Evaluacion de Controles Iso 27002-2013
Evaluacion de Controles Iso 27002-2013
Evaluacion de Controles Iso 27002-2013
Para establecer el porcentaje de cumplimiento de cada uno de los controles presentes en el checklist,
se tendra en cuenta los niveles de madurez de procesos establecidos en la norma ISO 21827 y los
cuales se describen en la siguiente tabla :
Porcentaje Criterio
0% No realizado
40% Planificado
Descripción
No hay controles de seguridad de la
información establecidos.
0%
20%
40%
60%
80%
100%
ento
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
Norma Dominios Estado
5 Políticas de seguridad 0%
8 Gestión de activos 0%
9 Control de acceso 0%
11 Seguridad física y ambiental 0%
12 Seguridad en la operativa 0%
13 Seguridad en las telecomunicaciones 0%
Adquisición, desarrollo y mantenimiento de los
14 0%
sistemas de información
Cumplimiento General 0%
Dominios Bajo Medio Alto
Políticas de seguridad 0% 0% 0%
Gestión de activos 0% 0% 0%
Control de acceso 0% 0% 0%
Seguridad física y ambiental 0% 0% 0%
Seguridad en la operativa 0% 0% 0%
Seguridad en las telecomunicaciones 0% 0% 0%
Adquisición, desarrollo y mantenimiento de los
sistemas de información 0% 0% 0%
Norma Objetivos de Control Estado
5.1 Directrices de la Dirección en seguridad de la información 0%
8.1 Responsabilidad sobre los Activos 0%
8.2 Clasificacion de la Informacion 0%
8.3 Manejo de los soportes de almacenamiento 0%
9.1 Requisitos de negocio para el control de accesos 0%
9.2 Gestión de acceso de usuario. 0%
9.4 Control de acceso a sistemas y aplicaciones 0%
11.1 Areas Seguras 0%
11.2 Seguridad de los Equipos 0%
12.2 Protección contra código malicioso 0%
12.3 Copias de seguridad 0%
13.1 Gestión de la seguridad en las redes. 0%
13.2 Intercambio de información con partes externas. 0%
14.2 Seguridad en los procesos de desarrollo y soporte 0%
Cumplimiento 0%
Objetivos de Control Bajo
Directrices de la Dirección en seguridad de la información 0%
Responsabilidad sobre los Activos 0%
Clasificacion de la Informacion 0%
Manejo de los soportes de almacenamiento 0%
Requisitos de negocio para el control de accesos 0%
Gestión de acceso de usuario. 0%
Control de acceso a sistemas y aplicaciones 0%
Areas Seguras 0%
Seguridad de los Equipos 0%
Protección contra código malicioso 0%
Copias de seguridad 0%
Gestión de la seguridad en las redes. 0%
Intercambio de información con partes externas. 0%
Seguridad en los procesos de desarrollo y soporte 0%
Medio Alto
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
0% 0%
Nivel N° controles
No realizado 51
Realizado informalmente 0
Planificado 0
Bien definido 0
Cuantitativamente controlado 0
Mejora continua 0
Total de Controles 51
NIVEL DE CUMPLIMIENTO POR DOMINIO
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
ad s
id vo o
gur c ti es l
se a
ac
c nta va
e de bi
e
ati s
sd ón ld
e
er ne ón
A
ca sti ro am op i o i
l íti e nt y
la i ca
c ac M
Po
G o i ca n rm
C
fs en u nfo
B
ad ad om i
ir d id ec de
r el s
gu gu st a
Se Se la si te
m
en s
ad l os
ri d de
gu
Se nto
ie
im
ten
an
ym
llo
r ro
a
es
n,d
ió
ic
is
dqu
A
No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua
51
100.00%
Bien definido
Cuantitativamente controlado
Mejora continua
51
100.00%
100%
INIO 90%
80%
70%
60%
50%
40%
30%
20%
n Alto
ió 10%
ac Medio
r m
Bajo
nfo 0%
s n s . es
i ón vo io nto so ri o ur
a
ac c ti a c i e c e u a i on g
A am c s ac e
r m
os rm ea eu sS
nfo l n fo c en d d p lic e a
i re I a l Ar
la ob la lm n tro es
o
s ya de
d e s de a o c c a a d
ad e c
ad io
n sd el ea tem ri d
ir d li i d c te a d i s gu
co
gu ab fic
a
por p ar tión a
s Se n
e s i o s so ó
s n as ss
io Ge ci
en s po Cl l o goc c ce tec
n Re e a o
ió de en de Pr
ecc j o d l
Di
r
an
e to
s tro
l a M i si C on
u
s de R eq
ri ce
ct
ri e
D
LES
No realizado
Realizado informalmente
Planificado
Bien definido
Cuantitativamente controlado
Mejora continua
Bien definido
Cuantitativamente controlado
Mejora continua
Alto
Medio
Bajo
n s . s s s . . te
nto so ri o ne ra po os
o
d ad es as or
ie c e u a i o gu u i
i c i r i red
er n
op
na
m c s ac Se q al gu s t
ys
ea eu lic as sE m se la ex
ce l d d p e l o o e n rte s l o
ro o ya Ar de di
g
sd
e l
nt c es s d có i a d ad pa a rro
co ac a a p ri n s
el m id ra Co gu co de
de i ste gur o nt s e ó n e
ón a
s Se n
c a ac
i sd
e sti s o c ió d el r m eso
G e ec fo c
a cc rot tión in p ro
e P s e s
ld Ge o
d lo
rt o bi en
on m ad
r ca i d
te r
In gu
Se
Norma Seccion
5 POLITICAS DE SEGURIDAD
5.1 Directrices de la Dirección en seguridad de la información
5.1.1 Conjunto de políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la información
8 GESTION DE ACTIVOS
8.1 Responsabilidad sobre los Activos
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolución de activos.
