Articles-51683 Introd Instrumentos 062012

Red de Exp
Subsecretara del Interior - Divi
PMG/MEI -SSI: RESUMEN - DIAGNOSTICO
Direccin de Presupuestos - Divisin Tecnolog

DOMINIO
Poltica de seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad de recursos humanos
Seguridad Fsica y Ambiental
Gestin de las comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de un incidente en la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
ESTADO DE LA INSTITUCION (DIAGNOSTICO)
% CUMPLIMIENTO
COBERTURA
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
Estado de la Institucin por Dominio (%)

Cumplimiento0.00
Gestin de la continuidad del negocio0.00
Gestin de un incidente en la seguridad de la informacin 0.00
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin0.00
Control de acceso 0.00
Gestin de las comunicaciones y operaciones0.00
Seguridad Fsica y Ambiental 0.00
Seguridad de recursos humanos0.00
Gestin de Activos 0.00
Organizacin de la Seguridad de la Informacin 0.00
0.00
66
Programa de mejoramiento de la gestinMinisterio del Interior
PMG/MEI -SSI: RESUMEN - DIAGNOSTICO
Red de Exp
0.00
Poltica de seguridad 0.00
66
Red de Expertos
Subsecretara del Interior - Divisin Informtica
e Presupuestos - Divisin Tecnologas de Informacin
Series1
66
Red de Expertos
66
Nombre de la Institucin:
DESCRIPCIN DE PROCESOS
Proceso
Subproceso
Etapa
relevante
Activo
Identificador o
cdigo
Tipo
IDENTIFICACIN DE ACTIVOS DE INFORMACIN

Persona
Responsable /
Ubicacin
Soporte Manipulacin
autorizada
dueo
para copiar
ANLISIS DE CRITICIDAD
Medio de
Tiempo de
Recuperacin
Confidencialidad
Disposicin
almacenamiento retencin
(criterio)
ANLISIS DE CRITICIDAD
Integridad Disponibilidad Criticidad
IDENTIFICACIN Y ANLISIS DE RIESGOS DE SI
Proceso
Activo
Criticidad
<Inserte fila para agregar controles>

Amenazas
Registro histrico Descripcin del Probabilidad de

Impacto
de su frecuencia
Riesgo
ocurrencia
Severidad
Control/es para
mitigar el riesgo (NCH
27001 y DS 83)
Tratamiento del riesgo: Nombre de los

productos esperados por el Servicio
Cumplimiento
(evidencias)



NOTA:
De acuerdo a las evidencias que seale la Institucin en este reporte, para los controles declarados como cumplidos, la Red de Expertos le solicitar las evidencias - que estime necesarias para certificar la suficiencia y completitud de ellas para sustentar tal declaracin, en el marco de la Asistencia Tcnica del PMG SSI. Del mismo modo, dichas evidencias deben posibilitar la
realizacin de cualquier otro tipo de revisin o auditora, tanto dentro de la Institucin, como por organismos externos a ella.
Nombre del Archivo Evidencia

(Ver NOTA)
PROGRAMA DE TRABAJO
Producto esperado
Responsable del Producto

Actividades
Difusin/Sensibilizacin
Capacitacin
Fecha Inicio Fecha Trmino
Responsable de la actividad
Nombre del indicador
Frmula de clculo
Fecha de inicio
de la medicin
Frecuencia de
la medicin
Efectiva a
Efectiva a Octubre
Agosto de 2012
de 2012
(1) Adaptado de: "INSTRUCCIONES PARA LA FORMULACIN PRESUPUESTARIA. FORMULARIO H. INDICADORES DE DESEMPEO AO 2011". Disponible e
(2) Indicadores de gestin en los servicios pblicos. Serie Gua Metodolgica. Santiago de Chile, junio de 1996. Direccin de Presupuestos, citado en "SIS
Disponible en: http://siac.msgg.gob.cl/uploads/f15be81f87_guia_final[1].pdf (30 de Marzo de 2012)
Efectiva a
Diciembre de 2012
Meta
Medios de verificacin
Supuestos
Notas
EMPEO AO 2011". Disponible en http://www.dipres.gob.cl/572/articles-36282_doc_pdf3.pdf (30 de Marzo de 2012)

n de Presupuestos, citado en "SISTEMA INTEGRAL DE INFORMACIN Y ATENCIN CIUDADANA, SIAC. GUA METODOLGICA 2010".
A continuacin se muestran un conjunto de indicadores que pueden ser utilizados como referencia para la me
Institucional
Dominio al que se vincula
Indicador
Cobertura de las polticas.
Poltica de Seguridad (5.1)

Grado de despliegue y adopcin de polticas en toda la organizacin.
Alcance de la gestin de riesgos de SI.
Responsabilidad sobre la SI en la organizacin.

Organizacin de la SI (6.1 y
6.2)
Responsabilidad sobre la SI en terceros.

Responsabilidad sobre la SI en terceros.
Efectividad de la planificacin de la revisin por la direccin.
Efectividad de la planificacin de las auditoras externas.
Grado de despliegue del inventario de activos.
Gestin de activos (7.1 y 7.2)
Eficacia de los planes de tratamiento de riesgo.

Grado de criticidad de los activos de informacin institucionales.
Grado de despliegue y adopcin de polticas de RRHH.
Seguridad de RRHH (8.1, 8.2 y

8.3)
Eficacia de los procedimientos de eliminacin.
Seguridad fsica y ambiental

(9.1 y 9.2)
Efectividad de las revisiones de seguridad fsica.

Efectividad del procedimiento de mantencin de equipos.
(10.1) % de implementacin actualizaciones sistemas.
(10.1) % de implementacin de soluciones a vulnerabilidades de
sistemas.
(10.1) % de Solicitudes Atendidas de Cambios.
(10.2) Cumplimiento y efectividad de los acuerdos de nivel de servicio
(SLA)
(10.2) Efectividad de proveedores de servicios y sus respectivas
entregas de servicio.
10.3 % de proyectos Implementados
10.3 % de Controles ISO NCh 27002 Of.2009 Implementadas

Gestin de Operaciones y
Comunicaciones (10.1 al 10.10) 10.5 % de respaldos exitosos de sistemas crticos e importantes
10.5 % de recuperaciones exitosas de sistemas crticos e importantes
10.6 Existencia y efectividad de estndares, directrices, procedimientos
y herramientas de seguridad de redes
10.7 Existencia y efectividad de procedimientos para la gestin de
medios removibles
10.8 Existencia y efectividad de polticas, procedimientos y controles

para el intercambio seguro de informacin relevante
10.10 Existencia y efectividad de actividades de monitoreo, registro y
supervisin
11.1 Existencia, revisin y adecuacin de polticas de control de
accesos
11.2 Existencia de un administrador de usuarios, con responsabilidades
operativas para asignar y restringir privilegios sobre los sistemas
Control de Accesos (11.1 al

11.5)
11.3 Definicin documentada y aplicada de responsabilidades relativas

a seguridad de la informacin en los puestos de trabajo
11.4 Existencia y efectividad de controles de seguridad perimetrales e
internos, en cuanto a conexin, identificacin, autenticacin, routing,
etc.
11.5 Existencia y efectividad de controles de acceso a los sistemas
operativos de las plataformas informticas
12.2 Existencia y efectividad de validacin de datos de entrada y salida
a/de los sistemas de informacin
Adquisicin/Desarrollo y
12.4 Adopcin y aplicacin de controles de seguridad para los archivos
Mantencin de Sistemas (12.1
de aplicativos y cdigo fuente
al 12.5)
12.5 Existencia y adecuacin de procedimientos formales para el
control de cambios
Efectividad de los procedimientos de gestin de incidentes.
Gestin de Incidentes de SI
(13.1 y 13.2)
Grado de efectividad de la difusin acerca de los procedimientos de

gestin de incidentes.
Eficiencia y efectividad de las polticas y procedimientos de gestin de
incidentes.
Efectividad de los controles sobre activos crticos.
Gestin de Continuidad del

Negocio (14.1)
Efectividad en la implementacin de los planes de continuidad del

negocio.
Grado de despliegue de los planes de continuidad del negocio.
Efectividad de la poltica de cumplimiento.

Efectividad del procedimiento de control de cumplimiento por parte de
los terceros.
Efectividad de las auditoras o revisiones normativas.
Cumplimiento (15.1, 15.2 y
15.3)
Efectividad del SSI

Efectividad de las auditoras
Efectividad del control de acciones correctivas.
Eficacia en el control de acciones correctivas.
Grado de despliegue del anlisis de riesgos.
Gestin de riesgos en general,

