analisis gap iso27k

Download Analisis GAP ISO27k

Post on 13-Apr-2018

215 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 7/21/2019 Analisis GAP ISO27k

    1/49

    Sobre el CuestionarioJefe de Infraestructura

    Jefe de Comunicaciones

    DBA

    Jefe de Unidad de Gestin Informtica

    Gestor de Proyecto

    AlcancesMisin Institucin

    Visin Institucin

    Objetios !strate"icos Institucin

    Objetios de #a Unidad

    Misin

    Visin

    Objetio !strate"ico $ue Persi"ue

    Objetio !strate"ico $ue a%oya e# &oft'are

    Va#ores de #a UnidadEmpresa

    Limitaciones

    Comentarios

  • 7/21/2019 Analisis GAP ISO27k

    2/49

  • 7/21/2019 Analisis GAP ISO27k

    3/49

    Historial de CambiosVersion No. Fecha Descripcin de Cambios

    ()** *+)*()+*(, Creacin de P#anti##as base

    ()*( +-)(+)+*(+

    Version Fecha Tope Plan de Trabajo

    ()* (.)*()+*(, Inicio de !ntreista con P#anti##a Ane/o A

  • 7/21/2019 Analisis GAP ISO27k

    4/49

    Persona - mpresa

    Ju#io 0amas 1 Deca#in2

    Autor

  • 7/21/2019 Analisis GAP ISO27k

    5/49

    Normas !S" #$%%&'#%%( !mplementacin - stado de Clasi)icacin en n*mero + porcentaje

    Proceso Cum%#e c on #a norma y esta docum entado

    Proceso se # #ea a c abo y se debe docum entar

    Proceso no c um%#e con #a norma y debe ser redise3ado

    Proceso no est en su #u"ar 4 no esta im%#ementado

    Proceso no es a%#icab# e

    *5(*5

    +*5

    6*5

    ,*5

    7*5

    8*5

    .*5

    9*5

    -*5

    (**5

    Status '- !mplementacin de procesos cumplen con la norma !S" #$%%&'#%%( + docum

    !n

    Percent

    #, &$.

    $ (.

    !S" #$%%&'#%%( Controles Ap1ndice-A !mplementacin stado por la Clasi)icacin en n*mero + p

  • 7/21/2019 Analisis GAP ISO27k

    6/49

    ( /.

    /0 ,$.

    /0 ,$.

    Contro#es documentados e im%#e mentados

    Contro#es im%#em entados deben ser documentados

    Contro#es im%#emen tados no cum%# en c on #as normas: tiene $u e redise3ar

    Contro# no im%#ementado y documentado

    Contro#es no a%#ic ados

  • 7/21/2019 Analisis GAP ISO27k

    7/49

    ProcesoCum%#e con #anorma y estadocumentado

    Proceso s e##ea a cabo yse debedocumentar

    Proceso nocum%#e con #anorma y debeser redise3ado

    Proceso noest en su#u"ar 4 no estaim%#ementado

    *

    +*

    * * * *

    Normas !S" #$%%&'#%%( !mplementacin - stado de Clasi)icacin en n*mer

    ntado

    orcentaje

    *5

    (*5

    +*5

    6*5

    ,*5

    7*5

    8*5

    .*5

    9*5

    -*5

    (**5

    Status '- !mplementacin de procesos cumplen con la norma !S" #$%%&'#%%( + do

    Com%#iance%ercenta"e

    #ii

    a

    de

    &

    e"uridad

    i

    i

    #

    uridad

    de

    #a

    inform

    acin

    in

    de

    A

    ctios

    i

    #

    s

    recursos

    "r4ani=acin de la se4uridad de la in)ormacin

    A.>.& "r4ani=acin !nterna

    A)8)()(

    A)8)()+

    A)8)()6

    A)8)(),

    A)8)()7 0os acuerdos de confidencia#idad

    A)8)()8 Contacto con #as autoridades &e mantendrn #os contactos a%ro%iados con #as autoridades %ertinentes)

    A)8)().

