Logo Studenta

5 - Analisis GAP ISO 9001-ISO27001

Seguridad Informática

SIN SIGLA

0
Dislike0
0
Dislike0
Comment0
User badge image

mario_roldan123

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

LikeFooter
DislikeFooter

Seguridad Informática

3986 Materiales compartidos

mobile

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

Antecedentes Generales
Complete la información que a continuación se describe, estableciendo la totalidad de la información que posea a su alcance.
	Misión
	
	Visión
	
	Valores
	
	Objetivos Estratégicos
	1. 
2. 
3. 
4. 
(completar todos los que posea)
	Clientes Claves
	1. 
2. 
3. 
4. 
(completar todos los que posea)
	Servicios Críticos
	1. 
2. 
3. 
4. 
(completar todos los que posea)
	Procesos Críticos
	1. 
2. 
3. 
4. 
(completar todos los que posea)
	Tecnologías Criticas
	1. 
2. 
3. 
4. 
(completar todos los que posea)
	Proveedores Críticos
	1. 
2. 
3. 
4. 
(completar todos los que posea)
Estructura Organizacional
Para el dimensionamiento de un Sistema de Gestión, junto con conocer los procesos y actividades claves es importante conocer la estructura organizacional existente.
Se requieren principalmente dos elementos:
1) Organigrama
· El cual incluya la cantidad de personal de cada unidad funcional
2) Perfiles de cargo
· Descripción de funciones de cada cargo establecido en la organización
En caso de no posee los perfiles de cargos, se solicitará un detalle de alguno de los cargos claves.
	
