Articles-51683 Introd Instrumentos 062012

Red de Exp
PMG/MEI -SSI: RESUMEN - DIAGNOSTICO Subsecretaría del Interior - Divis

Dirección de Presupuestos - División Tecnolog
DOMINIO % CUMPLIMIENTO COBERTURA

Política de seguridad 0.00 0.00
Organización de la Seguridad de la Información 0.00 0.00
Gestión de Activos 0.00 0.00
Seguridad de recursos humanos 0.00 0.00
Seguridad Física y Ambiental 0.00 0.00
Gestión de las comunicaciones y operaciones 0.00 0.00
Control de acceso 0.00 0.00
Adquisición, desarrollo y mantenimiento de los sistemas de información 0.00 0.00
Gestión de un incidente en la seguridad de la información 0.00 0.00
Gestión de la continuidad del negocio 0.00 0.00
Cumplimiento 0.00 0.00
ESTADO DE LA INSTITUCION (DIAGNOSTICO) 0.00
Estado de la Institución por Dominio (%)

Cumplimiento0.00
Gestión de la continuidad del negocio0.00
Gestión de un incidente en la seguridad de la información0.00
Adquisición, desarrollo y mantenimiento de los sistemas de información0.00
Control de acceso0.00
Gestión de las comunicaciones y operaciones0.00

Colu
Seguridad Física y Ambiental 0.00
Seguridad de recursos humanos0.00
Gestión de Activos0.00
Organización de la Seguridad de la Información0.00
Política de seguridad0.00
0.00 10.00 20.00 30.00 40.00 50.00 60.00 70.00 80.00 90.00 100.00
73 Programa de mejoramiento de la gestiónMinisterio del Interior

Colu
Seguridad de recursos humanos0.00 Red de Exp

PMG/MEI -SSI: RESUMEN - DIAGNOSTICO Subsecretaría del Interior - Divis
Dirección de Presupuestos - División Tecnolog
0.00 10.00 20.00 30.00 40.00 50.00 60.00 70.00 80.00 90.00 100.00

Red de Expertos
Subsecretaría del Interior - División Informática
Presupuestos - División Tecnologías de Información
Column C
90.00 100.00
Column C
Red de Expertos
Presupuestos - División Tecnologías de Información
90.00 100.00

Red de Expertos PMG-SSI SI
Subsecretaria del Interior CRITERIO
Dirección de Presupuestos
#REF!
MATRIZ DE DIAGNÓSTICO PMG SSI 2011
DESCRIPCIÓN RESPONSABLE
(MAT
PLIM
DOM
NIVE
ANTI
IENT
L DE
CUM
GUA
DESCRIPCIÓN DE LA DOCUMENTOS /
CON
REF.
TRO
INIO
ISO
DS-
RIZ
AMBITO CONTROL REQUISITO/ CONTROL ENTREGABLE DEL ESTADO ENTREVISTADO
83
O
L
)
BRECHA EVIDENCIAS
ACTUAL (nombre y cargo)
A.5.1.1 Art. 11
El documento de la política de En el Servicio: ¿existe un documento
Documento
seguridad de la información denominado Política de Seguridad de la
de la Debe adjuntar política de
debiera ser aprobado por la información, que esté aprobado por el Jefe
política de Política de seguridad con definiciones
Dirección, y publicado y de Servicio, y que refleja claramente el SI 1 a
seguridad Seguridad General especificadas en
comunicado a todos los compromiso, apoyo e interés en el fomento
de la requerimiento
empleados y las partes externas y desarrollo de una cultura de seguridad
información
relevantes. institucional?
Art. 11 El documento Politica de Seguridad: Debe adjuntar política de

a ¿contiene una definición de seguridad de Política de seguridad con definiciones
SI 1
los activos de información, sus objetivos Seguridad General especificadas en
globales, alcance e importancia? requerimiento
Política de Seguridad
Art. 11 El documento Politica de Seguridad: Debe adjuntar política de

b ¿contiene un párrafo que señale los Política de seguridad con definiciones
SI 1
medios de difusión de sus contenidos al Seguridad General especificadas en
interior de la organización? requerimiento
A.5.1.1
En la actualidad, el documento Politica de Debe adjuntar política de
Seguridad: ¿se publica y se comunica a Política de seguridad con definiciones
SI 1
todos los funcionarios y partes externas Seguridad General especificadas en
relevantes? requerimiento
Art. 11 Revisión de La política de seguridad de la El documento Politica de Seguridad:

