Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2022
QUITO – ECUADOR
[Versión 1.0]
Tabla de contenido
1. PROPÓSITO .......................................................................................................................................... 3
2. AUDIENCIA ........................................................................................................................................... 3
3. ALCANCE .............................................................................................................................................. 3
4. REPORTE DEL CUMPLIMIENTO DE LOS HITOS DEL PROYECTO EGSI V2.0 EN GPR .......... 3
4.1. DESCRIPCIÓN DE PASOS PARA REPORTAR EL CUMPLIMIENTO DE LOS HITOS EN EL SISTEMA GPR .... 4
5. REPORTE DEL CUMPLIMIENTO DE LOS HITOS DEL PROYECTO EGSI V2.0 A TRAVÉS DE
CORREO ELECTRÓNICO. .......................................................................................................................... 9
5.1. DESCRIPCIÓN DE PASOS PARA REPORTAR EL CUMPLIMIENTO DE LOS HITOS A TRAVÉS DE CORREO
ELECTRÓNICO ..................................................................................................................................................... 9
ANEXOSANEXO 1 ...................................................................................................................................... 12
ANEXO 2 ...................................................................................................................................................... 14
ANEXO 3 ...................................................................................................................................................... 15
1. Propósito
Emitir los lineamientos específicos para el reporte de los avances de la mejora continua de
la implementación del Esquema Gubernamental de Seguridad de la Información, en
cumplimiento del Acuerdo Ministerial 025-2019.
2. Audiencia
4. Reporte del cumplimiento de los hitos del proyecto EGSI V2.0 en GPR
Para el reporte de los verificables de cumplimiento de cada uno de los hitos homologados en
GPR, se debe utilizar la “Plantilla de la Ficha de cumplimiento de hitos GPR” que se encuentra
como Anexo 1 en el presente documento.
La Ficha de cumplimiento de hitos GPR debe ser validada y firmada en cada institución de la
Administración Pública Central por parte de los siguientes funcionarios:
Las Fichas de cumplimiento de hitos GPR que se verificarán, son las que corresponden a los
hitos homologados y que se listan a continuación:
Primera Etapa: 5 meses de acuerdo a los plazos establecidos en el Acuerdo Ministerial No.
025-2019 en el artículo 4.
PASO 1:
PASO 2:
Por cada hito, las instituciones internamente deben elaborar la documentación respectiva y
mantenerla actualizada, esto permitirá verificar el cumplimiento de cada hito. Esta información
debe ser detallada en la ficha de cumplimiento, en el campo VERIFICABLE INTERNO (Los
documentos verificables pueden ser, por ejemplo: políticas, procedimientos, instructivos,
memorandos, oficios, informes técnicos, otros); en este mismo campo ingresar la ubicación,
es decir el lugar en donde reposa la documentación, por ejemplo: repositorio digital, archivo
físico. Se adjunta al presente el Ejemplo de Ficha de cumplimiento de hitos GPR (Anexo 2)
como referencia para el ingreso de la información en la ficha.
Nota: no se debe subir otro documento más que la ficha de cumplimiento, las evidencias serán validadas durante
el proceso de evaluación que será informada oportunamente.
PASO 3:
PASO 4:
Con el objetivo de facilitar el control a las partes, se deberá seguir la siguiente nomenclatura
para nombrar las Fichas de cumplimiento de hitos GPR (verificables) que se carguen al
sistema GPR:
EGSIV2_SiglasEntidad_NroHito_SecArchivo_FechadeCarga
en donde:
Ejemplos:
• EGSIV2_MINTEL_1.1.1_01_20220111.pdf
• EGSIV2_MINTEL_1.1.1_02_20220111.pdf
• EGSIV2_MINTEL_1.1.1_03_20220111.pdf
b) Reporte de un solo verificable por hito:
• EGSIV2_MINTEL_0.0.5_01_20220111.pdf
PASO 5:
Una vez definido los criterios para reportar los verificables, el siguiente paso es ingresar al
sistema GPR y subir la ficha de cumplimiento a cada hito.