	
Curso de Implementación ISO 27.001 - Capacitación USACH
 Curso de Implementación ISO 27.001 - Capacitación USACH
Cuestionario de Control Sistema de Gestión 
Contexto de la Organización 
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	4.1
	¿La organización ha desarrollado análisis que le posibiliten comprender el entorno interno y externo de su organización?
	No cumple	
	· Análisis FODA - POAM
· Análisis PESTEL
· 5 Fuerzas de Porter
· Análisis de Riesgo
· Arquitectura Empresarial
	4.2
	¿La organización ha establecido los requisitos de sus partes interesadas en términos de la calidad y seguridad de sus productos y servicios?
	No cumple	
	· Mapa de Stakeholder
· Requisitos de Negocio
· Requisitos de Servicios
· Requisitos de Productos 
· Requisitos atención al cliente
	4.3
	¿La organización posee una definición sobre el alcance del Sistema de Gestión de la familia ISO?
	No cumple	
	· Un alcance definido que considere áreas, procesos, servicios, productos y/o proyectos.
	4.4
	¿La organización ha desarrollado un esquema de macroprocesos que posibilite la comprensión de entradas y salidas de los procesos en la organización?
	No cumple	
	· Esquema de Macroprocesos
	4.4
	¿La organización cuenta con procedimientos documentados con definiciones de: objetivos, responsables, riesgo e indicadores?
	No cumple	
	· Procedimientos documentados
Liderazgo
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	5.1
	¿La dirección desarrolla el liderazgo para alcanzar los niveles de calidad y seguridad de la información definiendo objetivos, proveyendo los recursos, definiendo responsabilidades, capacitando y revisando continuamente los resultados?
	No cumple	
	· Definición de objetivos
· Establecimiento de presupuesto
· Planes de formales de implementación
· Plan de capacitación
· Revisión de objetivos
	5.2
	¿La organización cuenta con políticas y objetivos de calidad y seguridad de la información adecuados y vinculadas con el contexto interno/externo y los objetivos definidos?
	No cumple	
	· Política y objetivos de Calidad
· Política y objetivos de Seguridad de la Información
	5.3
	¿La organización ha establecidos roles, responsabilidades y las acciones que deban desarrollar sus colaboradores para alcanzar los objetivos de calidad y seguridad de la información?
	No cumple	
	· Organigrama
· Roles y responsabilidades
· Perfiles de Cargo
Planificación
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	6.1
	¿La organización cuenta con definiciones que posibiliten gestionar los riesgos y oportunidades que posibiliten alcanzar los objetivos establecidos?
	No cumple	
	· Marco de Gestión de Riesgo
· Proceso de Gestión de Riesgo
· Apetito y tolerancia al Riesgo
	6.1
	¿La organización cuenta con los mecanismos que posibiliten gestionar los riesgos y oportunidades en sus procesos y/o activos de información?
	No cumple	
	· Marco de Gestión de Riesgo
· Proceso de Gestión de Riesgo
· Matriz de Riesgos
· Plan de Tratamiento de Riesgos
· Declaración de Aplicabilidad de Controles (SoA)
	6.1
	¿La organización cuenta con los mecanismos que posibiliten gestionar los riesgos y oportunidades en sus procesos y/o activos de información?
	No cumple	
	· Marco de Gestión de Riesgo
· Proceso de Gestión de Riesgo
· Matriz de Riesgos
· Plan de Tratamiento de Riesgos
· Declaración de Aplicabilidad de Controles (SoA)
	6.2
	¿La organización establece sus objetivos de calidad y/o seguridad de la información en sus procesos?
	No cumple	
	· Procesos
· Definición de Objetivos
	6.2
	¿La organización define en sus objetivos de calidad y/o seguridad de la información a responsables, recursos necesarios, mecanismos de revisión y evaluación?
	No cumple	
	· Procesos
· Definición de Objetivos
Recursos de Apoyo/Soporte
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	7.2
	¿La organización desarrolla un plan de capacitación a su personal en materias de calidad y/o seguridad de la información basado en las competencias requeridas para el desarrollo de funciones?
	No cumple	
	· Plan de capacitación
· DNC (Detección de necesidades de capacitación)
· Cursos/talleres desarrolladas
	7.3
	¿La organización desarrolla un plan de concientización a su personal en materias de calidad y/o seguridad de la información basado en las funciones que desempeñan?
	No cumple	
	· Plan de concientización
· Actividades de concientización
	7.4
	¿La organización ha establecidos los mecanismos de comunicación internas y externas sobre cuestiones pertinentes a la gestión de calidad y seguridad de la información?
	No cumple	
	· Plan de comunicación
· Comunicados e informativos
· Mailing corporativos
	7.5
	¿La organización ha establecidos los mecanismos para la gestión documental de políticas, procedimientos, instructivos y registros de la gestión de calidad y seguridad de la información?
	No cumple	
	· Procedimiento de gestión documental
· Gestión de información documentada
	7.5
	¿La organización en su procedimiento de gestión documental ha establecido los mecanismos de distribución, accesos, uso, almacenamiento, control de cambios, retención, revisión y aprobación?
	No cumple	
	· Procedimiento de gestión documental
· Gestión de información documentada
Operación (para la Gestión de Calidad)
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	8.1
	¿La organización planifica, implementa, controla y documenta los procesos necesarios para cumplir con los requisitos internos y externos establecidos?
	No cumple	
	· Definición de Procesos
· Procedimientos documentados
· Revisión de la dirección
	8.2
	¿La organización establece mecanismos de comunicación con los clientes proporcionado información relativa a productos y servicios, gestionando sus consultas/quejas y estableciendo requisitos para las acciones de contingencia (en caso de ser requeridos)?
	No cumple	
	· Procedimientos de Atención al Cliente
· Mesa de Ayuda
· Gestión de clientes
	8.2
	¿La organización en la definición los requisitos para productos y servicios considera requisitos legales e internos considerados necesarios por la organización para poder cumplir con los niveles de calidad y seguridad de la información que ofrece?
	No cumple	
	· Requisitos de productos y/o servicios
	8.2
	¿La organización en la definición los requisitos para productos y servicios considera los requisitos del cliente, requisitos legales, requisitos internos y aquellos requisitos no establecidos por el cliente para poder cumplir con los niveles de calidad y seguridad de la información que ofrece?
	No cumple	
	· Requisitos de productos y/o servicios
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	8.3
	¿La organización establece,implementa, mantiene y controla un proceso de diseño, desarrollo y puesta a disposición de sus productos y servicios?
	No cumple	
	· Proceso y procedimientos de diseño y desarrollo de productos y servicios 
	8.3