no se asocia a un producto en
especfico.
Gestin de riesgos en general,

Efectividad del SSI para controlar o mitigar los riesgos.
no se asocia a un producto en
especfico.
Eficiencia del SSI.
Grado de despliegue o efectividad de los controles aplicados.
Adaptado de ISO27k implementer's forum (www.ISO27001security.com). Est permitida la reproduccin, distribucin, uso y creacin de tra
producto comercial, (b) sean correctamente atribuidos al ISO27k implementers frum (www.ISO27001security.com), y (c) sean comprados
utilizados como referencia para la medicin de la operacin del Sistema de Seguridad de la Informacin
Mtricas asociadas
Porcentaje de los controles de ISO/IEC 27001 aplicables, para los cuales se han escrito,
aprobado y comunicado las polticas.
Porcentaje de centros de responsabilidad que han adoptado las polticas respecto de toda la
organizacin, medido por una auditora, revisin por la direccin o alguna autoevaluacin.
Porcentaje de centros de responsabilidad asociados a procesos de negocio que han
implementado una estrategia para mantener los riesgos de seguridad de la informacin dentro
de los umbrales explcitamente aceptados por la direccin del servicio.
Porcentaje de funcionarios a los que se les han asignado y han aceptado formalmente,
responsabilidades de seguridad de informacin.
Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a
sus riesgos y consideradas seguras.
Porcentaje de terceros relevantes u otros que han sido formalmente certificados, conforme a
ISO/IEC 27001 u otros estndares de seguridad que sean apropiados.
Nmero de revisiones por la direccin realizadas, respecto de las planificadas.
Nmero de auditoras internas / externas efectivamente realizadas, respecto de las planificadas.
Porcentaje de los activos de informacin analizados en cada fase (inventariados / identificados /
responsables nominados / riesgos evaluados / clasificados).
Porcentaje de los activos de informacin crtica para los que se implement los planes de
tratamiento de riesgos de seguridad de la informacin y se mantuvo estos riesgos dentro de
lmites aceptables.
Porcentaje de los activos de informacin en cada categora de clasificacin (incluyendo una
categora especial: No clasificado an).
Porcentaje del personal nuevo (funcionarios, contratistas, consultores, etc.) que han sido
totalmente investigados y han aprobado, de acuerdo a las polticas de la institucin antes de
comenzar a trabajar.
Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la
organizacin, activos (o con desactivacin pendiente) e inactivos (archivo y eliminacin
pendientes).
Nmero de revisiones peridicas de seguridad fsica de las instalaciones, incluidas las
actualizaciones del estado de avance de las acciones correctivas y preventivas identificadas en
revisiones anteriores.
Mantenimientos a los equipos efectuados en relacin a los planificados.
(Total Mensual Actualizaciones implementadas )/(Total Anual Actualizaciones publicadas)* 100
(Total Mensual de soluciones a vulnerabilidades implementadas )/(Total Anual Vulnerabilidades
detectadas)* 100
(Total Mensual Solicitudes de Cambios )/(Total Anual Formularios de Gestin de Cambios)* 100
Evaluacin de los costos del tiempo de inactividad debido al incumplimiento de los acuerdos de
nivel de servicio.
Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega y costos
(Proyectos en Planificacin Implementados )/(Total Proyectos Planificados)*100
[Total de Controles ISO NCh 27002 Of.2009 Implementadas actuales /Total de Controles ISO
NCh 27002 Of.2009]*100
(Total de sistemas crticos e importantes respaldados exitosamente)/(Totalidad de sistemas
crticos e importantes)*100
(Total de recuperaciones exitosas de sistemas crticos e importantes)/(Totalidad de sistemas
crticos e importantes respaldados)*100
Evaluacin del N de incidentes de seguridad de red en el mes, categorizados por nivel de
gravedad
Evaluacin de medidas de seguridad adoptadas para la gestin de medios removibles, en cuanto
al almacenamiento, permanencia y eliminacin de informacin contenida en ellos
Evaluacin de medidas de seguridad adoptadas en el intercambio de activos de informacin

relevante, crtica o sensible
Tendencia en el nmero de eventos y/o incidentes de seguridad que han sido correctamente
registrados, analizados y han conducido a actividades de seguimiento
Evaluacin de consistencia entre lo establecido en la poltica y la clasificacin de criticidad de
activos de informacin, y respecto a la legislacin y normativa existente
Establecer el grado de centralizacin o dispersin de las solicitudes de cambios de privilegios
cursados
Porcentaje de usuarios/puestos de trabajo cuyas responsabilidades en seguridad de la
informacin se encuentran formalmente aceptadas.
Evaluacin de logs y estadsticas de las tecnologas de software y hardware implementadas para
tales efectos, identificando la relacin numrica entre vulnerabilidades aprovechadas e intentos
de accesos o ataques bloqueados y repelidos
Nivel de existencia de registro seguro, ID de usuario nico, tcnicas de autenticacin,
contraseas robustas, control de utilitarios del S.O., cierre de sesiones inactivas, etc. Y
evaluacin de estadsticas de vulnerabilidad y su seguimiento, si existiesen.
Porcentaje de sistemas para los cuales los controles de validacin de datos se han definido e
implementado, y se han demostrado eficaces mediante pruebas
Porcentaje de sistemas evaluados conformes en relacin a la normativa de seguridad existente
en estas materias, respecto a aquellos que no han sido evaluados, o no han aprobado la
normativa
Porcentaje de procesos de cambios que se han realizado conforme a la normativa existente al
respecto, en relacin al total de cambios solicitados y realizados
Anlisis estadstico de la cantidad y tipo de llamadas a la mesa de soporte TI, relativas a
seguridad de la informacin (por ejemplo, los cambios de contrasea; consultas acerca de los
riesgos de seguridad de la informacin y los controles, como un porcentaje de todas las
consultas).
De las estadsticas, crear y publicar un ranking de los centros de responsabilidad (ajustado por
el nmero de funcionarios de cada uno), mostrando aquellos que son claramente conscientes de
la seguridad frente a aquellos que no lo son.
Nmero y gravedad de los incidentes de SI; evaluaciones de los costos asociados al anlisis,
detencin y reparacin de los incidentes, as como las prdidas sufridas, tangibles e intangibles.
Porcentaje de incidentes de seguridad que generaron costos por encima de los umbrales
aceptables definidos por la direccin.
Porcentaje de planes de continuidad del negocio en cada etapa del ciclo de vida (requerido /
especificado / documentado / probado).
Porcentaje de centros de responsabilidad con planes de continuidad del negocio que han sido
adecuadamente documentados y probados con pruebas dentro de los ltimos 12 meses.
Nmero de requerimientos legales agrupados y analizados por estado (cerrado, abierto, nuevo,
atrasado) y nivel de significacin o riesgo (extremo, alto, medio o bajo).
Porcentaje de requerimientos externos claves considerados cumplidos a travs de auditoria(s) u
otros medios aceptables.
Nmero de polticas internas y otros requerimientos o recomendaciones agrupados y analizados
por estado (cerrado, abierto, nuevo, atrasado) y nivel de significacin o riesgo (extremo, alto,
medio o bajo).
Porcentaje revisiones de cumplimiento de SI sin registros de incumplimientos substanciales de
los controles.
Nmero de recomendaciones de auditora agrupadas y analizadas por estado (cerrado, abierto,
nuevo, atrasado) y nivel de significacin o riesgo (alto, medio o bajo).
Porcentaje de hallazgos de auditora de SI que se han resuelto y cerrado, respecto del total que
se abri en el mismo perodo.
Plazos reales en que se resolvieron o cerraron las recomendaciones, respecto de las fechas
planificadas.
Porcentaje de riesgos identificados considerados con severidad extrema, alta, moderada o baja,
adems de los no-evaluados
Tendencia en el nmero de riesgos relacionados con la seguridad de informacin para cada nivel
de severidad.
Gastos de la seguridad de informacin como porcentaje del presupuesto asignado.
Porcentaje de riesgos de seguridad de la informacin a los que se les han aplicado los controles
en forma completa y satisfactoria.
eproduccin, distribucin, uso y creacin de trabajos derivados de este, siempre y cuando (a) no sean vendidos ni incorporados en ningn
.ISO27001security.com), y (c) sean comprados bajo los mismos trminos de ste.
uridad de la Informacin
Etapa desde la cual sera

factible de medir
4
4
34
34
1
4 4 bis
4 bis
1
4
1
34
34
4
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
4 4 bis
34
4 4 bis
34
4 4 bis
34
4
4
4 y 4 bis
4 y 4 bis
4 y 4 bis
4 y 4 bis
1
4 4 bis
1
4
an vendidos ni incorporados en ningn
REF. DS83
(MATRIZ
ANTIGUA)
CONTROL
ISO
DOMINIO
A.5.1.1.Prr.1
Art. 11
AMBITO
CONTROL
REQUISITO/ CONTROL
En el Servicio: existe un documento denominado Poltica

El documento de la poltica de seguridad de la
de Seguridad de la informacin, que est aprobado por el
informacin debiera ser aprobado por la Direccin,
Jefe de Servicio, y que refleja claramente el compromiso,
y publicado y comunicado a todos los empleados y
apoyo e inters en el fomento y desarrollo de una cultura
las partes externas relevantes.
de seguridad institucional?
El documento Politica de Seguridad: contiene una
definicin de seguridad de los activos de informacin, sus
objetivos globales, alcance e importancia?
El documento Politica de Seguridad: contiene un prrafo
que seale los medios de difusin de sus contenidos al
interior de la organizacin?
En la actualidad, el documento Politica de Seguridad: se
publica y se comunica a todos los funcionarios y partes
externas relevantes?
La poltica de seguridad de la informacin debiera El documento Politica de Seguridad: contiene un prrafo
Revisin de la poltica de
ser revisada aintervalos planeados o si ocurren
que seale cada cunto tiempo se reevaluar (que debe
seguridad de la
cambios significativos para asegurar su continua ser cada 3 aos como mximo)? explicita con qu
informacin
idoneidad, eficiencia y efectividad.
periodicidad su cumplimiento ser revisado?
En la actualidad, el documento Politica de Seguridad: se
revisa en los intervalos planeados o cuando ocurren
cambios significativos para asegurar su continua idoneidad,
eficiencia y efectividad?
Poltica de Seguridad
Documento de la poltica
de seguridad de la
informacin
A.5.1.1.Prr.2
Art. 11 a
A.5.1.1.Prr.3
Art. 11 b
A.5.1.1.Prr.4
A.5.1.1.Prr.5
Art. 11 c
A.5.1.2
Priorizados
SI
SI
SI
SI
SI
SI
Porcentaje de Cumplimiento Dominio Poltica de Seguridad

A.6.1.1
Art. 12
A.6.1.2
A.6.1.3.Prr.1
A.6.1.3.Prr.2
A.6.1.7
A.6.1.6
A.6.1.4
A.6.1.5
Art. 12 a
Compromiso de la
La direccin debiera apoyar activamente la
direccin con la seguridad seguridad dentro de la organizacin a travs de
de la informacin
una direccin clara, compromiso demostrado,
asignacin explcita del Encargado de Seguridad y
reconociendo las responsabilidades de la
seguridad de la informacin.
Coordinacin de la
Las actividades de la seguridad de la informacin
seguridad de la
debieran ser coordinadas por representantes de
informacin
diferentes partes de la organizacin con roles y
funciones laborales relevantes.
Asignacin de las
responsabilidades de la
seguridad de la
informacin
Art. 12 b
Art. 12 Letra c Contacto con grupos de

inters especial
El Jefe de Servicio: ha designado mediante resolucin al

Encargado de Seguridad de la Inoformacin?
SI
El Jefe de Servicio: ha designado mediante resolucin al