PASO 6:
PASO 8:
PASO 9:
Ubicarse en la parte inferior de la ficha del proyecto y dar clic en la opción “Agregar Archivo
Anexo” como lo indica la siguiente figura:
PASO 10:
Hacer clic en “Examinar”, seleccionar el archivo PDF a subir, ingresar la “Descripción del
Archivo” con el mismo nombre del archivo cargado omitiendo la extensión “.pdf” y hacer clic
en la opción “Aceptar”.
PASO 11:
Ubicar la opción “Editar Hitos” y hacer clic.
PASO 12:
Ubicar en la columna “Hito Cumplido”, el hito respectivo y seleccionar “Si”, tal como lo indica
en la siguiente figura:
PASO 13:
Para el reporte de los verificables de cumplimiento de cada uno de los hitos homologados en
GPR, se debe utilizar la “Plantilla de la Ficha de cumplimiento de hitos GPR” que se encuentra
como Anexo 1 en el presente documento.
Considerar los lineamientos establecidos en el ítem 4 “Reporte del cumplimiento de los hitos
del proyecto EGSI V2.0 en GPR” que para este caso son los mismos.
De manera adicional revisar el detalle de las fechas comprometidas en la “Plantilla de los hitos
homologados GPR” que se encuentra como Anexo 3 en el presente documento. Estas fechas
se han establecido con el fin de garantizar el cumplimiento de los plazos establecidos en el
Acuerdo Ministerial No. 025-2019.
Nota: Las fechas para el cumplimiento de los hitos GPR 1.1.1 al 14.2.3, las debe definir cada institución
considerando el periodo establecido en las fechas comprometidas del Anexo 3 y considerando también que durante
este periodo se deberán reportar el cumplimiento de los 115 controles de seguridad a través de las fichas de
cumplimiento.
PASO 1:
PASO 2:
Por cada hito, las instituciones internamente deben elaborar la documentación respectiva y
mantenerla actualizada, esto permitirá verificar el cumplimiento de cada hito. Esta información
debe ser detallada en la ficha de cumplimiento, en el campo VERIFICABLE INTERNO (Los
documentos verificables pueden ser, por ejemplo: políticas, procedimientos, instructivos,
memorandos, oficios, informes técnicos, otros); en este mismo campo ingresar la ubicación,
es decir el lugar en donde reposa la documentación, por ejemplo: repositorio digital, archivo
físico. Se adjunta al presente el “Ejemplo de Ficha de cumplimiento de hitos GPR” (Anexo 2)
como referencia para el ingreso de la información en la ficha.
Nota: no se debe adjuntar al correo electrónico otro documento más que la ficha de cumplimiento, las evidencias
serán validadas durante el proceso de evaluación que será informada oportunamente.
PASO 3:
PASO 4:
Con el objetivo de facilitar el control a las partes, se deberá seguir la siguiente nomenclatura
para nombrar las Fichas de cumplimiento de hitos GPR (verificables) que se envíen a través
de correo electrónico:
EGSIV2_SiglasEntidad_NroHito_SecArchivo_FechadeEnvío
en donde:
SecArchivo: Número secuencial del verificable enviado. Para el caso de que exista
más de un verificable, se deberá utilizar un secuencial con el que se reporte el
cumplimiento del hito respectivo con un verificable adicional (único ejemplo: informe
técnico de no cumplimiento de hitos).
Ejemplos:
• EGSIV2_MINTEL_1.1.1_01_20220111.pdf
• EGSIV2_MINTEL_1.1.1_02_20220111.pdf
• EGSIV2_MINTEL_1.1.1_03_20220111.pdf
b) Reporte de un solo verificable por hito:
• EGSIV2_MINTEL_0.0.5_01_20220111.pdf
PASO 5:
Una vez definido los criterios para reportar los verificables a través de correo electrónico, el
siguiente paso es redactar el contenido del correo electrónico, adjuntar la ficha de
cumplimiento del hito a reportar e incluir la siguiente descripción de ejemplo como asunto:
Asunto: Reporte de avances EGSIV2_MINTEL_1.1.1_20220111
Nota: ingresar como parte del asunto el nombre del archivo, omitiendo la extensión “.pdf”, como muestra el ejemplo.