	¿La organización en el proceso de diseño, desarrollo y puesta a disposición de sus productos y servicios considera la gestión de las entradas, riesgos, controles, salida y cambios de manera documentada y formal?
	No cumple	
	· Proceso y procedimientos de diseño y desarrollo de productos y servicios 
	8.4
	¿La organización establece los mecanismos de control de los procesos, productos y servicios externamente contratados?
	No cumple	
	· Gestión de proveedores
· Matriz de servicios
· Controles sobre proveedores externos
	8.5
	¿La organización implementa un proceso para la producción y provisión de los productos y servicios bajo condiciones controladas, los cuales posibilitan la identificación y trazabilidad de las operaciones, el cuidado con la propiedad de clientes, la preservación de la información y el control de cambios?
	No cumple	
	· Proceso y procedimientos de producción y provisión de productos y servicios 
	8.6
8.7
	¿La organización implementa un proceso para la entrega de productos y servicios el cual considera el control de resultados no conformes?
	No cumple	
	· Proceso y procedimientos de entrega de productos y servicios 
1. Operación (para la Gestión de Seguridad de la Información)
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	8.1
	¿La organización desarrolla los procesos para planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de seguridad de la información y los riesgos identificados?
	No cumple	
	· Proceso de planificación, implementación y control del SGSI.
· Plan de implementación de SGSI
	8.2
	¿La organización efectúa la identificación, análisis y evaluación de riesgos (Apreciación al riesgo) de seguridad de la información de manera periódica?
	No cumple	
	· Marco de Gestión de Riesgo
· Proceso de Gestión de Riesgo
· Matriz de Riesgos
	8.2
	¿La organización realiza la implementación de un plan de tratamiento de riesgos de seguridad de la información en concordancia con su apetito de riesgo?
	No cumple	
	· Plan de Tratamiento de Riesgos
· Declaración de Aplicabilidad de Controles (SoA)
Evaluación de Desempeño
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	9.1
	¿La organización realiza el seguimiento, medición, análisis y evaluación del desempeño, eficiencia y eficacia de la gestión de calidad y/o seguridad de la información?
	No cumple	
	· Revisión de la dirección
· Evaluación de resultados
· Análisis de desviaciones
	9.1
	¿La organización establece para la gestión de sus objetivos: responsables, métodos de evaluación y mecanismos de seguimiento?
	No cumple	
	· Revisión de la dirección
· Evaluación de resultados
· Análisis de desviaciones
	9.2
	¿La organización dispone de la función y/o personal para el desarrollo auditorías internas periódicas a la gestión de calidad y/o seguridad de la información?
	No cumple	
	· Plan de auditoría
· Programas de auditorías
	9.2
	¿La organización desarrolla de manera periódica un plan de auditoría interna a la gestión de calidad y/o seguridad de la información, el cual se desarrolla en torno a uno o más programas de auditorías?
	No cumple	
	· Plan de auditoría
· Programas de auditorías
	9.3
	¿La dirección revisa en intervalos planificados los resultados de la gestión de calidad y/o seguridad de la información?
	No cumple	
	· Revisión de la dirección
· Evaluación de resultados
· Análisis de desviaciones
	9.3
	¿La revisión de la dirección considera los cambios en el contexto interno/externo, no conformidades, auditorías internas y el cumplimiento de objetivos?
	No cumple	
	· Revisión de la dirección
· Evaluación de resultados
· Análisis de desviaciones
· Resultados de auditorías
Mejora Continua
	Req.
	Pregunta de control
	Cumplimiento
	Observaciones
	Ejemplos de cumplimiento
	10.1
	¿La organización gestiona el incumplimiento de los requisitos (no conformidad) en sus políticas y procedimientos de manera regular?
	No cumple	
	· Gestión de no conformidades
· Análisis de causas
	10.2
	¿La organización establece los mecanismos para la revisión y resolución de cualquier no conformidad de los requisitos en sus políticas y procedimientos establecidos?
	No cumple	
	· Gestión de no conformidades
· Análisis de causas
· Cierre de no conformidades
Políticas y Procedimientos de Seguridad de la Información
A continuación, se presenta un listado de las políticas, marcos de referencia y procedimientos de mayor uso y adopción en la ISO 27.001 e ISO 27.002. Es preciso señalar que una implementación de la norma no es requerida la definición e implementación que a continuación se describen, lo cual estará determinado por el alcance del sistema de gestión y los riesgos gestionados.
	Req.
	Política/Marco/Procesos/Procedimiento 
	Cumplimiento
	Observaciones
	5.2
	Política de Seguridad de la Información
	No definida	
	6.1.2
	Marco y proceso de gestión de riesgos
	No definida	
	A.6.2.1
	Política de Dispositivos Móviles
	No definida	
	A.6.2.2
	Política de Teletrabajo
	No definida	
	A.7.1.1
	Procedimiento de contratación de personal
	No definida	
	A.7.3.1
	Procedimiento de desvinculación de personal
	No definida	
	A.8.2.2
	Política de clasificación de información
	No definida	
	A.9.1.1
	Política de control de accesos
	No definida	
	A.10.1.1
	Política de uso de controles criptográficos
	No definida	
	A.11.2.9
	Política de puesto de trabajo despejado y pantalla limpia 
	No definida	
	A.12.2.1
	Política de protección antes el software malicioso
	No definida	
	A.12.3.1
	Política de copias de seguridad y respaldos
	No definida	
	Req.
	Política/Marco/Procesos/Procedimiento 
	Cumplimiento
	Observaciones
	12.6.1
	Política de gestión de vulnerabilidades técnicas
	Parcialmente Definida	
	12.6.2
	Política de restricción de instalación de software
	No definida	
	13.1.1
	Política de seguridad en las comunicaciones
	No definida	
	13.2.1
	Política de intercambio de información
	No definida	
	14.2.1
	Política de desarrollo seguro
	No definida	
	14.2.2
	Procedimiento de control de cambios
	No definida	
	15.1.1
	Procedimiento de seguridad de la información en las relaciones con los proveedores
	No definida	
	16
	Política y procedimiento para la gestión de incidentes
	No definida	
	17
	Política y procedimiento para la gestión de continuidad
	No definida	
	18.1.4
	Política y procedimiento para la gestión de información personal
	No definida

Continuar navegando

Materiales relacionados

37 pag.
7 - ISO 27001 2022 Cuáles son los cambios

SIN SIGLA

User badge image

mario_roldan123

94 pag.
ISO 9001_2015_MARZO_2022

UNITEC

User badge image

Junta de Agua Portales 2019

6 pag.
Tabla Comparativa 14 y 18 - Cliente- Rev2016 - ariadna franco

User badge image

Desafío COL y ARG Veintitrés

72 pag.
AI SGI ( 14 y 18) Participante - Rev2016 - ariadna franco

User badge image

Desafío COL y ARG Veintitrés

Preguntas relacionadas

Question Icon

R10 - Análisis Gap: Realizar un análisis gap para poder establecer el nivel de madurez de la organización frente a lo establecido en la “Best Pract...

User badge image

Preguntas Generales

Otros materiales