Análisis del cumplimiento de los requisitos de la Norma ISO 27001 - 2013: Sistema de Gestión de seguridad de la información

No Requisitos normativo NTC: ISO 27001 - 2013 Análisis de cumplimie

0% 25%
4 CONTEXTO DE LA ORGANIZACIÓN
4,1 Conocimiento de la organización y de su contexto
Se determinan las cuestiones externas e internas que son pertinentes para su
propósito y que afectan su capacidad para lograr los resultados revistos de su
sistema de gestión de la seguridad de la información?
4,2 Comprensión de las necesidades y expectativas de las partes interesadas
Se determinan las partes interesadas que son pertinentes al sistema de gestión de la
seguridad de la información?
Se determinarn los requisitos de estas partes interesadas pertinentes a seguridad de
la información.?
4,3 Determinación del alcance del sistema de gestiónde la seguridad de la información
Se determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de
la información para establecer su alcance?
Al determinar el alcance se consideran las cuestiones externas e internas referidas
en el numeral 4.1?
Se consideran los requisitos referidos en el numeral 4.2?
Se consideran las interfaces y dependencias entre las actividades realizadas por la
organización, y las que realizan otras organizaciones?
* Esta disponible como información documentada?
4,4 Sistema de gestión de la seguridad de la información
Se establecen, implementan, mantienen y merjoran continuamente el SGSI, de
acuerdo con los requisitos de esta norma?
5 LIDERAZGO
5,1 Liderazgo y compromiso

La alta direccion demuesta liderazgo y compromiso con respecto al SGSI a traves de:

Asegura que se establezca una politica de SGSI, objetivos de seguridad de la

informacion y su compatibilidad con el direccionamiento estrategico de la
organización?

Asegura de la integración de los requisitos del SGSI con los procesos de la

organización?

Asegura de que los recursos necesarios para el SGSI estan disponibles?

Comunica la importacion de una gestion de seguridad de la informaicon eficaz y de
la conformidad con los requisitos del SGSI?

Asegura que el SGSI logre los objetivos propuestos?

 Dirige y apoya a las personas para contribuir a la eficacia del SGSI?

Promueve la mejora continua?

Apoya a otros roles pertinentes de la direccion, para demostrar su liderazgo

aplicado a sus areas de responsabilidad?

5,2 Política
LA alta direccion establece una politica de seguridad de la informacion que cumpla
con los siguientes requisitos:
Es adeucada al proposito de la organización?

Incluye los objetivos de seguridad de la información o proporciona el marco de

referencia para el establecimiento de los objetivos de seguridad de la información?

Incluye el compromiso de cumplir los requisitos aplicables relacionados con la

seguridad de la información?
Incluye el compromiso con la mejora continua del SGSI?

La polita de seguridad establecida:

* Esta disponible como información documentada?

Se comunica dentro de la organización?

Esta disponible para las partes interesadas según sea apropiado

5,3 Roles, responsabilidades y autoridades en la organización
La alta direccion se asegura de que las responsabilidades y autoridades para los roles
pertinentes a la seguridad de la información se asignen y comuniquen?

Se asignan responsabilidades y autoridades para:

Se aseguraren de que el sistema de gestión de la seguridad de la información sea
conforme con los requisitos de esta Norma
Se Informe a la alta dirección sobre el desempeño del sistema de gestión de la
seguridad de la información
6 PLANIFICACIÓN
6,1 Acciones para tratar riesgos y oportunidades
6,1,1 Generalidades
Al planificar el SGSI la organización considera las cuestiones referidas en el numeral
4.1 y los requisitos a que se hace referencia en el numeral 4.2, y determina los
riesgos y oportunidades que es necesario tratar?
Con lo anterior se logra:
 Asegurar que el SGSI pueda lograr sus resultados previstos?

Se previene o reducen los efectos indeceados?

Se logra la mejora continua?

La organización planifica:

Las acciones para tratar los riesgos y oportunidades?

La manera de integrar e implementar esas acciones en sus procesos del SGSI?

La forma de evaluar la eficacia de estas acciones?