    A)8)()9

    A>.# Partes 3ternas

    A)8)+)(

    A)8)+)+

    A)8)+)6

    A.$

  • 7/21/2019 Analisis GAP ISO27k

    29/49

    ero/ Interna# Use On#y +.-.-(,.+)/#s

    ne3o A de re)erencia T?tulo de control Descripcin del control Funcin

    A).)()+ Pro%iedad de Actios

    A).)()6 Uso ace%tab#es de #os actios

    A.$.# clasi)icacin de la in)ormacin

    A).)+)( directrices de c#asificacin

    A).)+)+

    A.@a se4uridad de los recursos humanos

    A.@.& Antes del mpleo

    A)9)()( =o#es y =es%onsabi#idades

    A)9)()+ Proyeccin

    A)9)()6

    A.@.# Durante el empleo

    A)9)+)( Gestion de res%onsabi#idades

    A)9)+)+

    A)9)+)6 Proceso Dici%#inario

    A.@., l termino o cambio de empleo

    A)9)6)( ermino de res%onsabi#idades

    A)9)6)+ =etorno de #os actios

    A)9)6)6

    A.0a se4uridad )isica + ambiental

    oda #a informacin y #os actios asociados a #as insta#aciones detratamiento de #a informacin sern %ro%iedad de una %arte desi"nada de

    #a or"ani;acin)ormas %ara e# uso ace%tab#e de #a informacin y de #os actios asociados

    a #as insta#aciones de %rocesamiento de informacin debern seridentificados: documentados e im%#ementados)

    Para ase4urar 9ue la in)ormacin reciba un ni5el adecuado deproteccin.0a informacin se c#asificar en funcin de su a#or: #os re$uisitos #e"a#es:

    #a sensibi#idad y criticidad %ara #a or"ani;acin)

    !ti$uetado de #a informacin y #amani%u#acin

    Un conjunto a%ro%iado de %rocedimientos %ara e# eti$uetado deinformacin y de tramitacin se desarro##ar y ejecutar de conformidad

    con e# sistema de c#asificacin ado%tado %or #a or"ani;acin)

    Para ase4urarse de 9ue los empleados8 contratistas + usuarios deterceras partes entiendan sus responsabilidades8 + son adecuadospara las )unciones 9ue se consideran para8 + para reducir el ries4o derobo8 )raude o mal uso de las instalaciones.

    @unciones y res%onsabi#idades de #os em%#eados: contratistas y usuariosde terceras %artes de %roteccin se definen y documentan de conformidad

    con #a %o#Ftica de se"uridad de #a informacin de #a or"ani;acin)Contro#es de erificacin de antecedentes de todos #os candidatos a

    em%#eo: contratistas y usuarios de terceras %artes se ##earn a cabo deconformidad con #as #eyes: re"u#aciones y Htica: y %ro%orciona# a #osre$uerimientos de# ne"ocio: #a c#asificacin de #a informacin $ue se

    acceda: y #os ries"os %ercibidos)

    erminos y condiciones de#em%#eo

    Como %arte de su ob#i"acin contractua#: #os em%#eados: contratistas yusuarios de terceras %artes se %ondrn de acuerdo y firmar #os tHrminos y

    condiciones de su contrato de trabajo: en e# $ue e/%ondr yres%onsabi#idades de sus de #a or"ani;acin %ara #a se"uridad de #a

    informacin)Para ase4urar 9ue todos los empleados8 contratistas + usuarios deterceras partes son conscientes de la in)ormacin amena=as +preocupaciones8 sus responsabilidades + obli4aciones de se4uridad8+ est2n e9uipados para apo+ar la pol?tica de se4uridad de laor4ani=acin en el curso de su trabajo normal8 + para reducir el ries4ode error humano.Administracin e/i"ir a #os em%#eados: contratistas y usuarios de terceras

    %artes %ara a%#icar #a se"uridad de conformidad con #as %o#Fticas y%rocedimientos de #a or"ani;acin estab#ecidas