Comit de Seguridad de la Inoformacin, designndole
funciones espedficas?
Todas las responsabilidades de la seguridad de la En la resolucin de nombramiento del Encargado de

informacin debieran estar claramente definidas. Seguridad de la Informacin: se encuentra explicitada la
funcin: "Tener a su cargo el desarrollo inicial de las
polticas de seguridad al interior de su organizacin y el
control de su implementacin, y velar por su correcta
aplicacin" ?
En la resolucin de nombramiento del Encargado de
Seguridad de la Informacin: se encuentra explicitada la
funcin: "Coordinar la respuesta a incidentes que afecten a
los activos de informacin institucionales" ?
Se debieran mantener contactos apropiados con En la resolucin de nombramiento del Encargado de
grupos de inters especial u otros foros de
Seguridad de la Informacin: se encuentra explicitada la
seguridad especializados y asociaciones
funcin: "Establecer puntos de enlace con encargados de
profesionales.
seguridad de otros organismos pblicos y especialistas
externos que le permitan estar al tanto de las tendencias,
normas y mtodos de seguridad pertinentes "?
Contacto con las

autoridades
Se debieran mantener los contactos apropiados

con las autoridades relevantes.
En la actualidad: existe un procedimiento que especifique

cundo y qu autoridades deben ser contactadas
(bomberos, carabineros, PDI, proveedor de Internet, etc)?
Proceso de autorizacin
para medios de
procesamiento de
informacin.
Acuerdos de
confidencialidad
Un proceso de la direccin para la autorizacin de En la actualidad: existe un procedimiento de autorizacin

facilidades nuevas de procesamiento de
por parte del Jefe de Servicio para instalar nuevos medios
informacin, debiera ser definido e implementado. de procesamiento de informacin?
SI
SI
SI
SI
SI
Se debieran identificar y revisar regularmente que En la actualidad: utiliza el Servicio acuerdos de

los requerimientos de confidencialidad o acuerdos confidencialidad o no-divulgacin que reflejen las
de no-divulgacin reflejan las necesidades de la
necesidades de proteccin de la informacin institucional?
organizacin para proteger la informacin.
PMG-SSI
Pg. 44
Organizacin de la S
A.6.1.8
A.6.2.1
A.6.2.2
A.6.2.3
Revisin independiente
de la seguridad de la
informacin
Se debiera revisar el enfoque de la organizacin

para manejar la seguridad de la informacin y su
implementacin (es decir;objetivos de
control,controles,polticas, procesos y
procedimientos para la seguridad de la
informacin) de manera independiente a intervalos
planeados, o cuando ocurran cambios
significativos en la implementacin de la
seguridad.
Art. 10 Letra a Identificacin de los
Se debieran identificar los riesgos para la
riesgos relacionados con informacin y los medios de procesamiento de la
los grupos externos
informacin de la institucin a raz de procesos
que involucran a grupos externos y se debieran
implementar controles apropiados antes de
otorgarles acceso.
Art. 10 Letra a- Tratamiento de la
Se debieran tratar todos los requerimientos de
b-c
seguridad cuando se lidia seguridad identificados antes de proporcionar a
con terceros
terceros, acceso a la informacin o activos de la
organizacin.
Art. 10 Letra a- Tratamiento de la
Los acuerdos o contratos con terceros que
b-c
seguridad en acuerdos
involucran el acceso, procesamiento,
con terceros
comunicacin o manejo de la informacin o
medios de procesamiento de informacin de la
compaa, o agregan producto o servicios a los
medios de procesamiento de informacin debieran
abarcar todos los requerimientos de seguridad
relevantes.
En la actualidad: se revisa a intervalos regulares o

cuando ocurren cambios significativos y a travs de
auditores externos o independientes, el enfoque e
implementacin de seguridad de la informacin en el
Servicio?
En la actualidad: Identifica el Servicio el riesgo para la

informacin y sus medios de procesamiento que surge al
involucrar a entidades externas en los procesos de
negocio?
En la actualidad: el Servicio aborda todos los

requerimientos de seguridad antes de entregar acceso a
los activos de informacin a sus
clientes/usuarios/beneficiarios?
En la actualidad: los contratos con terceros que
involucren acceso, procesamiento, comunicacin o manejo
de la informacin o medios de procesamiento de
informacin del Servicio, o los contratos que impliquen
agregar productos o servicios a los medios de
procesamiento de informacin, abarcan todos los
requerimientos de seguridad relevantes?
Porcentaje de Cumplimiento Dominio Organizacin de la Seguridad de la Informacin
Gestin de Activos
A.7.1.1.Prr.1
Art. 13
Inventario de los activos
A.7.1.1.Prr.2
A.7.1.2
Art. 14
Propiedad de los activos
A.7.2.1
Art 13
Lineamientos de
clasificacin
A.7.1.3.Prr.1
Art 15
Uso aceptable de los

activos
Se debieran identificar todos los activos y se

debiera elaborar y mantener un inventario de
todos los activos importantes.
Toda la informacin y los activos asociados con
los medios de procesamiento de informacin
debieran ser propiedadde una parte designada de
la organizacin.
Se debiera clasificar la informacin en trminos de
su valor, requerimientos legales, sensibilidad y
grado crtico para la institucin.
Se debieran identificar, documentar e implementar
reglas para el uso aceptable de la informacin y
los activos asociados con los medios del
procesamiento de la informacin.
En el servicio, se identifican los activos de informacin y

se elabora un inventario de ellos?
Se actualiza dicho inventario?
En el servicio, se ha designado responsabilidad
administrativa por los activos de informacin?
En el servicio, se clasifica la informacin de acuerdo a su

valor, requisitos legales, sensibilidad y criticidad,
considerando la Ley 20285 (Ley de Transparencia)?
En el servicio, existen normas para el Copiado de los
activos de informacin clasificados segn Ley 20.285?
A.7.1.3.Prr.2
En el servicio, existen normas para el Almacenamiento de

los activos de informacin clasificados segn Ley 20.285?
A.7.1.3.Prr.3
En el servicio, existen normas para Transmisin por

correo electrnico de los activos de informacin
clasificados segn Ley 20.285?
En el servicio, existen normas para la Destruccin de los
activos de informacin clasificados segn Ley 20.285?
A.7.1.3.Prr.4
A.7.2.2
Art. 15
Art. 16
SI
Etiquetado y manejo de la Se debiera desarrollar e implementar un conjunto En el servicio, existen procedimientos de etiquetado y
informacin
apropiado de procedimientos para el etiquetado y manejo de los activos de informacin que consideren dicha
manejo de la informacin en concordancia con el clasificacin?
esquema de clasificacin adoptado por la
institucin.
Porcentaje de Cumplimiento Dominio Gestin de Activos

A.8.1.1
Roles y responsabilidades Se debieran definir y documentar los roles y

responsabilidades de la seguridad de los
empleados, contratistas y terceros en
concordancia con la poltica de seguridad de la
informacin de la organizacin.
PMG-SSI
En la actualidad: el Servicio cuenta con una definicin de

roles de los funcionarios, tanto contrata, planta como
personal a honorarios, que especifiquen su responsabilidad
en temas de seguridad de la informacin?
SI
Pg. 45
A.8.1.2
Investigacin de
antecedentes
A.8.1.3
Art. 21
A.8.2.1.Prr.1
Art. 20 Letra a Responsabilidades de la

direccin
A.8.2.1.Prr.2
Art. 20 Letra b
A.8.2.1.Prr.3
A.8.2.1.Prr.4
A.8.2.2
Trminos y condiciones
del empleo
Los chequeos de verificacin de antecedentes de

todos los candidatos para empleo, contratistas y
terceros debieran llevarse a cabo en concordancia
con las leyes, regulaciones y tica relevantes; y
debieran ser proporcionales a los requerimientos
comerciales, la clasificacin de la informacin a la
cual se va a tener acceso y los riesgos percibidos.
En la etapa de seleccin: Se lleva a cabo la verificacin

de antencedentes legales, comportamientos ticos, y otros
antecedentes de relevancia segn la clasificacin de la
informacin a la cual va a tener acceso, de todos los
candidatos a un cargo, sea de planta, contrata o personal a
honorarios?
Como parte de su obligacin contractual; los

usuarios empleados, contratistas y terceros
debieran aceptar y firmar un contrato con los
trminos y condiciones de su empleo, el cual
debiera establecer sus responsabilidades y las de
la institucin para la seguridad de la informacin.
El Jefe de Servicio: ha impartido la instruccin que indique

que las responsabilidades de seguridad aplicables al
personal debern ser explicitadas en la etapa de seleccin
e incluirse expresamente en los decretos o resoluciones de
nombramiento o en las contrataciones respectivas?
La direccin debiera requerir a los usuarios

empleados, contratistas y terceras personas que
apliquen la seguridad en concordancia con
polticas y procedimientos bien establecidos por la
institucin.
El Jefe de Servicio: ha impartido instrucciones sobre el

uso de sistemas informticos, con nfasis en prohibicin de
instalacin de software no autorizado, documentos y
archivos guardados en el computador?
SI
El Jefe de Servicio: ha impartido instrucciones sobre el

uso de la red interna, uso de Internet, uso del correo
electrnico, acceso a servicios pblicos, recursos
compartidos, servicios de mensajera y comunicacin
remota?
Art. 20 Letra c
El Jefe de Servicio: ha impartido instrucciones sobre la
generacin, transmisin, recepcin, procesamiento y
almacenamiento de activos de informacin?
Art. 20 Letra d
El Jefe de Servicio: ha impartido procedimientos para
reportar incidentes de seguridad?
Conocimiento, educacin Todos los funcionarios de la institucin y, cuando En la actualidad: el Servicio entrega la formacin
y capacitacin en
sea relevante, los contratistas y terceras personas adecuada o capacitacin relevante para su funcin laboral
seguridad de la
debieran recibir una adecuada capacitacin en
que incluya requisitos de seguridad a todos los funcionarios
informacin
seguridad y actualizaciones regulares sobre las
de planta, contrata y personal a honorarios?
polticas y procedimientos institucionales conforme
sea relevante para su funcin laboral.
A.8.2.3
Proceso disciplinario
Debiera existir un proceso disciplinario para los

