GAP análisis ISO 27001-27002

Enviado por Ricardo Vasquez • 3 de Septiembre de 2023 • Informes • 1.790 Palabras (8 Páginas) • 40 Visitas

Página 1 de 8

XXX | GAP ISO 27001-2[pic 2][pic 1]

Informe GAP ISO 27001-2

GAP ANÁLISIS ISO 27001-27002

TERMINOS DE CONFIDENCIALIDAD

Este documento contiene información confidencial de propiedad de . XXXX acuerda mantener esta información confidencial y no reproducirla o darla a conocer a ninguna persona fuera del grupo directamente responsable de la evaluación de su contenido.

Contenido

TERMINOS DE CONFIDENCIALIDAD 1

Objetivo 3

Alcance 3

1. Evaluación ISO/IEC 27001-2/2013 4

1.1 Descripción General 4

2. Modelo de Madurez 5

3. Resultados Análisis GAP ISO 6

3.1 Resumen evaluación de seguridad 6

3.2 Nivel de adhesión al modelo 7

3.3 Resultado por objetivos de control 8

3.4 Detalle de las brechas detectadas por cada uno de los controles 9

3.5 Detalle de las debilidades detectadas en controles de TI 20

3.6 Documentos requeridos para formalizar la seguridad de la información 21

3.7 Proyectos propuestos 23

3.8 Controles TI necesarios para la garantizar la seguridad de la información 23

4. Conclusión 24

5. Recomendaciones 25

Objetivo

El presente documento tiene por finalidad comunicar los resultados obtenidos de la ejecución del Análisis GAP o Análisis de Brechas realizado a XX, fundamentado en el Anexo A de la norma ISO/IEC 27001 en concordancia con la ISO/IEC 27002:2013. El servicio estuvo orientado a evaluar el cumplimiento con las citadas normas y determinar así el nivel de madurez y las capacidades actuales en materia de seguridad de la información, como punto de partida para establecer la estrategia, y así identificar y tratar los riesgos, y con esto proteger los activos de información de la empresa.

Alcance

El alcance del análisis de brechas realizado se centró específicamente en revisar la documentación existente en materia de seguridad de la información y evaluar los controles de la norma ISO 27001-2 a través de entrevistas con los responsables o personal relevante de las áreas involucradas.

Es importante tener en cuenta que este análisis de brechas no reemplaza a una auditoría formal de certificación ISO27001, sino que proporciona una visión inicial de la situación actual en materia de seguridad de la información en la organización y servirá de base para la implementación de mejoras continuas al sistema de gestión de seguridad de la información (SGSI).

La actividad fue desarrollada por medio de entrevistas a las personas que administran o tienen bajo su responsabilidad áreas como: Infraestructura de TI, Cumplimiento, Desarrollo de Sistemas y Recursos Humanos (o personal), además de una visita presencial para revisión física y/o perimetral.

Evaluación ISO/IEC 27001-2/2013

Descripción General

Esta evaluación de seguridad de la información, que tiene como base la norma ISO/IEC 27002:2013, permite, en un esquema de “revisión de cumplimiento”, determinar la distancia a que se encuentra la organización respecto de las mejores prácticas del mercado.

Los 14 dominios de seguridad incluidos en el Anexo A de la Norma ISO/IEC 27001 y detallados en la norma ISO/IEC 27002:2013, son los siguientes:

A.5.- Políticas de seguridad de la Información
A.6.- Organización de la Seguridad de la Información
A.7.- Seguridad relativa a los Recursos Humanos
A.8.- Gestión de activos
A.9.- Control de accesos
A.10.- Criptografía
A.11.- Seguridad física y del entorno
A.12.- Seguridad de las operaciones
A.13.- Seguridad de las comunicaciones
A.14.- Adquisición, desarrollo y mantenimiento de sistemas
A.15.- Relación con los proveedores
A.16.- Gestión de incidentes de seguridad de la información
A.17.- Aspectos de seguridad de la información para la gestión de la continuidad del negocio
A.18.- Cumplimiento

Los 14 dominios de seguridad, divididos en 35 objetivos, contienen 114 controles que, en su mayoría, son aplicables a todas las organizaciones.