8.2 Clasificacion de la Informacion
8.2.1 Directrices de clasificación.
8.2.2 Etiquetado y manipulado de la información.
8.3 Manejo de los soportes de almacenamiento
8.3.1 Gestión de soportes extraíbles.
8.3.2 Eliminación de soportes.
8.3.3 Soportes físicos en tránsito
9 CONTROL DE ACCESO
9.1 Requisitos de negocio para el control de accesos
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestión de acceso de usuario.
9.2.1 Gestión de altas/bajas en el registro de usuarios.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas
11 SEGURIDAD FISICA Y AMBIENTAL
11.1 Areas Seguras
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y ambientales.
11.1.5 El trabajo en áreas seguras.
11.1.6 Áreas de acceso público, carga y descarga
11.2 Seguridad de los Equipos
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la empresa.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
11.2.8 Equipo informático de usuario desatendido.
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
12 SEGURIDAD EN LA OPERATIVA
12.2 Protección contra código malicioso
12.2.1 Controles contra el código malicioso.
12.3 Copias de seguridad
12.3.1 Copias de seguridad de la información
13 SEGURIDAD EN LAS TELECOMUNICACIONES
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en red.
13.1.3 Segregación de redes.
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto
14
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Política de desarrollo seguro de software.
14.2.6 Seguridad en entornos de desarrollo.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptación
Seccion
POLITICAS DE SEGURIDAD
Directrices de la Dirección en seguridad de la información
Conjunto de políticas para la seguridad de la información
Revisión de las políticas para la seguridad de la información
GESTION DE ACTIVOS
Responsabilidad sobre los Activos
nventario de activos.
Propiedad de los activos.
Uso aceptable de los activos.
Devolución de activos.
Clasificacion de la Informacion
Directrices de clasificación.
Etiquetado y manipulado de la información.
Manejo de los soportes de almacenamiento
Gestión de soportes extraíbles.
Eliminación de soportes.
Soportes físicos en tránsito
CONTROL DE ACCESO
Requisitos de negocio para el control de accesos
Política de control de accesos.
Control de acceso a las redes y servicios asociados.
Gestión de acceso de usuario.
Gestión de altas/bajas en el registro de usuarios.
Gestión de los derechos de acceso asignados a usuarios.
Gestión de los derechos de acceso con privilegios especiales.
Revisión de los derechos de acceso de los usuarios.
Retirada o adaptación de los derechos de acceso
Control de acceso a sistemas y aplicaciones
Restricción del acceso a la información.
Procedimientos seguros de inicio de sesión.
Gestión de contraseñas de usuario.
Uso de herramientas de administración de sistemas.
Control de acceso al código fuente de los programas
SEGURIDAD FISICA Y AMBIENTAL
Areas Seguras
Perímetro de seguridad física.
Controles físicos de entrada.
Seguridad de oficinas, despachos y recursos.
Protección contra las amenazas externas y ambientales.
El trabajo en áreas seguras.
Áreas de acceso público, carga y descarga
Seguridad de los Equipos
Emplazamiento y protección de equipos.
nstalaciones de suministro.
Seguridad del cableado.
Mantenimiento de los equipos.
Salida de activos fuera de las dependencias de la empresa.
Seguridad de los equipos y activos fuera de las instalaciones.
Reutilización o retirada segura de dispositivos de almacenamiento.
Equipo informático de usuario desatendido.
Política de puesto de trabajo despejado y bloqueo de pantalla
SEGURIDAD EN LA OPERATIVA
Protección contra código malicioso
Controles contra el código malicioso.
Copias de seguridad
Copias de seguridad de la información
SEGURIDAD EN LAS TELECOMUNICACIONES
Gestión de la seguridad en las redes.
Controles de red.
Mecanismos de seguridad asociados a servicios en red.
Segregación de redes.
ntercambio de información con partes externas.
Políticas y procedimientos de intercambio de información.
Acuerdos de intercambio.
Mensajería electrónica.
Acuerdos de confidencialidad
ADQUISICIÓN,y secreto
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN.
Seguridad en los procesos de desarrollo y soporte
Política de desarrollo seguro de software.
Seguridad en entornos de desarrollo.
Pruebas de funcionalidad durante el desarrollo de los sistemas.
Pruebas de aceptación
Porcentaje de Cumplimiento por fechas
fecha 1 fecha 2 fecha 3 fecha 4
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%
0% 0% 0% 0%