empleados que han cometido un incumplimiento
de la seguridad.
A.8.3.1
Responsabilidades de
termino
Se debieran definir y asignar claramente las

responsabilidades de realizar el trmino o el
cambio de empleo.
A.8.3.2
Devolucin de los activos Todos los usuarios empleados, contratistas y

terceras personas debieran devolver todos los
activos de la institucin que tengan en su
posesin al trmino de su empleo, contrato o
acuerdo.
Retiro de los derechos de Los derechos de acceso de todos los usuarios
acceso
empleados, contratistas y terceras personas a la
informacin y los medios de procesamiento de
informacin debieran ser retirados al trmino de
su empleo, contrato o acuerdo, o debieran ser
reajustados de acuerdo al cambio.
A.8.3.3
En la actualidad: existe un proceso disciplinario para los

funcionarios de planta, contrata y personal a honorarios
que han cometido una violacin a la seguridad de la
informacin?
En la actualidad: las responsabilidades y deberes
vlidos, an luego de la desvinculacin o cambios en las
funciones, se encuentran contenidas dentro de los
contratos de honorarios o resoluciones de nombramiento
de funcionarios a contrata y planta?
En la actualidad: existe un procedimiento para que todos
los funcionarios de planta y contrata y personal a
honorarios, devuelvan todos los activos de la institucin
que tengan en su posesin al trmino de sus funciones o
de su contrato?
En la actualidad: existe un procedimiento para eliminar
los derechos de acceso a los medios de procesamiento de
la informacin del Servicio de todos los funcionarios de
planta y contrata y personal a honorarios, al trmino de sus
funciones o de su contrato, o para ajustarlos segn el
cambio de funciones?
SI
Porcentaje de Cumplimiento Dominio Seguridad de recursos humanos

A.9.1.1
Art. 17
Permetro de seguridad
fsica
A.9.1.2
Art. 17
Controles de ingreso
fsico
A.9.1.3
Art. 19 Letra a- Asegurar las oficinas,

b
habitaciones y medios
Se debieran utilizar permetros de seguridad

(barreras tales como paredes, rejas de entrada
controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y
medios de procesamiento de informacin.
Las reas seguras debieran protegerse mediante
controles de ingreso apropiados para asegurar
que slo se le permita el acceso al personal
autorizado.
Se debiera disear y aplicar la seguridad fsica
para las oficinas, habitaciones y medios.
PMG-SSI
En el servicio, se utilizan permetros de seguridad

(paredes, rejas controladas por tarjetas o recepcionistas, u
otros similares) para proteger las reas que contienen
informacin y sus medios de procesamiento?
SI
En el servicio se han impartido instrucciones para que

slo acceda personal autorizado a las reas seguras?
La autoridad ha impartido instrucciones de diseo y

aplicacin de seguridad fsica a las oficinas, habitaciones y
medios?
Pg. 46
A.9.1.4.Prr.1
Art. 17
A.9.1.4.Prr.2
Art. 17
Proteccin contra
amenazas externas e
internas
Se debiera asignar y aplicar proteccin fsica

contra dao por fuego, inundacin, terremoto,
explosin, revuelta civil y otras formas de
desastres naturales o causados por el hombre.
Trabajo en reas
aseguradas
El servicio cuenta con proteccin contra daos causados

por fuego?
por inundacin?
por terremoto?
por explosin?
por revuelta civil?
El servicio cuenta con proteccin contra otras formas de
desastres naturales o por causa humana?
La autoridad ha impartido lineamientos para trabajar en
reas seguras?
Ubicacin y proteccin del Se debiera ubicar o proteger el equipo para

equipo
reducir las amenazas y peligros ambientales y
oportunidades para acceso no-autorizado.
En el servicio, el equipamiento est ubicado o protegido

de forma que se reduzcan las amenazas y peligros
ambientales y acceso no autorizado?
A.9.1.4.Prr.3
A.9.1.4.Prr.4
A.9.1.4.Prr.5
A.9.1.4.Prr.6
Art. 17
A.9.1.5
Art. 17
A.9.1.6
Art. 17
A.9.2.1.Prr.1
Art. 17
Se debiera disear y aplicar la proteccin fsica y

los lineamientos para trabajar en reas
aseguradas.
reas de acceso pblico, Se debieran controlar los puntos de acceso como La autoridad ha impartido instrucciones respecto al control
entrega y carga
las reas de entrega y carga y otros puntos por
de las reas de acceso pblico, entrega y carga?
donde personas no-autorizadas puedan ingresar a
las localidades y, si fuese posible, debieran
aislarse de los medios de procesamiento de
informacin para evitar el acceso no autorizado.
A.9.2.1.Prr.2
Art. 18 letra a
A.9.2.1.Prr.3
art 18 letra c
A.9.2.2
Art. 17
A.9.2.3
Art. 10 Letra a Seguridad del cableado
A.9.2.4
Mantenimiento de equipo Se debiera mantener correctamente el equipo

para asegurar su continua disponibilidad e
integridad.
Seguridad del equipo
Se debiera aplicar seguridad al equipo fuera del
fuera de las localidades
local tomando en cuenta los diferentes riesgos de
trabajar fuera del local de la institucin.
Art. 26 Letra e Seguridad de la
Se debieran chequear los tems del equipo que
eliminacin o re-uso del
contiene medios de almacenaje para asegurar que
equipo
se haya retirado o sobre-escrito cualquier data
confidencial o licencia de software antes de su
eliminacin.
Retiro de propiedad
El equipo, informacin o software no debiera
retirarse sin autorizacin previa.
A.9.2.5
A.9.2.6
A.9.2.7
SI
La autoridad ha impartido instrucciones relativas al

consumo de alimentos, bebidas y tabaco en las cercanas
de los medios de procesan y soportan informacin?
Servicios pblicos de
soporte
En el servicio, la autoridad promueve prcticas de

escritorio limpio?
Se debiera proteger el equipo de fallas de energa El el servicio, el equipamiento est protegido de fallas de
y otras interrupciones causadas por fallas en los
energa y otras interrupciones causadas por fallas en los
servicios pblicos de soporte.
servicios bsicos de soporte?
El cableado de la energa y las
En el servicio, la autoridad ha impartido instrucciones para
telecomunicaciones que llevan la data o dan
proteger contra intercepcin o dao el cableado usado para
soporte a los servicios de informacin debieran
energa y las telecomunicaciones para transmisin de datos
protegerse contra la intercepcin o dao.
o que soportan los servicios de informacin?
En el servicio se han impartido instrucciones para segurar
que se haga mantenimiento del equipamiento?
La autoridad ha impartido instrucciones para que se
aplique seguridad al equipamiento fuera de las
dependencias de la institucin?
En el servicio, se ha establecido que se debe chequear el
equipamiento que contiene informacin para segurarse que
se haya retirado o sobre-escrito cualquier dato confidencial
o licencia antes de su eliminacin?
En el servicio se ha previsto que haya una autorizacin
antes del retiro de equipamiento, informacin o software?
SI
SI
SI
Porcentaje de Cumplimiento Dominio Seguridad Fsica y Ambiental

A.10.1.1
A.10.1.2
A.10.1.3
Art. 7 Letra b-c Procedimientos de

Los procedimientos de operacin se debieran
operacin documentados documentar, mantener y poner a disposicin de
todos los usuarios que los necesiten.
Gestin del cambio
Se debieran controlar los cambios en los medios y
sistemas de procesamiento de la informacin.
Los procedimientos de operacin, estn documentados, al

da y puestos a disposicin de todos los usuarios que los
necesiten?
Se controlan los cambios en los medios y sistemas de
procesamiento de la informacin?
Art. 7 Letra f
Los deberes y reas de responsabilidad, son segregados

de manera de reducir las oportunidades de una
modificacin no-autorizada o mal uso no-intencional o mal
uso de los activos de la institucin?
Segregacin de los
deberes
Los deberes y reas de responsabilidad debieran

estar segregados para reducir las oportunidades
de una modificacin no-autorizada o mal uso nointencional o mal uso de los activos de la
institucin.
PMG-SSI
SI
SI
SI
Pg. 47
A.10.1.4
A.10.2.1
A.10.2.2.Prr.1
A.10.2.2.Prr.2
A.10.2.3
A.10.3.1.Prr.1
Separacin de los medios Los medios de desarrollo, prueba y operacin

Los medios de desarrollo, prueba y operacin, estn
de desarrollo, prueba y
debieran estar separados para reducir los riesgos separados de manera de reducir los riesgos de acceso nooperacin
de acceso no-autorizado o cambios en el sistema autorizado o cambios en el sistema operacional?
operacional.
Entrega del servicio
Monitoreo y revisin de
los servicios de terceros
Manejo de cambios en los Se debieran manejar los cambios en la provisin

servicios de terceros
de servicios, incluyendo el mantenimiento y
mejoramiento de las polticas, procedimientos y
controles de seguridad de la informacin
existentes teniendo en cuenta el grado crtico de
los sistemas y procesos del negocio involucrados
y la re-evaluacin de los riesgos.
Gestin de la capacidad Se debiera monitorear, afinar el uso de los
recursos y se debieran realizar proyecciones de
los requerimientos de capacidad futura para
asegurar el desempeo requerido del sistema.
A.10.3.1.Prr.2
A.10.3.2.Prr.1
Se debiera asegurar que los controles de

seguridad, definiciones del servicio y niveles de
entrega incluidos en el acuerdo de entrega del
servicio de terceros se implementen, operen y
mantengan.
Los servicios, reportes y registros provistos por
terceros debieran ser monitoreados y revisados
regularmente, y se debieran llevar a cabo
auditoras regularmente.
Aceptacin del sistema
Controles de deteccin, prevencin y

recuperacin para proteger contra cdigos
maliciosos y se debieran implementar
procedimientos para el apropiado conocimiento
del usuario.
A.10.4.1.Prr.2
A.10.4.2.Prr.1
A.10.4.2.Prr.2
A.10.5.1.Prr.1
Art. 22 Letra c Controles contra cdigos

Art. 26 Letra a mviles
Donde se autorice el uso del cdigo mvil, la

configuracin debiera asegurar que el cdigo
mvil autorizado opera de acuerdo con una
poltica de seguridad claramente definida, y se
debiera evitar la ejecucin del cdigo mvil noautorizado.
Art. 24
Respaldo de informacin
Letra a-b-c-d-ef-g
Se debieran hacer copias de respaldo de la

informacin y software y se debieran probar
regularmente en concordancia con la poltica de
copias de respaldo acordada.
A.10.5.1.Prr.2
s comunicaciones y operaciones
A.10.6.1
A.10.6.2.Prr.1
Se llevan a cabo auditoras regularmente?