7. Control de cambios
Versión: 1.0
Nivel de
Bajo
confidencialidad:
8. Historial de cambios
ENTIDAD / (SIGLAS):
DENOMINACIÓN
NÚMERO DE HITO
GPR:
N+1
N1+1 UBICACIÒN
...
PIE DE RESPONSABILIDAD
FECHA ELABORACIÓN: dd/mm/aaaa
DENOMINACIÓN
Términos y condiciones laborales, firmados.
DEL HITO GPR:
NÚMERO DE HITO
3.1.2
GPR:
1 DEFINICIÓN: 0.0.1 Perfil de proyecto "Implementación EGSI versión 2.0", aprobado 5/2/2022
2 PLANEACIÓN: 0.0.2 Definición del Alcance, aprobado. 15/2/2022
3 PLANEACIÓN: 0.0.3 Plan de Comunicación y Sensibilización, aprobado. 28/2/2022
4 PLANEACIÓN: 0.0.4 Plan de evaluación Interna, aprobado. 5/3/2022
5 PLANEACIÓN: 0.0.5 Política de Seguridad de la información, aprobado. 15/3/2022
6 PLANEACIÓN: 0.0.6 Metodología de evaluación y tratamiento del riesgo, aprobado. 31/3/2022
7 EJECUCIÓN: 0.0.7 Informe de la Evaluación de los Riesgos, aprobado. 31/5/2022
8 EJECUCIÓN: 0.0.8 Declaración de Aplicabilidad (SoA), aprobada. 10/6/2022
9 EJECUCIÓN: 0.0.9 Plan de Tratamiento de los riesgos, aprobado. 15/6/2022
10 EJECUCIÓN: 1.1.1 Políticas de Seguridad de la Información, documentadas.
Desde:
EJECUCIÓN: 1.1.2 Revisión de las políticas para la seguridad de la información,
20/06/2022
11 actualizada.
EJECUCIÓN: 2.1.1 Compromiso de la máxima autoridad de la institución con la seguridad Hasta:
12 de la información, documentado e implementado. 20/10/2022
13 EJECUCIÓN: 2.1.2 Separación de funciones, documentado e implementado.
14 EJECUCIÓN: 2.1.3 Contacto con las autoridades, documentado e implementado.
EJECUCIÓN: 2.1.4 Contacto con los grupos de interés especial, documentado e
15 implementado.
16 EJECUCIÓN: 2.1.5 Seguridad de la Información en la gestión de proyectos, verificado.
EJECUCIÓN: 2.1.6 Consideraciones de la seguridad cuando se trata con ciudadanos o
17 clientes, identificados.
18 EJECUCIÓN: 2.2.1 Política de dispositivos móviles, documentada e implementada.
EJECUCIÓN: 2.2.2 Política de Teletrabajo y medidas de seguridad, documentada
19 implementada.
EJECUCIÓN: 3.1.1 Procedimiento para verificar antecedentes, documentado e
20 implementado.
21 EJECUCIÓN: 3.1.2 Términos y condiciones laborales, firmados.
22 EJECUCIÓN: 3.2.1 Responsabilidades de la Máxima Autoridad o su delegado, socializadas.
EJECUCIÓN: 3.2.2 Plan de Concienciación, educación y formación en seguridad de la
23 información, documentado e implementado.
24 EJECUCIÓN: 3.2.3 Proceso disciplinario, garantizado y socializado.
EJECUCIÓN: 3.3.1 Responsabilidades ante la finalización o cambio de empleo, definidas y
25 comunicadas.