6,1,2 Valoración de riesgos de la seguridad de la información

La Organización cuenta con un proceso de gestion de riesgos?
Este proceso establece y mantiene criterios de riesgo de seguridad de la información
para la aceptación de los riesgos?
Este proceso establece y mantiene criterios de riesgo de seguridad de la información
para la valoración de los riesgos?
Se aseguran que las valoraciones repetidas de los riesgos de seguridad de la
informacion produzcan resultados consistente, validos y comparables?
Se identtifican los riesgos de seguridad de la información?
Se aplica un proceso de valoración a los riesgos de seguridad de la informacion para
identificar los riesgos asociados con la perdida de confidencialidad de información
dentro del alcance del SGSI?
Se aplica un proceso de valoración a los riesgos de seguridad de la informacion para
identificar los riesgos asociados con la perdida de integridad de información dentro
del alcance del SGSI?
Se aplica un proceso de valoración a los riesgos de seguridad de la informacion para
identificar los riesgos asociados con la perdida de disponibilidad de información
dentro del alcance del SGSI?
Se identifican los dueños de los riesgos?
Se realiza un analisis a los riesgos identificados?
Se valoran las consecuencias potenciales, que resultaran si se materializaran los
riesgos identificados?
Se valora la probabilidad realista de que ocurran los riesgos identificados?
Se determinan el nivel de cada riesgo?
Se realizá una evaluación a los riesgos de la informaicón?
Se realiza una comparación de los resultados del análisis de los riesgos con los
criterios establecidos?
Los riesgos analizados son priorizados para establecer su tratamiento?
Se conserva la informacion documentada acerca del proceso de valoración de los
*
riesgos de seguridad de la información?
6,1,3 Tratamiento de riesgos de la seguridad de la información
 Se cuenta con un proceso definido y aplicado para el tratamiento de los riesgos de
seguridad de la informaicón?
Las opciones de tratamiento seleccionadas, estan basadas en los resultados de la
valoración previa?
Se determinan los controles necesarios para la implementacion de las acciones
escogidas para el tratamiento de los riesgos?
Se hace una validacion de los controles implementados Vs. El Anexo A de la norma
ISO 27001? (con el fin de que no sean omitidos controles necesarios)
Se cuenta con una declaracion de aplicabilidad que contenga los controles
necesarios, inclusiones y exclusiones, junto con su justificación?

Se cuenta con un plan de tratamiento los riesgos de seguridad de la información?

Los Dueños de los riesgos han aprobado el plan de tratamiento de seguridad de la

información?
Los Dueños de los riesgos han aceptado los riesgos residuales de seguridad de la
información?
Se conserva la informacion documentada acerca del proceso de tratamiento de los
*
riesgos de seguridad de la información?
6,2 Objetivos de seguridad de la información
Se cuentan con objetivos de seguridad de la informacion en las funciones y niveles
pertinentes?
Los objetivos de seguridad de la información son?:
Son coherente con la politica de seguridad de la informaciön?
Son medibles?
Se tuvieron en cuenta los requisitos de seguridad de la información los
resultados de la valoración y del tratamiento de los riesgos?
Son comunicados estos objetivos en los niveles pertinentes?
Son actualizados según sea apropiado?
* Se conserva información documentada sobre estos objetivos?
Se determinan los siguietnes items, al momento de realizar la planificación para
lograr los objetivos de seguridad de la información?
Se define de forma clara lo que se va a hacer?
Se definen los recursos necesarios para lograr los objetivos?
Se definen el o los responsables del cumplimiento de estos objetivos?
Se establece la fecha limite para su cumplimiento (cuando finalizará)?
Se cuenta con metodologia del como se evaluaran los resultados?
7 SOPORTE
7,1 Recursos
Se determinan y proporcionan los recursos necesarios para: establecer,
implementar, mantener y mejorar continuamente el SGSI?
7,2 Competencia
Se determina la compentecia necesaria de las personas que realizan, bajo su control,
un trabajo que afecte el desempeño de la seguridad de la información?
 Las personas contratadas cuentan con la educación, formación o experiencia
establecidas?
Se toman acciones para adquirir la competencia necesaria y evaluar
la eficacia de las acciones tomadas?
Se conservar la información documentada apropiada, como evidencia de la
*
competencia?
7,3 Toma de conciencia
Los colaboradores son concientes de la importancia de la politica de seguridad de la
informacion y toman conciencia de esta?

Los colaboradores son concientes de su efecto y contribución a la eficacia del SGSI?