    Concienciacin sobre #ase"uridad de #a informacin: #a

    educacin y #a formacin

    odos #os em%#eados de #a or"ani;acin y: en su caso: #os contratistas yusuarios de terceras %artes: debern recibir una ca%acitacin adecuada

    sensibi#i;acin y actua#i;aciones re"u#ares en #as %o#Fticas y %rocedimientosde #a or"ani;acin: $ue sea re#eante %ara su funcin de trabajo)

    abr un %roceso disci%#inario forma# %ara #os em%#eados $ue

  • 7/21/2019 Analisis GAP ISO27k

    30/49

    ero/ Interna# Use On#y +.-.-(,.+)/#s

    ne3o A de re)erencia T?tulo de control Descripcin del control Funcin

    A0.& Areas Se4uras

    A-)()( PerFmetro de se"uridad fFsica

    A-)()+ Contro#es de entradas fisicas

    A-)()6

    A-)(),

    A-)()7 rabajar en ;onas se"uras

    A-)()8

    A0.# Se4uridad de los e9uipos

    A-)+)(

    A-)+)+ A%oyo a #os sericios %b#icos

    A-)+)6 se"uridad de# cab#eado

    A-)+), !# mantenimiento de# e$ui%o

    A-)+)7

    A-)+)8

    A-)+). !#iminacin de #os e$ui%os

    A&%

  • 7/21/2019 Analisis GAP ISO27k

    31/49

    ero/ Interna# Use On#y +.-.-(,.+)/#s

    ne3o A de re)erencia T?tulo de control Descripcin del control Funcin

    A(*)+)+

    A(*)+)6

    A&%., Para minimi=ar el ries4o de )allo de los sistemas.

    A(*)6)( "estin de #a ca%acidad

    A(*)6)+ #a ace%tacin de# sistema

    A&%./ Para prote4er la inte4ridad del so)tGare + la in)ormacin.

    A(*),)( Contro#es contra cdi"o ma#icioso

    A(*),)+ Contro#es contra cdi"os mi#es

    A&%.( ac-up

    A(*)7)(

    A&%.>

    A(*)8)( contro#es de red

    A(*)8)+ &e"uridad de #os sericios de red

    A&%.$ manejo del soporte

    A(*).)( Gestin de so%ortes e/traFb#es

    A(*).)+

    A(*).)6

    A(*).),

    A&%.@ !ntercambio de in)ormacin

    A(*)9)(

    A(*)9)+ 0os acuerdos de intercambio

    A(*)9)6 Medios fFsicos en trnsito

    !# se"uimiento y #a reisin de #ossericios de terceros

    0os sericios: #os informes y #os re"istros %ro%orcionados %or e# tercerodebern ser contro#ados re"u#armente y reisados: y #as auditorFas se

    ##earn a cabo con re"u#aridad)

    Gestin de cambios en #ossericios de terceros

    os cambios en #a %restacin de sericios: inc#uido e# mantenimiento y #amejora de #as actua#es %o#Fticas de se"uridad de informacin:

    %rocedimientos y contro#es: se "estionarn: teniendo en cuenta #a criticidadde #os sistemas y %rocesos $ue interienen em%resas y re1ea#uacin de

    #os ries"os)Plani)icacin + aceptacin del

    sistema

    !# uso de #os recursos deber ser monitoreada: afinado: y %royecciones de

    #as futuras necesidades de ca%acidad %ara ase"urar e# rendimiento de#sistema re$uerido)

    0os criterios de ace%tacin %ara #os nueos sistemas de informacin:actua#i;aciones y nueas ersiones sern estab#ecidos y #as %ruebas

    adecuadas de# sistemaE ##earon a cabo durante e# desarro##o y antes de #aace%tacin)

    Proteccin contra cdi4omalicioso + m5il

    &e ##earn a cabo #a deteccin: %reencin y recu%eracin contro#es de%roteccin contra cdi"o ma#icioso y #os %rocedimientos a%ro%iados de

    sensibi#i;acin usuario)

    Cuando se autorice e# uso de cdi"o mi#: #a confi"uracin deber"aranti;ar $ue e# cdi"o mi# autor