Se manejan los cambios en la provisin de servicios,
incluyendo el mantenimiento y mejoramiento de las
polticas, procedimientos y controles de seguridad de la
informacin existentes, teniendo en cuenta el grado crtico
de los sistemas y procesos del negocio involucrados y la reevaluacin de los riesgos?
Las redes debieran ser adecuadamente

manejadas y controladas para poder proteger la
informacin en las redes, y mantener la seguridad
de los sistemas y aplicaciones utilizando la red,
incluyendo la informacin en trnsito.
SI
Se implementan procedimientos para el apropiado

conocimiento del usuario?
Donde se autorice el uso del cdigo mvil, la
configuracin asegura que el cdigo mvil autorizado opera
de acuerdo con una poltica de seguridad claramente
definida? y
Se evita la ejecucin del cdigo mvil no-autorizado?

Se realizan copias de respaldo de la informacin y
software? y
Las redes, son adecuadamente manejadas y controladas

para poder proteger la informacin y mantener la
seguridad de los sistemas y aplicaciones, incluyendo la
informacin en trnsito?
Seguridad de los servicios En todo contrato de redes se debieran identificar e En todo contrato de redes, se identifican e incluyen las
de la red
incluir las caractersticas de seguridad, niveles de caractersticas de seguridad?,
servicio y requerimientos de gestin de todos los
servicios de red, ya sea que estos servicios sean
provistos interna o externamente.
PMG-SSI
SI
Existen controles de deteccin, prevencin y

recuperacin para proteger contra cdigos maliciosos? y
Se prueban regularmente en concordancia con la poltica

de copias de respaldo acordada?
Controles de redes
SI
Se monitorea y afina el uso de los recursos? y
Se realizan pruebas adecuadas del sistema(s) durante el

desarrollo y antes de su aceptacin?
Art. 22 Letra c Controles contra cdigos
Art. 26
maliciosos
SI
Los servicios, reportes y registros provistos por terceros,

son monitoreados y revisados regularmente? y
Se realizan proyecciones de los requerimientos de

capacidad futura para asegurar el desempeo requerido del
sistema?
Se debiera establecer el criterio de aceptacin de Se establece el criterio de aceptacin de los sistemas de
los sistemas de informacin nuevos,
informacin nuevos, actualizaciones o versiones nuevas? y
actualizaciones o versiones nuevas y se debieran
realizar pruebas adecuadas del sistema(s) durante
el desarrollo y antes de su aceptacin.
A.10.3.2.Prr.2
A.10.4.1.Prr.1
Se aseguran que los controles de seguridad, definiciones

del servicio y niveles de entrega incluidos en el acuerdo de
entrega del servicio de terceros se implementen, operen y
mantengan?
SI
SI
SI
SI
SI
Pg. 48
Gestin de las comunicaciones y ope
A.10.6.2.Prr.2
A.10.6.2.Prr.3
A.10.7.1
A.10.7.2
A.10.7.3
Art. 24 Letra e Gestin de medios

removibles
Art. 15
Procedimientos para el
Letra b
manejo de informacin
Art. 15
Letra b
los niveles de servicio? y

los requerimientos de gestin de todos los servicios de
red, ya sea que estos servicios sean provistos interna o
externamente?
Existen procedimientos para la gestin de los medios
removibles?
Se establecen los procedimientos para el manejo y
almacenaje de informacin para proteger esta informacin
de una divulgacin no-autorizada o mal uso?
Debieran existir procedimientos para la gestin de

los medios removibles.
Se debieran establecer los procedimientos para el
manejo y almacenaje de informacin para proteger
esta informacin de una divulgacin no-autorizada
o mal uso.
Se debiera proteger la documentacin del sistema Se protege la documentacin del sistema de accesos nocon accesos no-autorizados.
autorizados?
A.10.8.1
Seguridad de la
documentacin del
sistema
Art. 9
Polticas y procedimientos Se debieran establecer polticas, procedimientos y
Art. 10 Letra a de intercambio de
controles de intercambio formales para proteger el
informacin
intercambio de informacin a travs del uso de
todos los tipos de medios de comunicacin.
A.10.8.2
Art. 10 Letra a Acuerdos de intercambio
Se deberian establecer acuerdos para el

intercambio de informacin y software entre la
institucin y entidades externas.
A.10.8.3
Se establecen polticas, procedimientos y controles de

intercambio formales para proteger el intercambio de
informacin a travs del uso de todos los tipos de medios
de comunicacin?
Se establecen acuerdos para el intercambio de
informacin y software entre la institucin y entidades
externas?
Medios fsicos en trnsito Los medios que contienen informacin debieran

ser protegidos contra accesos no-autorizados, mal
uso o corrupcin durante el transporte ms all de
los lmites fsicos de una institucin
A.10.8.4
Art. 25
Mensajes electrnicos
Se debiera proteger adecuadamente la
Letra a-b-c-d-einformacin involucrada en mensajes electrnicos.
f-g-h-i
Art. 26
Letra a-c-d
A.10.8.5
Art. 7 Letra a-b- Sistemas de informacin Se debieran desarrollar e implementar polticas y
c
negocio
procedimientos para proteger la informacin
Art. 9
asociada con la interconexin de los sistemas de
informacin de negocio.
A.10.9.1
Comercio electrnico
La informacin involucrada en el comercio
electrnico que pasa a travs de redes pblicas
debiera protegerse de la actividad fraudulenta,
disputas de contratos, divulgacin no-autorizada y
modificacin.
A.10.9.2
Transacciones en-lnea
Se debiera proteger la informacin involucrada en
las transacciones en-lnea para evitar una
transmisin incompleta, routing equivocado,
alteracin no-autorizada del mensaje, divulgacin
no-autorizada, duplicacin o repeticin noautorizada del mensaje.
A.10.9.3
Art. 26 Letra b Informacin pblicamente Se debiera proteger la integridad de la informacin
disponible
puesta a disposicin en un sistema pblicamente
disponible para evitar una modificacin noautorizada.
A.10.10.1.Prr.1 Art. 23
Registro de auditora
Se debieran producir y mantener registros de
auditora de las actividades, excepciones y
eventos de seguridad de la informacin durante un
perodo acordado para ayudar en investigaciones
futuras y monitorear el control de acceso.
Los medios que contienen informacin, son protegidos

contra accesos no-autorizados, mal uso o corrupcin
durante el transporte ms all de los lmites fsicos de una
institucin?
Se protege adecuadamente la informacin involucrada en
mensajes electrnicos?
A.10.10.1.Prr.2
Se monitorea el control de acceso?
A.10.10.2.Prr.1 Art. 7
Letra d
Uso del sistema de

monitoreo
Se debieran establecer procedimientos para el

monitoreo del uso de los medios de
procesamiento de la informacin y se debieran
revisar regularmente los resultados de las
actividades de monitoreo.
A.10.10.2.Prr.2
A.10.10.3
Art. 23
Proteccin del registro de Se debieran proteger los medios de registro y la

informacin
informacin del registro para evitar la alteracin y
el acceso no autorizado.
PMG-SSI
SI
SI
Se desarrollan e implementan polticas y procedimientos

para proteger la informacin asociada con la interconexin
de los sistemas de informacin de negocio?
La informacin involucrada en el comercio electrnico que
pasa a travs de redes pblicas, se protege de la
actividad fraudulenta, disputas de contratos, divulgacin noautorizada y modificacin?
Se protege la informacin involucrada en las
transacciones en-lnea para evitar una transmisin
incompleta, routing equivocado, alteracin no-autorizada
del mensaje, divulgacin no-autorizada, duplicacin o
repeticin no-autorizada del mensaje?
Se protege la integridad de la informacin puesta a
disposicin en un sistema pblicamente disponible para
evitar una modificacin no-autorizada?
Se producen y mantienen registros de auditora de las
actividades, excepciones y eventos de seguridad de la
informacin durante un perodo acordado para ayudar en
investigaciones futuras?
Se establecen procedimientos para el monitoreo del uso

de los medios de procesamiento de la informacin?
SI
Se revisan regularmente los resultados de las actividades

de monitoreo?
Se protegen los medios de registro y la informacin del
registro para evitar la alteracin y el acceso no autorizado?
SI
Pg. 49
A.10.10.4.Prr.1
Registros del
administrador y operador
Se debieran registrar las actividades del

administrador del sistema y el operador del
sistema.
A.10.10.4.Prr.2
Se registran las actividades del administrador del

sistema? y
Del operador del sistema?
A.10.10.5.Prr.1
Registro de fallas
Se debieran registrar y analizar las fallas, y se

debieran tomar las acciones necesarias.
A.10.10.5.Prr.2
Se registran y analizan las fallas?, y

