Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Antecedentes Generales Complete la información que a continuación se describe, estableciendo la totalidad de la información que posea a su alcance. Misión Visión Valores Objetivos Estratégicos 1. 2. 3. 4. (completar todos los que posea) Clientes Claves 1. 2. 3. 4. (completar todos los que posea) Servicios Críticos 1. 2. 3. 4. (completar todos los que posea) Procesos Críticos 1. 2. 3. 4. (completar todos los que posea) Tecnologías Criticas 1. 2. 3. 4. (completar todos los que posea) Proveedores Críticos 1. 2. 3. 4. (completar todos los que posea) Estructura Organizacional Para el dimensionamiento de un Sistema de Gestión, junto con conocer los procesos y actividades claves es importante conocer la estructura organizacional existente. Se requieren principalmente dos elementos: 1) Organigrama · El cual incluya la cantidad de personal de cada unidad funcional 2) Perfiles de cargo · Descripción de funciones de cada cargo establecido en la organización En caso de no posee los perfiles de cargos, se solicitará un detalle de alguno de los cargos claves. Curso de Implementación ISO 27.001 - Capacitación USACH Curso de Implementación ISO 27.001 - Capacitación USACH Cuestionario de Control Sistema de Gestión Contexto de la Organización Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 4.1 ¿La organización ha desarrollado análisis que le posibiliten comprender el entorno interno y externo de su organización? No cumple · Análisis FODA - POAM · Análisis PESTEL · 5 Fuerzas de Porter · Análisis de Riesgo · Arquitectura Empresarial 4.2 ¿La organización ha establecido los requisitos de sus partes interesadas en términos de la calidad y seguridad de sus productos y servicios? No cumple · Mapa de Stakeholder · Requisitos de Negocio · Requisitos de Servicios · Requisitos de Productos · Requisitos atención al cliente 4.3 ¿La organización posee una definición sobre el alcance del Sistema de Gestión de la familia ISO? No cumple · Un alcance definido que considere áreas, procesos, servicios, productos y/o proyectos. 4.4 ¿La organización ha desarrollado un esquema de macroprocesos que posibilite la comprensión de entradas y salidas de los procesos en la organización? No cumple · Esquema de Macroprocesos 4.4 ¿La organización cuenta con procedimientos documentados con definiciones de: objetivos, responsables, riesgo e indicadores? No cumple · Procedimientos documentados Liderazgo Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 5.1 ¿La dirección desarrolla el liderazgo para alcanzar los niveles de calidad y seguridad de la información definiendo objetivos, proveyendo los recursos, definiendo responsabilidades, capacitando y revisando continuamente los resultados? No cumple · Definición de objetivos · Establecimiento de presupuesto · Planes de formales de implementación · Plan de capacitación · Revisión de objetivos 5.2 ¿La organización cuenta con políticas y objetivos de calidad y seguridad de la información adecuados y vinculadas con el contexto interno/externo y los objetivos definidos? No cumple · Política y objetivos de Calidad · Política y objetivos de Seguridad de la Información 5.3 ¿La organización ha establecidos roles, responsabilidades y las acciones que deban desarrollar sus colaboradores para alcanzar los objetivos de calidad y seguridad de la información? No cumple · Organigrama · Roles y responsabilidades · Perfiles de Cargo Planificación Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 6.1 ¿La organización cuenta con definiciones que posibiliten gestionar los riesgos y oportunidades que posibiliten alcanzar los objetivos establecidos? No cumple · Marco de Gestión de Riesgo · Proceso de Gestión de Riesgo · Apetito y tolerancia al Riesgo 6.1 ¿La organización cuenta con los mecanismos que posibiliten gestionar los riesgos y oportunidades en sus procesos y/o activos de información? No cumple · Marco de Gestión de Riesgo · Proceso de Gestión de Riesgo · Matriz de Riesgos · Plan de Tratamiento de Riesgos · Declaración de Aplicabilidad de Controles (SoA) 6.1 ¿La organización cuenta con los mecanismos que posibiliten gestionar los riesgos y oportunidades en sus procesos y/o activos de información? No cumple · Marco de Gestión de Riesgo · Proceso de Gestión de Riesgo · Matriz de Riesgos · Plan de Tratamiento de Riesgos · Declaración de Aplicabilidad de Controles (SoA) 6.2 ¿La organización establece sus objetivos de calidad y/o seguridad de la información en sus procesos? No cumple · Procesos · Definición de Objetivos 6.2 ¿La organización define en sus objetivos de calidad y/o seguridad de la información a