26 EJECUCIÓN: 4.1.1 Inventario de activos, actualizado.
27 EJECUCIÓN: 4.1.2 Propiedad de los activos, asignado.
28 EJECUCIÓN: 4.1.3 Uso aceptable de los activos, documentado e implementado.
29 EJECUCIÓN: 4.1.4 Devolución de activos, documentado e implementado.
30 EJECUCIÓN: 4.2.1 Clasificación de la información, documentada.
31 EJECUCIÓN: 4.2.2 Etiquetado de la información, documentado e implementado.
32 EJECUCIÓN: 4.2.3 Manejo de los activos, documentado e implementado.
33 EJECUCIÓN: 4.3.1 Gestión de medios extraíbles, documentado e implementado.
EJECUCIÓN: 4.3.2 Procedimiento de eliminación de los medios, documentado e
34 implementado.
35 EJECUCIÓN: 4.3.3 Transferencia de medios físicos, documentado e implementado.
36 EJECUCIÓN: 5.1.1 Política de control de acceso, documentada e implementada.
37 EJECUCIÓN: 5.1.2 Acceso a redes y servicios de red, difundido.
38 EJECUCIÓN: 5.2.1 Registro y retiro de usuarios, documentado e implementado.
39 EJECUCIÓN: 5.2.2 Provisión de accesos a usuarios, documentado e implementado.
EJECUCIÓN: 5.2.3 Gestión de los derechos de acceso con privilegios especiales,
40 documentado e implementado.
EJECUCIÓN: 5.2.4 Gestión de la información confidencial de autenticación de los usuarios,
41 documentado e implementado.
42 EJECUCIÓN: 5.2.5 Derechos de acceso de usuario, revisado.
EJECUCIÓN: 5.2.6 Retiro o adaptación de los derechos de acceso, documentado e
43 implementado.
EJECUCIÓN: 5.3.1 Uso de la información confidencial para la autenticación, documentado e
44 implementado.
45 EJECUCIÓN: 5.4.1 Restricción del acceso a la información, implementado.
EJECUCIÓN: 5.4.2 Procedimientos seguros de inicio de sesión, documentados e
46 implementados.
47 EJECUCIÓN: 5.4.3 Política para la gestión de contraseñas, documentada e implementada.
EJECUCIÓN: 5.4.4 Uso de herramientas de administración de sistemas, documentado e
48 implementado.
49 EJECUCIÓN: 5.4.5 Control de acceso al código fuente del programa, implementado.
EJECUCIÓN: 6.1.1 Política de uso de los controles criptográficos, documentada e
50 implementada.
51 EJECUCIÓN: 6.1.2 Política para la Gestión de Claves, documentada e implementada.
52 EJECUCIÓN: 7.1.1 Perímetro de seguridad física, definido y documentado e implementado.
53 EJECUCIÓN: 7.1.2 Controles físicos de entrada, implementados.
54 EJECUCIÓN: 7.1.3 Seguridad de oficinas, despachos e instalaciones, implementado.
55 EJECUCIÓN: 7.1.4 Protección contra las amenazas externas y ambientales, implementado.
EJECUCIÓN: 7.1.5 Procedimiento para trabajo en áreas seguras, documentado e
56 implementado.
57 EJECUCIÓN: 7.1.6 Áreas de carga y entrega, implementado.
58 EJECUCIÓN: 7.2.1 Ubicación y protección de equipos, implementado.
59 EJECUCIÓN: 7.2.2 Instalaciones de suministro de energía sin interrupción, implementado.
60 EJECUCIÓN: 7.2.3 Seguridad del cableado (eléctrico y telecomunicaciones), implementado.
61 EJECUCIÓN: 7.2.4 Plan de Mantenimiento de los equipos, documentado e implementado.
EJECUCIÓN: 7.2.5 Salida de los activos fuera de las instalaciones de la institución,
62 documentado e implementado.
EJECUCIÓN: 7.2.6 Seguridad de los equipos y activos fuera de las instalaciones,
63 implementado.