SI
Se toman las acciones necesarias?
A.10.10.6
Sincronizacin de relojes
Los relojes de todos los sistemas de

procesamiento de informacin relevantes dentro
de una organizacin o dominio de seguridad se
debieran sincronizar con una fuente que
proporcione la hora exacta acordada.
Los relojes de todos los sistemas de procesamiento de

informacin relevantes dentro de una organizacin o
dominio de seguridad, Se sincronizan con una fuente que
proporcione la hora exacta acordada?
Porcentaje de Cumplimiento Diominio Gestin de las comunicaciones y operaciones

A.11.1.1
Art. 28
Poltica de control del
Letra a-b-c-d-e- acceso
f-g-h-i-j
A.11.2.1
Art. 27
Art. 28
Art. 29
Registro del usuario
A.11.2.2
Art. 30
Gestin de privilegios
A.11.2.3
Art. 32
A.11.2.4
Gestin de las
contraseas de los
usuarios
Revisin de los derechos
de acceso del usuario
A.11.3.1
Art. 27
Uso de Contraseas
A.11.3.2
Art. 31
Letra a-b
Equipo del usuario

desatendido
A.11.3.3.Prr.1
Art. 18 Letra c Poltica de escritorio y

Art. 31
pantalla limpios
Se debiera establecer, documentar y revisar la

poltica de control de acceso en base a los
requerimientos de negocio y de seguridad para el
acceso.
Debiera existir un procedimiento formal para el
registro y des-registro del usuario para otorgar
y revocar el acceso a todos los sistemas y
servicios de informacin.
Se establece, documenta y revisa la poltica de control de

acceso en base a los requerimientos de negocio y de
seguridad para el acceso?
Se debiera restringir y controlar la asignacin y

uso de privilegios.
Se restringe y controla la asignacin y uso de privilegios?
Art. 23
A.11.4.2
Art. 27
A.11.4.3
Art. 33
Letra a
A.11.4.4
Proteccin del puerto de

diagnstico y
configuracin remoto
Art. 33 Letra b Segregacin en redes
Control de acceso
A.11.4.5
A.11.4.6
SI
El encargado de seguridad debiera revisar los

derechos de acceso de los usuarios aintervalos
regulares utilizando un proceso formal.
Se debiera requerir a los usuarios que sigan
buenas prcticas de seguridad en la seleccin y
uso de contraseas.
Los usuarios debieran asegurar que el equipo
desatendido tenga la proteccin apropiada.
El encargado de seguridad, revisa los derechos de acceso

de los usuarios a intervalos regulares utilizando un proceso
formal?
Se requiere a los usuarios que sigan buenas prcticas de
seguridad en la seleccin y uso de contraseas?
Se debiera adoptar una poltica de escritorio

limpio para papeles y medios de almacenaje
removibles y una poltica de pantalla limpia para
los medios de procesamiento de la informacin.
Se adopta una poltica de escritorio limpio para papeles y

medios de almacenaje removibles? y
Poltica sobre el uso de

los servicios de la red
Los usuarios slo debieran tener acceso a los

servicios para los cuales hayan sido
especficamente autorizados.
Autenticacin del usuario Se debieran utilizar mtodos de autenticacin
para las conexiones
apropiados para controlar el acceso de usuarios
externas
remotos.
Identificacin del equipo La identificacin automtica del equipo se debiera
en las redes
considerar como un medio para autenticar las
conexiones de ubicaciones y equipos especficos.
Art. 33 Letra c Control de conexin a la

red
Existe un procedimiento formal para el registro y desregistro del usuario para otorgar y revocar el acceso a
todos los sistemas y servicios de informacin?
La asignacin de contraseas se debiera controlar La asignacin de contraseas, Se controla a travs de un

a travs de un proceso de gestin formal.
proceso de gestin formal?
A.11.3.3.Prr.2
A.11.4.1
SI
Los usuarios, asegurar que el equipo desatendido tenga

la proteccin apropiada?
PMG-SSI
SI
Existe una poltica de pantalla limpia para los medios de

procesamiento de la informacin?
Los usuarios, slo tienen acceso a los servicios para los
cuales hayan sido especficamente autorizados?
Se utilizan mtodos de autenticacin apropiados para
controlar el acceso de usuarios remotos?
SI
La identificacin automtica del equipo, Se considera

como un medio para autenticar las conexiones de
ubicaciones y equipos especficos?
Se debiera controlar el acceso fsico y lgico a los Se controla el acceso fsico y lgico a los puertos de
puertos de diagnstico y configuracin.
diagnstico y configuracin?
Los grupos de servicios de informacin, usuarios y
sistemas de informacin debieran ser segregados
en redes.
Para las redes compartidas, especialmente
aquellas que se extienden a travs de las
fronteras de la institucin, se debiera restringir la
capacidad de los usuarios para conectarse a la
red, en lnea con la poltica de control de acceso y
los requerimientos de las aplicaciones de negocio.
SI
Los grupos de servicios de informacin, usuarios y

sistemas de informacin son segregados en distintas
redes?
Para las redes compartidas, especialmente aquellas que se
extienden a travs de las fronteras de la institucin, se
restringe la capacidad de los usuarios para conectarse a la
red, en lnea con la poltica de control de acceso y los
requerimientos de las aplicaciones de negocio?
SI
SI
SI
Pg. 50
Control de a
A.11.4.7
Control de routing de la
red
A.11.5.1
Art. 27
Procedimientos para un
registro seguro
A.11.5.2.Prr.1
Art. 27
Identificacin y
autenticacin del usuario
Se debieran implementar controles de routing en

las redes para asegurar que las conexiones de la
computadora y los flujos de informacin no violen
la poltica de control de acceso de las
aplicaciones de negocio.
El acceso a los sistemas operativos debiera ser
controlado mediante un procedimiento de registro
seguro.
Todos los usuarios tienen un identificador nico
(ID de usuario) para su uso personal, y se debiera
escoger una tcnica de autenticacin adecuada
para sustanciar la identidad de un usuario.
A.11.5.2.Prr.2
A.11.5.3.Prr.1
Art. 27
Sistema de gestin de
contraseas
Los sistemas para el manejo de claves secretas

debieran ser interactivos y debieran asegurar
contraseas adecuadas.
A.11.5.3.Prr.2
Se implementan controles de routing en las redes para

asegurar que las conexiones de la computadora y los flujos
de informacin no violen la poltica de control de acceso de
las aplicaciones de negocio?
El acceso a los sistemas operativos, es controlado
mediante un procedimiento de registro seguro?
Todos los usuarios tienen un identificador nico (ID de
usuario) para su uso personal?, y
Se escoge una tcnica de autenticacin adecuada para

sustanciar la identidad de un usuario?
Los sistemas para el manejo de claves secretas, son
interactivos? y
SI
Se asegura contraseas adecuadas?

SI
A.11.5.4
Uso de las utilidades del

sistema
A.11.5.5
Art. 31 Letra b Cierre de una sesin por

inactividad
Se debiera restringir y controlar estrechamente el

uso de los programas de utilidad que podran ser
capaces de superar los controles del sistema y la
aplicacin.
Las sesiones inactivas debieran ser cerradas
despus de un perodo de inactividad definido.
Se restringe y controla estrechamente el uso de los

programas de utilidad que podran ser capaces de superar
los controles del sistema y la aplicacin?
Las sesiones inactivas, son cerradas despus de un
perodo de inactividad definido?
A.11.5.6
Limitacin del tiempo de

conexin
Se debieran utilizar restricciones sobre los

Se utilizan restricciones sobre los tiempos de conexin
tiempos de conexin para proporcionar seguridad para proporcionar seguridad adicional para las aplicaciones
adicional para las aplicaciones de alto riesgo.
de alto riesgo?
A.11.6.1
Restriccin del acceso a

la informacin
El acceso de los usuarios y el personal de soporte

a la informacin y las funciones del sistema de la
aplicacin debiera limitarse en concordancia con
la poltica de control de acceso definida.
El acceso de los usuarios y el personal de soporte a la

informacin y las funciones del sistema de la aplicacin,
Se limita en concordancia con la poltica de control de
acceso definida?
A.11.6.2
Aislar el sistema
confidencial
Computacin y
comunicaciones mviles
Los sistemas confidenciales debieran tener un

ambiente de cmputo dedicado (aislado).
Se debiera establecer una poltica y adoptar las
medidas de seguridad apropiadas para proteger
contra los riesgos de utilizar medios de
computacin y comunicacin mvil.
Se debiera desarrollar e implementar una poltica,
planes operacionales y procedimientos para las
actividades de tele-trabajo.
Los sistemas confidenciales, tienen un ambiente de

cmputo dedicado (aislado)?
Se establece una poltica y se adoptan las medidas de
seguridad apropiadas para proteger contra los riesgos de
utilizar medios de computacin y comunicacin mvil?
A.11.7.1
Art. 7
Letra a
Art. 9
A.11.7.2
Tele-trabajo
SI
Se desarrolla e implementa una poltica, planes

operacionales y procedimientos para las actividades de teletrabajo?
os sistemas de informacin
Porcentaje de Cumplimiento Dominio Control de acceso

A.12.1.1
10.1.1
A.12.2.1
10.2.1
Anlisis y especificacin
de los requerimientos de
seguridad
Los enunciados de los requerimientos de negocio

para los sistemas de informacin nuevos, o las
mejoras a los sistemas de informacin existentes,
debieran especificar los requerimientos de los
controles de seguridad.
Validacin de la data de Se debiera validar la input data para las
entrada
aplicaciones para asegurar que esta data sea
correcta y apropiada.
Control del procesamiento Los chequeos de validacin se debieran
interno
incorporar en las aplicaciones para detectar
cualquier corrupcin de la informacin a travs de
errores de procesamiento o actos deliberados.
Los enunciados de los requerimientos de negocio para los

sistemas de informacin nuevos, o las mejoras a los
sistemas de informacin existentes, especifican los
requerimientos de los controles de seguridad?
Se valida la input data para las aplicaciones para
asegurar que esta data sea correcta y apropiada?
A.12.2.2
10.2.2
A.12.2.3.Prr.1
10.2.3
Integridad del mensaje
Se debiera identificar los requerimientos para

Se identifican los requerimientos para asegurar la
asegurar la autenticidad y proteger la integridad
autenticidad y proteger la integridad del mensaje en las
del mensaje en las aplicaciones, y se debieran
aplicaciones?, y
identificar e implementar los controles apropiados.
A.12.2.3.Prr.2
A.12.2.4
10.2.4
Validacin de la data de
salida
Se debiera validar la output data de una

aplicacin para asegurar que el procesamiento de
la informacin almacenada sea el correcto y el
apropiado para las circunstancias.
PMG-SSI
SI
Se incorporan en las aplicaciones chequeos de

validacin, para detectar cualquier corrupcin de la
informacin a travs de errores de procesamiento o actos
deliberados?
Se identifican e implementan los controles apropiados?