responsables, recursos necesarios, mecanismos de revisión y evaluación? No cumple · Procesos · Definición de Objetivos Recursos de Apoyo/Soporte Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 7.2 ¿La organización desarrolla un plan de capacitación a su personal en materias de calidad y/o seguridad de la información basado en las competencias requeridas para el desarrollo de funciones? No cumple · Plan de capacitación · DNC (Detección de necesidades de capacitación) · Cursos/talleres desarrolladas 7.3 ¿La organización desarrolla un plan de concientización a su personal en materias de calidad y/o seguridad de la información basado en las funciones que desempeñan? No cumple · Plan de concientización · Actividades de concientización 7.4 ¿La organización ha establecidos los mecanismos de comunicación internas y externas sobre cuestiones pertinentes a la gestión de calidad y seguridad de la información? No cumple · Plan de comunicación · Comunicados e informativos · Mailing corporativos 7.5 ¿La organización ha establecidos los mecanismos para la gestión documental de políticas, procedimientos, instructivos y registros de la gestión de calidad y seguridad de la información? No cumple · Procedimiento de gestión documental · Gestión de información documentada 7.5 ¿La organización en su procedimiento de gestión documental ha establecido los mecanismos de distribución, accesos, uso, almacenamiento, control de cambios, retención, revisión y aprobación? No cumple · Procedimiento de gestión documental · Gestión de información documentada Operación (para la Gestión de Calidad) Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 8.1 ¿La organización planifica, implementa, controla y documenta los procesos necesarios para cumplir con los requisitos internos y externos establecidos? No cumple · Definición de Procesos · Procedimientos documentados · Revisión de la dirección 8.2 ¿La organización establece mecanismos de comunicación con los clientes proporcionado información relativa a productos y servicios, gestionando sus consultas/quejas y estableciendo requisitos para las acciones de contingencia (en caso de ser requeridos)? No cumple · Procedimientos de Atención al Cliente · Mesa de Ayuda · Gestión de clientes 8.2 ¿La organización en la definición los requisitos para productos y servicios considera requisitos legales e internos considerados necesarios por la organización para poder cumplir con los niveles de calidad y seguridad de la información que ofrece? No cumple · Requisitos de productos y/o servicios 8.2 ¿La organización en la definición los requisitos para productos y servicios considera los requisitos del cliente, requisitos legales, requisitos internos y aquellos requisitos no establecidos por el cliente para poder cumplir con los niveles de calidad y seguridad de la información que ofrece? No cumple · Requisitos de productos y/o servicios Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 8.3 ¿La organización establece,implementa, mantiene y controla un proceso de diseño, desarrollo y puesta a disposición de sus productos y servicios? No cumple · Proceso y procedimientos de diseño y desarrollo de productos y servicios 8.3 ¿La organización en el proceso de diseño, desarrollo y puesta a disposición de sus productos y servicios considera la gestión de las entradas, riesgos, controles, salida y cambios de manera documentada y formal? No cumple · Proceso y procedimientos de diseño y desarrollo de productos y servicios 8.4 ¿La organización establece los mecanismos de control de los procesos, productos y servicios externamente contratados? No cumple · Gestión de proveedores · Matriz de servicios · Controles sobre proveedores externos 8.5 ¿La organización implementa un proceso para la producción y provisión de los productos y servicios bajo condiciones controladas, los cuales posibilitan la identificación y trazabilidad de las operaciones, el cuidado con la propiedad de clientes, la preservación de la información y el control de cambios? No cumple · Proceso y procedimientos de producción y provisión de productos y servicios 8.6 8.7 ¿La organización implementa un proceso para la entrega de productos y servicios el cual considera el control de resultados no conformes? No cumple · Proceso y procedimientos de entrega de productos y servicios 1. Operación (para la Gestión de Seguridad de la Información) Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 8.1 ¿La organización desarrolla los procesos para planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de seguridad de la información y los riesgos identificados? No cumple · Proceso de