Los colaboradores son concientes de su contribución a la mejora del desempeño del
SGSI?
Los colaboradores son concientes de las implicaciones de la no conformidad con los
requisitos del SGSI?
7,4 Comunicación
Se determinan las necesidades de comunicación internas y externas del SGSI?
Se cuenta con una metodologia para la indentificacion de la informacion a
comunicar?
Se define cuando se debe comunicar?
Se define a quienes se debe comunicar?
Se defienen el o los responsables de realizar estos comunicados?
Se cuenta con un proceso para llevar a cabo estas comunicaiones?
7,5 Información documentada
7,5,1 Generalidades
El SGSI contiene la información documetnada requerida por la Norma ISO 27001 -
2013?
El SGSI contiene la información documetnada que se haya determinado que es
necesaria para garantizar la eficacia del SGSI?
La informacion documentada es acorde al tipo de organización?
7,5,1 Creación y actualización
La informacion documentada al ser creada y/o actualizada, es identificada y cuenta
con una descripción?
Se cuenta con un formato establecido según el tipo de informacion documentada?
Se defienen los medios de soporte (fisico, magnetico) para la información
documentada?
7,5,1 Control de la información documentada
La información documentada esta disponible y es adecuada para su uso, donde y
cuando se necesite?

La informacion documentada es protegida adecuadamente (por ejemplo, contra

pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad)?

Se aplican los siguientes controles cuando es aplicable?

 Distribución, acceso, recuperación y uso
Almacenamiento y preservación, incluida la preservación de la legibilidad
Control de cambios (por ejemplo, control de versión); y
Retención y disposición.
La informacion documentada de origen necesaria para la planeación y operación del
SGSI es identificada y controlada?
8 OPERACIÓN
8,1 Planificación y control operacional
Se planifican, implementan y controlan los procesos necesarios para cumplir con los
requisitos de seguridad de la información?
Se planifican, implementan y controlan los procesos necesarios para implementar las
acciones para tratar los riesgos y oportunidades?
Se implementan planes para lograr los objetivos de seguridad de la información
establecidos?
Se conserva informacion docuentada como evidencia de que los procesos se han
*
ejecutado según lo planificado?
Son controlados los cambios planificados?
Se revisan las consecuencias de los cambios no previstos?
Se toman acciones para mitigar los efectos adversos, cuando sea
necesari?.
Se controlan los procesos contratados externamente?
8,2 Valoración de riesgos de la seguridad de la información
Se llevan a cabo valoraciones de riesgos de la seguridad de la información a
intervalos planificados o cuando se propongan u ocurran cambios significativos?

Se conserva información documentada de los resultados de las

*
valoraciones de riesgos de la seguridad de la información?
8,3 Tratamiento de riesgos de la seguridad de la información
Se implementan planes para el tratamiento de los riesgos de la seguridad de la
información?
Se conserva informacion documentada de los resultados del tratamiento de los
riesgos de seguridad de la información?
9 EVALUACIÓN DEL DESEMPEÑO
9,1 Seguimiento, medición, análisis y evaluación
Se evalua el desempeño de la seguridad de la información y la eficacia del SGSI?

Se determinan a que es necesario realizar seguimiento, que es necesario medir,

incluidos los procesos y controles de la seguridad de la información?
Se cuentan con métodos de seguimiento, medición, análisis y evaluación, según sea
aplicable, para asegurar resultados válidos?
Los metodos establecidos producen resultados comparables y reproducibles?

Se tienen establecidos los periodos para llevar a cabo el seguimiento y la medición?

Se tiene definido quién debe llevar a cabo el seguimiento y la medición?

 Se establece cuándo se deben analizar y evaluar los resultados del seguimiento y de
la medición?
Se tiene definido quién debe analizar y evaluar estos resultados?
Se conserva información documentada apropiada como evidencia de los resultados
*
de monitoreo y de la medición?
9,2 Auditoría interna
Se realizan auditorias internas al SGSI a intervalos planificados?
Las auditorias relizadas validan la conformidad con los requisitos propios de la
organización para el SGSI?
Las auditorias envaluan la conformidad ocn los requisitos de la ISO 27001 - 2013?

Se verifica que el SGSI, esté implementado y mantenido eficazmente?