Se validan los datos de salida de una aplicacin, para
asegurar que el procesamiento de la informacin
almacenada sea el correcto y el apropiado para las
circunstancias?
SI
Pg. 51
Adquisicin, desarrollo y mantenimiento de los sistemas de informaci
A.12.3.1
10.3.1
Poltica sobre el uso de

controles criptogrficos
A.12.3.2
10.3.1.b
Gestin de claves
A.12.4.1
10.4.1
Control del software

operacional
Se debiera desarrollar e implementar una poltica

sobre el uso de controles criptogrficos para
proteger la informacin.
Se debiera establecer la gestin de claves para
dar soporte al uso de tcnicas criptogrficas en la
organizacin.
Se debieran establecer procedimientos para el
control de la instalacin del software en los
sistemas operacionales.
Se desarrolla e implementa una poltica sobre el uso de

controles criptogrficos para proteger la informacin
sensible?
Se establece la gestin de claves para dar soporte al uso
de tcnicas criptogrficas en la organizacin?
Los datos de prueba se seleccionan cuidadosamente?, y
A.12.4.2
10.4.2
Proteccin de la data del

sistema
La data de prueba se debiera seleccionar

cuidadosamente, y se debiera proteger y
controlar.
A.12.4.3
10.4.3
Control de acceso al
cdigo fuente del
programa
Procedimientos del
control del cambio
Se debiera restringir el acceso al cdigo fuente

del programa.
A.12.5.1
10.5.1
A.12.5.2
10.5.2
Revisin tcnica de la
aplicacin despus de
cambios en el sistema
A.12.5.3.Prr.1
10.5.3
Restricciones sobre los

cambios en los paquetes
de software
A.12.5.3.Prr.2
A.12.5.4
10.5.4
Filtracin de informacin
A.12.5.5
10.5.5
A.12.6.1
Se debiera controlar la implementacin de los

cambios mediante el uso de procedimientos
formales para el control del cambio.
Cuando se cambian los sistemas de operacin, se
debieran revisar y probar las aplicaciones de
negocio crticas para asegurar que no exista un
impacto adverso sobre las operaciones
institucionales o en la seguridad.
No se debieran fomentar modificaciones a los
paquetes de software, se debieran limitar a los
cambios necesarios y todos los cambios debieran
ser estrictamente controlados.
Se debieran evitar las oportunidades para la

filtracin de informacin.
Desarrollo de software
El desarrollo del software abastecido
abastecido externamente externamente debiera ser supervisado y
monitoreado por la organizacin.
Control de las
Se debiera obtener oportunamente la informacin
vulnerabilidades tcnicas sobre las vulnerabilidades tcnicas de los
sistemas de informacin que se estn utilizando,
la exposicin de la organizacin a dichas
vulnerabilidades evaluadas, y las medidas
apropiadas tomadas para tratar los riesgos
asociados.
Se establecen procedimientos para el control de la

instalacin del software en los sistemas operacionales?
SI
Se protegen y controlan?
Se restringe el acceso al cdigo fuente del programa?
SI
Se controla la implementacin de los cambios mediante el
uso de procedimientos formales para el control del cambio?
SI
Cuando se cambian los sistemas de operacin, se revisan

y prueban las aplicaciones de negocio crticas para
asegurar que no exista un impacto adverso sobre las
operaciones institucionales o en la seguridad?
Las modificaciones a paquetes de software, Se limitan a
los cambios necesarios? Y
Todos los cambios son estrictamente controlados?

Se evitan las oportunidades para el filtrado de
informacin?
El desarrollo del software abastecido externamente, es
supervisado y monitoreado por la institucin?
SI
Se obtiene oportunamente la informacin sobre las

vulnerabilidades tcnicas de los sistemas de informacin
que se estn utilizando, la exposicin de la organizacin a
dichas vulnerabilidades evaluadas, y las medidas
apropiadas tomadas para tratar los riesgos asociados?
Porcentaje de Cumplimiento Dominio Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de un incidente en la seguridad de la
A.13.1.1
A.13.1.2
A.13.2.1
A.13.2.2
Art. 12 Letra b Reporte de eventos en la Los eventos de seguridad de la informacin

seguridad de la
debieran ser reportados a travs de los canales
informacin
apropiados lo ms rpidamente posible.
Reporte de las
debilidades en la
seguridad
Se debiera requerir que todos los usuarios

empleados, contratistas y terceros de los sistemas
y servicios de informacin tomen nota de y
reporten cualquier debilidad de seguridad
observada o sospechada en el sistema o los
servicios.
Art. 12 Letra b Responsabilidades y

procedimientos
Se debieran establecer las responsabilidades y

los procedimientos para asegurar una respuesta
rpida, efectiva y metdica ante los incidentes de
la seguridad de la informacin.
Aprender de los
Se debieran establecer mecanismos para permitir
incidentes en la seguridad cuantificar y monitorear los tipos, volmenes y
de la informacin
costos de los incidentes en la seguridad de la
informacin.
PMG-SSI
En la actualidad: el Servicio cuenta con un procedimiento

de reporte de eventos que afecten a la seguridad de la
informacin?
En la actualidad: el Servicio cuenta con un mecanismo
para que los funcionarios de contrata y planta y el personal
a honorarios puedan informar a la jefatura sobre
debilidades de seguridad que detecten en los sistemas o
servicios?
En la actualidad: el Servicio cuenta con procedimientos

para manejar diversos tipos de incidentes de seguridad de
la informacin de forma rpida, eficaz y ordenada?
En la actualidad: el Servicio cuenta con mecanismos que
permitan cuantificar y monitorear los tipos, volmenes y
costos de los incidentes en la seguridad de la informacin?
SI
SI
SI
SI
Pg. 52
Gestin de un inciden
A.13.2.3
Recoleccin de evidencia Cuando una accin de seguimiento contra una

persona u organizacin despus de un incidente
en la seguridad de la informacin involucra una
accin legal (ya sea civil o criminal); se debiera
recolectar, mantener y presentar evidencia para
cumplir con las reglas de evidencia establecidas
en la(s) jurisdiccin(es) relevante(s).
En la actualidad: el Servicio cuenta con procedimientos

para recolectar, manterner y presentar evidencia para
cumplir con las reglas establecidas en la jurisdiccin
correspondiente, cuando se deba seguir una accion legal
(civil o penal) contra una persona u organizacin despus
de un incidente de seguridad de la informacin?
SI
Porcentaje de Cumplimiento Dominio Gestin de un incidente en la seguridad de la informacin
A.14.1.1
Se debiera desarrollar y mantener un proceso

institucional para la continuidad del negocio en
toda la organizacin para tratar los requerimientos
de seguridad de la informacin necesarios para la
continuidad de la institucin.
Continuidad del negocio y Se debieran identificar los eventos que pueden
evaluacin del riesgo
causar interrupciones a los procesos
Institucionales, junto con la probabilidad y el
impacto de dichas interrupciones y sus
Desarrollar e implementar Se debieran desarrollar e implementar planes
los planes de continuidad paramantener restaurar las operaciones y
incluyendo la seguridad
asegurar la disponibilidad de la informacin en el
de la informacin
nivel requerido y en las escalas de tiempo
requeridas despus de la interrupcin, o falla,
delos procesos institucionales crticos.
Marco Referencial de la
Se debiera mantener un solo marco referencial de
planeacin de la
los planes de continuidad del negocio para
continuidad del negocio
asegurar que todos los planes sean consistentes,
tratar consistentemente los requerimientos de
seguridad de la informacin e identificar las
prioridades para la prueba y el mantenimiento.
En el servicio, se ha establecido un proceso para

gestionar la continuidad del negocio?
A.14.1.5
Prueba, mantenimiento y Los planes de continuidad del negocio debieran

re-evaluacin de los
ser probados y actualizados regularmente para
planes de continuidad del asegurar que sean actuales y efectivos.
negocio
En el servicio se aprueban y actualizan dichos planes?
A.15.1.1
Identificacin de la
legislacin aplicable
A.14.1.2.Prr.1
Incluir la seguridad de la
informacin en el proceso
de gestin de continuidad
del negocio
A.14.1.2.Prr.2
Art. 7
Letra d
Art. 8
A.14.1.3
Art. 35
A.14.1.4
SI
El servicio ha identificado los eventos que pueden causar
interrupciones?
Se ha identificado la probabilidad de ocurrencia, el
impacto y consecuencias de dichas interrupciones?
En el servicio, hay planes de continuidad de negocio que
incluyan la seguridad de la informacin (disponibilidad en
nivel y escala de tiempo despus de la falla)?
SI
El servicio ha establecido un marco referencial que d

consistencia a los planes de continuidad del negocio?
Porcentaje de Cumplimiento Dominio Gestin de la continuidad del negocio
A.15.1.2
Cumplimiento
A.15.1.3
Art. 22
Letra b
Derechos de propiedad
intelectual (IPR)
Proteccin de registros
institucionales
A.15.1.4
Proteccin de la data y
privacidad de la
informacin personal
A.15.1.5
Prevencin del mal uso

de los medios de
procesamiento de la
informacin
Regulacin de controles
criptogrficos
A.15.1.6
Se debiera definir explcitamente, documentar y

