencialidad o no revelación, elaborados y firmados.
EJECUCIÓN: 10.1.1 Análisis de requisitos y especificaciones de seguridad de la
88 información, documentado e implementado.
EJECUCIÓN: 10.1.2 Servicios de aplicaciones en redes públicas, asegurados e
89 implementados.
90 EJECUCIÓN: 10.1.3 Controles de transacciones en línea, implementados.
91 EJECUCIÓN: 10.2.1 Política de desarrollo seguro, documentada e implementada.
EJECUCIÓN: 10.2.2 Procedimientos de control de cambios en sistemas, documentados e
92 implementados.
EJECUCIÓN: 10.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el
93 sistema operativo, implementada.
EJECUCIÓN: 10.2.4 Restricciones a los cambios en los paquetes de software,
94 documentado e implementado.
EJECUCIÓN: 10.2.5 Principios de ingeniería de sistemas seguros, documentado e
95 implementado.
96 EJECUCIÓN: 10.2.6 Ambiente de desarrollo seguro, implementado.
97 EJECUCIÓN: 10.2.7 Desarrollo externalizado, supervisado y monitoreado.
98 EJECUCIÓN: 10.2.8 Pruebas de seguridad del sistema, documentado e implementado.
99 EJECUCIÓN: 10.2.9 Pruebas de aceptación de sistemas, documentado e implementado.
100 EJECUCIÓN: 10.3.1 Protección de los datos de prueba, implementado.
EJECUCIÓN: 11.1.1 Política de seguridad de la información en las relaciones con los
101 proveedores, documentada e implementada.
EJECUCIÓN: 11.1.2 Requisitos de seguridad en contratos con terceros, documentados e
102 implementados.
EJECUCIÓN: 11.1.3 Requisitos de Seguridad en la cadena de suministro de tecnologías de
103 la información y de las comunicaciones, documentados e implementados.
EJECUCIÓN: 11.2.1 Monitoreo y revisión de los servicios de proveedores, documentado e
104 implementado.
EJECUCIÓN: 11.2.2 Proceso de Gestión de cambios en los servicios de proveedores,
105 documentado e implementado.
EJECUCIÓN: 12.1.1 Responsabilidades y procedimientos en la Gestión de Incidentes de
106 Seguridad de la Información, documentado e implementado.
EJECUCIÓN: 12.1.2 Reporte de los eventos de seguridad de la información, documentado e
107 implementado.
EJECUCIÓN: 12.1.3 Reporte de debilidades de seguridad de la información, documentado e
108 implementado.
EJECUCIÓN: 12.1.4 Apreciación y decisión sobre los eventos de seguridad de la
109 información, documentado e implementado.
EJECUCIÓN: 12.1.5 Procedimiento de respuesta a incidentes de seguridad de la
110 información, documentado e implementado.
EJECUCIÓN: 12.1.6 Aprendizaje de los incidentes de seguridad de la información,
111 implementado.
EJECUCIÓN: 12.1.7 Procedimiento para la recopilación de evidencias, documentado e
112 implementado.
EJECUCIÓN: 13.1.1 Planificación de la continuidad de seguridad de la información,
113 documentado e implementado.
114 EJECUCIÓN: 13.1.2 Continuidad de seguridad de la información, implementado.
EJECUCIÓN: 13.1.3 Controles de continuidad de seguridad de la información, verificado,
115 revisado y evaluado.
EJECUCIÓN: 13.2.1 Disponibilidad de las instalaciones de procesamiento de la información,
116 implementado.
 EJECUCIÓN: 14.1.1 Identificación de la legislación aplicable y de los requisitos
117 contractuales, documentado e implementado.
EJECUCIÓN: 14.1.2 Procedimiento para el cumplimiento de derechos de propiedad
118 intelectual, documentado e implementado.
EJECUCIÓN: 14.1.3 Procedimiento para la protección de los registros, documentado e
119 implementado.
EJECUCIÓN: 14.1.4 Política de protección y privacidad de la información de carácter
120 personal, documentado e implementado.
121 EJECUCIÓN: 14.1.5 Reglamento de controles criptográficos, documentado e implementado.
EJECUCIÓN: 14.2.1 Revisión independiente de seguridad de la información, documentado
122 e implementado.
EJECUCIÓN: 14.2.2 Cumplimiento de las políticas y normas de seguridad, documentado e
123 implementado.
EJECUCIÓN: 14.2.3 Procedimiento de comprobación del cumplimiento técnico,
124 documentado e implementado.
125 EJECUCIÓN: 0.0.10 Informe de los indicadores de la gestión del EGSI v2, aprobado 1/11/2022
126 EJECUCIÓN: 0.0.11 Informe de la evaluación interna del EGSI v2, aprobado 15/11/2022
EJECUCIÓN: 0.0.12 Informe de los resultados de la revisión de la gestión del EGSI,
30/11/2022
127 aprobado.
EJECUCIÓN: 0.0.13 Informe de los resultados de las medidas correctivas aplicadas,
15/12/2022
128 documentado.
CIERRE: 0.0.14 Informe de cierre del proyecto "Implementación EGSI versión 2.0",
31/12/2022
129 aprobado.