planificación, implementación y control del SGSI. · Plan de implementación de SGSI 8.2 ¿La organización efectúa la identificación, análisis y evaluación de riesgos (Apreciación al riesgo) de seguridad de la información de manera periódica? No cumple · Marco de Gestión de Riesgo · Proceso de Gestión de Riesgo · Matriz de Riesgos 8.2 ¿La organización realiza la implementación de un plan de tratamiento de riesgos de seguridad de la información en concordancia con su apetito de riesgo? No cumple · Plan de Tratamiento de Riesgos · Declaración de Aplicabilidad de Controles (SoA) Evaluación de Desempeño Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 9.1 ¿La organización realiza el seguimiento, medición, análisis y evaluación del desempeño, eficiencia y eficacia de la gestión de calidad y/o seguridad de la información? No cumple · Revisión de la dirección · Evaluación de resultados · Análisis de desviaciones 9.1 ¿La organización establece para la gestión de sus objetivos: responsables, métodos de evaluación y mecanismos de seguimiento? No cumple · Revisión de la dirección · Evaluación de resultados · Análisis de desviaciones 9.2 ¿La organización dispone de la función y/o personal para el desarrollo auditorías internas periódicas a la gestión de calidad y/o seguridad de la información? No cumple · Plan de auditoría · Programas de auditorías 9.2 ¿La organización desarrolla de manera periódica un plan de auditoría interna a la gestión de calidad y/o seguridad de la información, el cual se desarrolla en torno a uno o más programas de auditorías? No cumple · Plan de auditoría · Programas de auditorías 9.3 ¿La dirección revisa en intervalos planificados los resultados de la gestión de calidad y/o seguridad de la información? No cumple · Revisión de la dirección · Evaluación de resultados · Análisis de desviaciones 9.3 ¿La revisión de la dirección considera los cambios en el contexto interno/externo, no conformidades, auditorías internas y el cumplimiento de objetivos? No cumple · Revisión de la dirección · Evaluación de resultados · Análisis de desviaciones · Resultados de auditorías Mejora Continua Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento 10.1 ¿La organización gestiona el incumplimiento de los requisitos (no conformidad) en sus políticas y procedimientos de manera regular? No cumple · Gestión de no conformidades · Análisis de causas 10.2 ¿La organización establece los mecanismos para la revisión y resolución de cualquier no conformidad de los requisitos en sus políticas y procedimientos establecidos? No cumple · Gestión de no conformidades · Análisis de causas · Cierre de no conformidades Políticas y Procedimientos de Seguridad de la Información A continuación, se presenta un listado de las políticas, marcos de referencia y procedimientos de mayor uso y adopción en la ISO 27.001 e ISO 27.002. Es preciso señalar que una implementación de la norma no es requerida la definición e implementación que a continuación se describen, lo cual estará determinado por el alcance del sistema de gestión y los riesgos gestionados. Req. Política/Marco/Procesos/Procedimiento Cumplimiento Observaciones 5.2 Política de Seguridad de la Información No definida 6.1.2 Marco y proceso de gestión de riesgos No definida A.6.2.1 Política de Dispositivos Móviles No definida A.6.2.2 Política de Teletrabajo No definida A.7.1.1 Procedimiento de contratación de personal No definida A.7.3.1 Procedimiento de desvinculación de personal No definida A.8.2.2 Política de clasificación de información No definida A.9.1.1 Política de control de accesos No definida A.10.1.1 Política de uso de controles criptográficos No definida A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia No definida A.12.2.1 Política de protección antes el software malicioso No definida A.12.3.1 Política de copias de seguridad y respaldos No definida Req. Política/Marco/Procesos/Procedimiento Cumplimiento Observaciones 12.6.1 Política de gestión de vulnerabilidades técnicas Parcialmente Definida 12.6.2 Política de restricción de instalación de software No definida 13.1.1 Política de seguridad en las comunicaciones No definida 13.2.1 Política de intercambio de información No definida 14.2.1 Política de desarrollo seguro No definida 14.2.2 Procedimiento de control de cambios No definida 15.1.1 Procedimiento de seguridad de la información en las relaciones con los proveedores No definida 16 Política y procedimiento para la gestión de incidentes No definida 17 Política y procedimiento para la gestión de continuidad No definida 18.1.4 Política y procedimiento para la gestión de información personal No definida
Compartir