Esta norma es de aplicación transversal, aun cuando el énfasis del control es de TI y sus servicios, su implementación involucra a toda la organización y sus procesos. Es necesario concebir la seguridad de la información permeando en toda la organización, de allí que se consideren aspectos no tecnológicos como el cumplimiento legal, la relación laboral, definición de roles y responsabilidades, entre otras.

El análisis considera cada uno de los controles incluidos en la norma, específicamente su evaluación respecto de las buenas prácticas allí señaladas, la determinación de debilidades (si las hay) y la formulación de las recomendaciones tendentes a erradicar las causas de esas debilidades destinadas a mejorar la seguridad de la información de la empresa a corto, mediano y largo plazo.

Modelo de Madurez

La siguiente tabla muestra la escala y detalle de la metodología utilizada para evaluar los distintos controles

[pic 3]

...

Descargar como (para miembros actualizados) txt (10.7 Kb) pdf (329 Kb) docx (403.4 Kb)

Leer 7 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

OCTAVE VRS CRAMM APOYO ISO 270001
CRAMM VS OCTAVE CONTENIDO INTRODUCCIÓN 1. DESCRIPCIÓN METODOLOGÍAS 2. CUADRO COMPARATIVO 3. VENTAJAS Y DESVENTAJAS CONCLUSIONES BIBLIOGRAFIA INTRODUCCIÓN Las organizaciones dependen de los sistemas (Sofware),

7 Páginas • 3364 Visualizaciones
Requisitos De Manejo De ISO 9001
1. MÓDULO DE FORMACIÓN: “ FUNDAMENTACION DE UN SISTEMA DE GESTION DE CALIDAD” 2. UNIDAD DE APRENDIZAJE-SEMANA 1: Introducción a los sistemas de Gestión de

4 Páginas • 1851 Visualizaciones
Norma Iso-2859 PROCEDIMIENTOS DE MUESTREO PARA INSPECCION POR ATRIBUTOS
NORMA TÉCNICA COLOMBIANA 2859-3 PROCEDIMIENTOS DE MUESTREO PARA INSPECCION POR ATRIBUTOS. PROCEDIMIENTOS DE MUESTREO INTERMITENTES OBJETO Esta norma establece los procedimientos genéricos del muestreo Intermitente

23 Páginas • 3630 Visualizaciones
ISO 9001:2008 Gestión De Calidad
Taller Semana 4. Calidad Enfocada al Cliente CASO DE ESTUDIO-GRUPAL: “Medición de la Satisfacción del Cliente Externo” DATOS GENERALES Programa Programa Sistemas de Gestión de

2 Páginas • 2742 Visualizaciones
Las Normas ISO 9000
CAPITULO I GENERALIDADES 1.1. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben

10 Páginas • 2241 Visualizaciones
ISO 9000:2008
0. INTRODUCCIÓN Objetivos del sistema de gestión de la calidad Identificar y satisfacer las necesidades y expectativas de los interesados para lograr una ventaja competitiva.

11 Páginas • 1090 Visualizaciones
Norma Iso 9001 Para La Calidad Del Software
NORMA ISO 9001 PARA LA CALIDAD DEL SOFTWARE La calidad del software la obtención de un software con calidad implica la utilización de metodologías o

11 Páginas • 1840 Visualizaciones
Normas ISO
... lenguaje común, que facilita el entendimiento entre productores y consumidores, la selección de materiales, procesos o productos, etc. La finalidad principal de las normas

2 Páginas • 1325 Visualizaciones
CALIDAD EN EL TRABAJO NORMAS ISO
INDICE INTRODUCCIÓN 1. DEFINICIÓN DE NORMAS ISO 2. OBJETIVOS DE LAS NORMAS ISO 3. EVOLUCIÓN Y CLASIFICACIÓN DE LAS NORMAS ISO 4. LAS NORMAS ISO

14 Páginas • 1253 Visualizaciones
Norma Iso 9001:2008
2.2.2. La actual Norma ISO 9001:2008 Sistemas de gestión de la calidad - Requisitos. Esta norma identifica los requisitos para un sistema de Gestión de

2 Páginas • 6968 Visualizaciones