EJECUCIÓN: 7.2.7 Seguridad en la reutilización o eliminación segura de dispositivos de
64 almacenamiento, implementado.
65 EJECUCIÓN: 7.2.8 Equipo informático de usuario desatendido, protección implementada.
EJECUCIÓN: 7.2.9 Política de puesto de trabajo despejado y pantalla limpia, documentado
66 e implementado.
67 EJECUCIÓN: 8.1.1 Procedimientos de operación, documentados e implementados.
EJECUCIÓN: 8.1.2 Procedimiento para la Gestión de cambios, documentado e
68 implementado.
69 EJECUCIÓN: 8.1.3 Monitoreo y ajuste de capacidades, documentado e implementado.
EJECUCIÓN: 8.1.4 Separación de ambientes de desarrollo, pruebas y producción,
70 documentado e implementado.
71 EJECUCIÓN: 8.2.1 Controles contra malware, documentado e implementado.
EJECUCIÓN: 8.3.1 Política de respaldos y copias de seguridad de la información,
72 documentada e implementada.
73 EJECUCIÓN: 8.4.1 Registro de eventos, documentado e implementado.
EJECUCIÓN: 8.4.2 Procedimiento para la protección de los registros de información,
74 documentado e implementado.
75 EJECUCIÓN: 8.4.3 Registros de administración y operación, documentado e implementado.
76 EJECUCIÓN: 8.4.4 Sincronización de relojes, implementado.
EJECUCIÓN: 8.5.1 Procedimiento para la instalación de software en sistemas en
77 producción, documentado e implementado.
EJECUCIÓN: 8.6.1 Política de monitoreo continuo, gestión de las vulnerabilidades técnicas,
78 documentada e implementada.
EJECUCIÓN: 8.6.2 Política para la restricción en la instalación de software, documentada e
79 implementada.
EJECUCIÓN: 8.7.1 Controles de auditoría de sistemas de información, documentado e
80 implementado.
EJECUCIÓN: 9.1.1 Administración y control de las redes para proteger la información,
81 implementado.
82 EJECUCIÓN: 9.1.2 Seguridad de los servicios de red, implementado.
83 EJECUCIÓN: 9.1.3 Separación en las redes, documentado e implementado.
EJECUCIÓN: 9.2.1 Políticas y procedimientos de transferencia de información,
84 documentado e implementado.
EJECUCIÓN: 9.2.2 Acuerdos de transferencia de información, documentados e
85 implementados.
EJECUCIÓN: 9.2.3 Políticas y Procedimientos para mensajería electrónica, documentados
86 e implementados.
87 EJECUCIÓN: 9.2.4 Acuerdos de confidencialidad o no revelación, elaborados y firmados.
EJECUCIÓN: 10.1.1 Análisis de requisitos y especificaciones de seguridad de la
88 información, documentado e implementado.
EJECUCIÓN: 10.1.2 Servicios de aplicaciones en redes públicas, asegurados e
89 implementados.
90 EJECUCIÓN: 10.1.3 Controles de transacciones en línea, implementados.
91 EJECUCIÓN: 10.2.1 Política de desarrollo seguro, documentada e implementada.
EJECUCIÓN: 10.2.2 Procedimientos de control de cambios en sistemas, documentados e
92 implementados.
EJECUCIÓN: 10.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el
93 sistema operativo, implementada.
EJECUCIÓN: 10.2.4 Restricciones a los cambios en los paquetes de software,
94 documentado e implementado.
EJECUCIÓN: 10.2.5 Principios de ingeniería de sistemas seguros, documentado e
95 implementado.