actualizar todos los requerimientos estatutarios,
reguladores y contractuales relevantes, y el
enfoque de la institucin para satisfacer esos
requerimientos, para cada sistema de informacin
y su organizacin.
Se debieran implementar los procedimientos
apropiados para asegurar el cumplimiento de los
requerimientos legislativos, reguladores y
contractuales sobre el uso del material con
respecto a los cuales puedan existir derechos de
propiedad intelectual y sobre el uso de productos
de software patentado.
Se debieran proteger los registros importantes de
prdida, destruccin, falsificacin; en
concordancia con los requerimientos estatutarios,
reguladores, contractuales y de negocio.
Se definen explcitamente, documentan y actualizan todos

los requerimientos estatutarios, reguladores y contractuales
relevantes, y el enfoque de la institucin para satisfacer
esos requerimientos, para cada sistema de informacin y
su organizacin?
Se debiera asegurar la proteccin y privacidad de

la data conforme lo requiera la legislacin,
regulaciones y, si fuesen aplicables, las clusulas
contractuales relevantes.
Se debiera disuadir a los usuarios de utilizar los
medios de procesamiento de la informacin para
propsitos no autorizados.
Se asegura la proteccin y privacidad de la data conforme

lo requiera la legislacin, regulaciones y, si fuesen
aplicables, las clusulas contractuales relevantes?
SI
Se implementan los procedimientos apropiados para

asegurar el cumplimiento de los requerimientos legislativos,
reguladores y contractuales sobre el uso del material con
respecto a los cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de software
patentado?
Se debieran protegen los registros importantes de
prdida, destruccin, falsificacin; en concordancia con los
requerimientos estatutarios, reguladores, contractuales y de
negocio?
SI
Se disuade a los usuarios de utilizar los medios de

procesamiento de la informacin para propsitos no
autorizados?
Los controles criptogrficos se debieran utilizar en Los controles criptogrficos, se utilizan en cumplimiento
cumplimiento con todos los acuerdos, leyes y
con todos los acuerdos, leyes y regulaciones relevantes?
regulaciones relevantes.
PMG-SSI
Pg. 53
Cumpli
A.15.2.1
Cumplimiento con las

polticas y estndares de
seguridad
La jefatura de rea debiera asegurar que se lleven

a cabo correctamente todos los procedimientos de
seguridad dentro de su rea de responsabilidad
para asegurar el cumplimiento de las polticas y
estndares de seguridad.
A.15.2.2
Chequeo del
cumplimiento tcnico
Los sistemas de informacin debieran chequearse Los sistemas de informacin, se chequean regularmente
regularmente para ver el cumplimiento de los
para ver el cumplimiento de los estndares de
estndares de implementacin de la seguridad.
implementacin de la seguridad?
A.15.3.1
Controles de auditora de Las actividades y requerimientos de auditora que

los sistemas de
involucran chequeos de los sistemas
informacin
operacionales debieran ser planeados y
acordados cuidadosamente para minimizar el
riesgo de interrupciones en los procesos
comerciales.
Proteccin de las
Se debiera proteger el acceso a las herramientas
herramientas de auditora de auditora de los sistemas de informacin para
de los sistemas de
evitar cualquier mal uso o trasgresin posible.
informacin
A.15.3.2
Art. 7
Letra c
La jefatura de rea, asegura que se lleven a cabo

correctamente todos los procedimientos de seguridad
dentro de su rea de responsabilidad para asegurar el
cumplimiento de las polticas y estndares de seguridad?
Las actividades y requerimientos de auditora que

involucran chequeos de los sistemas operacionales, son
planeados y acordados cuidadosamente para minimizar el
riesgo de interrupciones en los procesos de negocio?
Se protege el acceso a las herramientas de auditora de

los sistemas de informacin para evitar cualquier mal uso o
trasgresin posible?
Porcentaje de Cumplimiento Dominio Cumplimiento
PMG-SSI
Pg. 54
Productos esperados
Hitos y actividades comprometidas
Trmino
Estimado
Real
Desviaciones (das)
Observaciones
Nombre del Archivo Evidencia (Ver nota)
Difusin
Capacitacin
Nota: De acuerdo a las evidencias que seale la Institucin en este reporte, para los productos declarados como cumplidos, la Red de Expertos le solicitar las
evidencias - que estime necesarias - para certificar la suficiencia y completitud de ellas para sustentar tal declaracin, en el marco de la Asistencia Tcnica del PMG
SSI. Del mismo modo, dichas evidencias deben posibilitar la realizacin de cualquier otro tipo de revisin o auditora, tanto dentro de la Institucin, como por
organismos externos a ella.
Red de Exp
PMG/MEI - SSI: RESUMEN - IMPLEMENTACIN

DOMINIO
Poltica de seguridad
Gestin de Activos
Gestin de las comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de un incidente en la seguridad de la informacin
Cumplimiento
ESTADO DE LA INSTITUCION (DIAGNOSTICO)
% CUMPLIMIENTO
COBERTURA
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
Estado de la Institucin por Dominio (%)

Cumplimiento0.00
Gestin de la continuidad del negocio0.00
Gestin de un incidente en la seguridad de la informacin 0.00
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin0.00
Control de acceso 0.00
Gestin de las comunicaciones y operaciones0.00
Seguridad Fsica y Ambiental 0.00
Seguridad de recursos humanos0.00
Gestin de Activos 0.00
Organizacin de la Seguridad de la Informacin 0.00
0.00
66
PMG/MEI - SSI: RESUMEN - IMPLEMENTACIN
Red de Exp
0.00
Poltica de seguridad 0.00
66
Red de Expertos
Series1
66
Red de Expertos
66
Requisitos Tcnicos
Evaluacin de los resultados del Plan General
Difusin de los resultados de la implementacin
ntacin
Revisin del % de cumplimiento logrado, por parte del CSI

Revisin de los resultados de las actividades desarrolladas y la efectividad en la mitigacin de riesgos
Identificacin de riesgos persistentes y otras debilidades, y su anlisis de causa
Recomendaciones de mejora, que consideren medidas correctivas y preventivas
Medios de verificacin (adjuntar)
Requisitos Tcnicos
Recomendaciones y medidas de mejoramiento
Compromisos
Plazo
Responsable
Revisiones regulares del SSI
Indicadores y metas
Inventario de activos y riesgos
Requisitos Tcnicos
Revisin 1
Revisin 2
Revisin n
Revisin de indicadores y metas
Establecimiento de medidas de mejora
Aprobacin CSI o Direccin
Actualizacin del inventario de activos
Incorporacin a gestin de riesgos institucional
Fecha

Articles-51683 Introd Instrumentos 062012

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Articles-51683 Introd Instrumentos 062012

Uploaded by

Copyright:

Available Formats

Red de Exp

Subsecretara del Interior - Divi

PMG/MEI -SSI: RESUMEN - DIAGNOSTICO

Direccin de Presupuestos - Divisin Tecnolog

Estado de la Institucin por Dominio (%)

Programa de mejoramiento de la gestinMinisterio del Interior

PMG/MEI -SSI: RESUMEN - DIAGNOSTICO

Direccin de Presupuestos - Divisin Tecnolog

Programa de mejoramiento de la gestinMinisterio del Interior

e Presupuestos - Divisin Tecnologas de Informacin

Programa de mejoramiento de la gestinMinisterio del Interior

e Presupuestos - Divisin Tecnologas de Informacin

Programa de mejoramiento de la gestinMinisterio del Interior

IDENTIFICACIN DE ACTIVOS DE INFORMACIN

<Inserte fila para agregar controles>

Registro histrico Descripcin del Probabilidad de

Tratamiento del riesgo: Nombre de los

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

Nombre del Archivo Evidencia

Responsable del Producto

Fecha Inicio Fecha Trmino

EMPEO AO 2011". Disponible en http://www.dipres.gob.cl/572/articles-36282_doc_pdf3.pdf (30 de Marzo de 2012)

Poltica de Seguridad (5.1)

Alcance de la gestin de riesgos de SI.

Responsabilidad sobre la SI en la organizacin.

Responsabilidad sobre la SI en terceros.

Gestin de activos (7.1 y 7.2)

Eficacia de los planes de tratamiento de riesgo.

Seguridad de RRHH (8.1, 8.2 y

Seguridad fsica y ambiental

Efectividad de las revisiones de seguridad fsica.

10.3 % de Controles ISO NCh 27002 Of.2009 Implementadas

10.8 Existencia y efectividad de polticas, procedimientos y controles

Control de Accesos (11.1 al

11.3 Definicin documentada y aplicada de responsabilidades relativas

Grado de efectividad de la difusin acerca de los procedimientos de

Gestin de Continuidad del

Efectividad en la implementacin de los planes de continuidad del

Efectividad de la poltica de cumplimiento.

Efectividad del SSI

Gestin de riesgos en general,

Gestin de riesgos en general,

Evaluacin de medidas de seguridad adoptadas en el intercambio de activos de informacin

Etapa desde la cual sera

an vendidos ni incorporados en ningn

En el Servicio: existe un documento denominado Poltica

Porcentaje de Cumplimiento Dominio Poltica de Seguridad

Organizacin de la Seguridad de la Informacin

Art. 12 Letra c Contacto con grupos de

El Jefe de Servicio: ha designado mediante resolucin al

El Jefe de Servicio: ha designado mediante resolucin al

Todas las responsabilidades de la seguridad de la En la resolucin de nombramiento del Encargado de

Contacto con las

Se debieran mantener los contactos apropiados

En la actualidad: existe un procedimiento que especifique

Un proceso de la direccin para la autorizacin de En la actualidad: existe un procedimiento de autorizacin

Se debieran identificar y revisar regularmente que En la actualidad: utiliza el Servicio acuerdos de

Se debiera revisar el enfoque de la organizacin

En la actualidad: se revisa a intervalos regulares o

En la actualidad: Identifica el Servicio el riesgo para la

En la actualidad: el Servicio aborda todos los

Porcentaje de Cumplimiento Dominio Organizacin de la Seguridad de la Informacin