Se planifican, establecen, implementan y mantienen uno o varios programas de
auditoria?
Estos programas de auditoria incluyen: Frecuencia, metodos, responsabilidades,
requisitos de planificacion y elaboración de informes?
El programa de uditoria considera la importancia de los procesos involucrados y los
resultados de auditorias previas?
Se definen previamente los criterios y el alcance de cada auditoria?
Los auditores seleccionados son agenos al proceso a auditar?
Los resultados de las auditorias son informados a la direccion pertinente?
Se conserva informacion documentada como evidencia de la implementacion del
*
programa de auditorias y los resultados de esta?
9,3 Revisión por la dirección
La alta direccion realiza reivisiones al SGSI a intervalos planificados?
A traves de estas revisiones la alta direccion se asegura de su conveniencia,
adecuacion eficacia continuas?
La revisión por la dirección incluye lo siguiente:
El estado de las acciones, derivadas de las revisiones previas?
Cambio en cuestiones internas y externas que afecten el SGSI?
Retroalimentaciones sobre el desempeño de la seguridad de la información icluido lo
siguiente?
Retroalimentacion sobre el estado y gestión de las no conformidades y acciones
correctivas?
Retroalimentacion sobre los seguimientos y resultados de las mediciones?
El resultado de las auditorias relaizadas?
El cumplimiento de los objetivos de la seguridad de la información?
Se incluye en el informe la retroalimentacion proporcionada por las partes
interesadas?
Se incluyen los resultados de la valoracion de riesgos y el estado del plan de
tratamiento de riesgos?
Se incluyen consideraciones sobre oportunidades de mejora?
 Los resultados de las revisiones incluye las decisiones relacionadas con las
oportunidades de mejora y necesidades de cambio del SGSI?
Se conserva información documentada como evidencia de los resultados de las
revisiones por la dirección?
10 MEJORA
10,1 No conformidades y acciones correctivas
Se cuenta con una metodologia establecida para el tratamiento de no
conformidades?
Se reacciona ante una no conformidad, según se aplicable?
Se toman las acciones pertinentes para cotrolarla y corregirla?
Se hace frente a las consecuencias?
Se evaluan la necesidad de las acciones para eliminar las causas de las no
conformidades, a traves de?
Una revision de la no conformidad
Determinar las causas de la no conformidad
Determinar si existen no conformidades similares, o que potencialmente pudieran
ocurrir
Se implmenentan las acciones necesarias?
Se realiza revision de la eficacia de las acciones correctivas tomadas?
De ser necesario se realizan los cambios en el SGSI?
Las acciones correctivas son apropiadas a los efectos de las no conformidades
encontradas?
Se conserva informacion documentada como evidencia de la naturaleza de las no
*
conformidades y cualquier accion posterior?
Se conserva informacion documentada de los resultados de la gestión de las acción
*
correctiva?
10,2 Mejora continua
Se mejora continuemante la conveniencia adecuación y eficacia del SGSI?
guridad de la información

Análisis de cumplimiento RECOMENDACIONES

50% 75% 100%

ANÁLISIS PESTAL
DOFA
5 FUERZAS DE PORTER

Identificacion de partes intersadas, analisis de influencia e

identificacion de necesidades / expectativas

Documentación del alcance del SGSI

Mapa de procesos

Politica del SGSI

Objetivos del SGSI (alineados con la planeacion estrategica)

Identificación de requisitos aplicables a cada proceso

Comunicaicon a dueños y miembros de cada proceso
Matriz de requsitos aplicables por proceso y forma de
cumplimiento
Mapa de procesos - Liderez de proceso
Presupuesto paral el SGSI

Programa de sencibilización

Cronograma de implementación y mantenimiento del SGSI,

indicadores, actividades de seguimiento (revisiones por la
dirección, comites, auditorias de primera parte, etc)
Seguimiento a las activiaddes desarrolladas (comites)
Evaluacion de resultados
Planes de mejoramiento
Programa de motivación (salario emocional)
Programa de sencibilización
Seguimiento a las activiaddes desarrolladas (comites)
Evaluacion de resultados
Planes de mejoramiento
Programa de motivación (salario emocional)

Alineada con la planeación estrategica

Identificacion de los objetivos dentro de la politica de seguridad
de la información
Matriz de correlación Politica vs. Objetivos
Identificaion clara del compromiso frente al cumplimiento de
requisitos
Identificaion clara del compromiso frente a la mejora continua

Documentación del politica del SGSI (Intranet, cartel interno,

etc)
Plan de capacitación / Inclusion en plan de inducción y
reinducción
Publicacion en medios visbles (Impresa y lugar visible en la
organización, pagina web, brochre´s,etc)

Identificacion de reponsabilidades en: Pefiles de cargo, manual

de responsabilidades, contratos laborales, procedimientos, etc

Responsable asignado del SGSI

Responsable asignado del SGSI

Programa de gestión del SGSI, que incluya a demas de lo

mencionado, actividades de seguimiento, inspecciones,
reponsabilidades, cronograma, etc
Actividades de seguimiento y planes de acción según resultados
obtenidos
Gestión de riesgos
Planes de acción derivados de la gestión de riesgos y
oportunidades de mejora, implementados y validados

Planes de acción acordes a cada riesgo y/o oportunidad de

mejora (prioridad, recursos, deicion estrategica, etc)
Enfoque por procesos; Mapa de procesos - Liderez de proceso -
requisitos aplicables, etc
Seguimiento periodico a cada riesgo (según prioridad y
clasificación; asumido, trasladado, etc), para validar su
efectividad.