96 EJECUCIÓN: 10.2.6 Ambiente de desarrollo seguro, implementado.
97 EJECUCIÓN: 10.2.7 Desarrollo externalizado, supervisado y monitoreado.
98 EJECUCIÓN: 10.2.8 Pruebas de seguridad del sistema, documentado e implementado.
99 EJECUCIÓN: 10.2.9 Pruebas de aceptación de sistemas, documentado e implementado.
100 EJECUCIÓN: 10.3.1 Protección de los datos de prueba, implementado.
EJECUCIÓN: 11.1.1 Política de seguridad de la información en las relaciones con los
101 proveedores, documentada e implementada.
EJECUCIÓN: 11.1.2 Requisitos de seguridad en contratos con terceros, documentados e
102 implementados.
EJECUCIÓN: 11.1.3 Requisitos de Seguridad en la cadena de suministro de tecnologías de
103 la información y de las comunicaciones, documentados e implementados.
EJECUCIÓN: 11.2.1 Monitoreo y revisión de los servicios de proveedores, documentado e
104 implementado.
EJECUCIÓN: 11.2.2 Proceso de Gestión de cambios en los servicios de proveedores,
105 documentado e implementado.
EJECUCIÓN: 12.1.1 Responsabilidades y procedimientos en la Gestión de Incidentes de
106 Seguridad de la Información, documentado e implementado.
EJECUCIÓN: 12.1.2 Reporte de los eventos de seguridad de la información, documentado e
107 implementado.
EJECUCIÓN: 12.1.3 Reporte de debilidades de seguridad de la información, documentado e
108 implementado.
EJECUCIÓN: 12.1.4 Apreciación y decisión sobre los eventos de seguridad de la
109 información, documentado e implementado.
EJECUCIÓN: 12.1.5 Procedimiento de respuesta a incidentes de seguridad de la
110 información, documentado e implementado.
EJECUCIÓN: 12.1.6 Aprendizaje de los incidentes de seguridad de la información,
111 implementado.
EJECUCIÓN: 12.1.7 Procedimiento para la recopilación de evidencias, documentado e
112 implementado.
EJECUCIÓN: 13.1.1 Planificación de la continuidad de seguridad de la información,
113 documentado e implementado.
114 EJECUCIÓN: 13.1.2 Continuidad de seguridad de la información, implementado.
EJECUCIÓN: 13.1.3 Controles de continuidad de seguridad de la información, verificado,
115 revisado y evaluado.
EJECUCIÓN: 13.2.1 Disponibilidad de las instalaciones de procesamiento de la información,
116 implementado.
EJECUCIÓN: 14.1.1 Identificación de la legislación aplicable y de los requisitos
117 contractuales, documentado e implementado.
EJECUCIÓN: 14.1.2 Procedimiento para el cumplimiento de derechos de propiedad
118 intelectual, documentado e implementado.
EJECUCIÓN: 14.1.3 Procedimiento para la protección de los registros, documentado e
119 implementado.
EJECUCIÓN: 14.1.4 Política de protección y privacidad de la información de carácter
120 personal, documentado e implementado.
121 EJECUCIÓN: 14.1.5 Reglamento de controles criptográficos, documentado e implementado.
EJECUCIÓN: 14.2.1 Revisión independiente de seguridad de la información, documentado
122 e implementado.
EJECUCIÓN: 14.2.2 Cumplimiento de las políticas y normas de seguridad, documentado e
123 implementado.
EJECUCIÓN: 14.2.3 Procedimiento de comprobación del cumplimiento técnico,
124 documentado e implementado.
125 EJECUCIÓN: 0.0.10 Informe de los indicadores de la gestión del EGSI v2, aprobado 1/11/2022
126 EJECUCIÓN: 0.0.11 Informe de la evaluación interna del EGSI v2, aprobado 15/11/2022
EJECUCIÓN: 0.0.12 Informe de los resultados de la revisión de la gestión del EGSI,
30/11/2022
127 aprobado.
EJECUCIÓN: 0.0.13 Informe de los resultados de las medidas correctivas aplicadas,
15/12/2022
128 documentado.
CIERRE: 0.0.14 Informe de cierre del proyecto "Implementación EGSI versión 2.0",
31/12/2022
129 aprobado.