c la política información debiera ser revisada ¿contiene un párrafo que señale cada Debe adjuntar política de
de aintervalos planeados o si ocurren cuánto tiempo se reevaluará (que debe ser Política de seguridad con definiciones
cambios significativos para SI 1
seguridad cada 3 años como máximo)? ¿explicita Seguridad General especificadas en
de la asegurar su continua idoneidad, con qué periodicidad su cumplimiento será requerimiento
información eficiencia y efectividad. revisado?
A.5.1.2
En la actualidad, el documento Politica de
Debe adjuntar política de
Seguridad: ¿se revisa en los intervalos
Política de seguridad con definiciones
planeados o cuando ocurren cambios SI 1
Seguridad General especificadas en
significativos para asegurar su continua
requerimiento
idoneidad, eficiencia y efectividad?
A.6.1.1 Art. 12 Compromis La dirección debiera apoyar El Jefe de Servicio: ¿ha designado Resolución de Debe adjuntar resolución de
o de la activamente la seguridad dentro de mediante resolución al Encargado de nombramiento nombramiento que especifique
dirección la organización a través de una Seguridad de la Inoformación? Encargado lo solicitado en el
con la dirección clara, compromiso requerimiento SI 1
seguridad demostrado, asignación explícita
de la del Encargado de Seguridad y
información reconociendo las
responsabilidades de la seguridad
A.6.1.2 de laactividades
Coordinació Las información.
de la seguridad de El Jefe de Servicio: ¿ha designado Resolución de Debe adjuntar resolución de
Organización de la Seguridad de la Información
n de la la información debieran ser mediante resolución al Comité de nombramiento nombramiento que especifique
seguridad coordinadas por representantes de Seguridad de la Inoformación, Comité lo solicitado en el
de la diferentes partes de la designándole funciones espedíficas? requerimiento SI 1
información organización con roles y funciones
laborales relevantes.
A.6.1.3 Art. 12 Asignación Todas las responsabilidades de la En la resolución de nombramiento del Resolución de Debe adjuntar resolución de
a de las seguridad de la información Encargado de Seguridad de la Información: nombramiento nombramiento que especifique
responsabili debieran estar claramente ¿se encuentra explicitada la función: Encargado lo solicitado en el
dades de la definidas. "Tener a su cargo el desarrollo inicial de las requerimiento
seguridad políticas de seguridad al interior de su SI 1
de la organización y el control de su
información implementación, y velar por su correcta
aplicación"?
Art. 12 En la resolución de nombramiento del Resolución de Debe adjuntar resolución de

b Encargado de Seguridad de la Información: nombramiento nombramiento que especifique
¿se encuentra explicitada la función: Encargado lo solicitado en el
"Coordinar la respuesta a incidentes que requerimiento SI 1
afecten a los activos de información
institucionales"?
PMG-SSI Pág. 5
INIOde la Seguridad de

#REF!
(MAT
PLIM
DOM
NIVE
ANTI
IENT
L DE
CUM
GUA
CON
REF.
TRO
ISO
DS-
RIZ
Organización

83
O
L
)
BRECHA EVIDENCIAS
A.6.1.7 Art. 12 Contacto Se debieran mantener contactos En la resolución de nombramiento del Resolución de Debe adjuntar resolución de
Letra c con grupos apropiados con grupos de interés Encargado de Seguridad de la Información: nombramiento nombramiento que especifique
de interés especial u otros foros de seguridad ¿se encuentra explicitada la función: Encargado lo solicitado en el
especial especializados y asociaciones "Establecer puntos de enlace con requerimiento
profesionales. encargados de seguridad de otros SI 1
organismos públicos y especialistas
externos que le permitan estar al tanto de
las tendencias, normas y métodos de
seguridad pertinentes"?
A.6.1.6 Contacto Se debieran mantener los En la actualidad: ¿existe un procedimiento Procedimiento Debe adjuntar procedimiento
con las contactos apropiados con las que especifique cuándo y qué autoridades Contacto que señale lo especificado en
autoridades autoridades relevantes. deben ser contactadas (bomberos, autoridades el requerimiento SI 1
carabineros, PDI, proveedor de Internet,
etc)?
A.7.1.1 Art. 13 Inventario Se debieran identificar todos los En el servicio, ¿se identifican los activos de Inventario de Debe adjuntar inventario de
Gest
Acti
vos
ión
de
de los activos y se debiera elaborar y información y se elabora un inventario de Activos activos de información críticos SI 1
activos mantener un inventario de todos ellos? para el proceso seleccionado
A.8.1.1 Roles y los activos importantes.
Se debieran definir y documentar En la actualidad: ¿el Servicio cuenta con Cláusula Se debe adjuntar cláusula
responsabili los roles y responsabilidades de la una definición de roles de los funcionarios, incorporada a incorporada a contratos
dades seguridad de los empleados, tanto contrata, planta como personal a contratos honorarios o en Manual de
Seguridad de recursos humanos
contratistas y terceros en honorarios, que especifiquen su honorarios y en HYS SI 1

concordancia con la política de responsabilidad en temas de seguridad de Manual de HYS
seguridad de la información de la la información?
organización.
A.8.1.2 Investigació Los chequeos de verificación de En la etapa de selección: ¿Se lleva a cabo Procedimiento de Se debe adjuntar
n de antecedentes de todos los la verificación de antencedentes legales, verificación de procedimiento de verificación
antecedente candidatos para empleo, comportamientos éticos, y otros antecedentes para de antecedentes para
s contratistas y terceros debieran antecedentes de relevancia según la candidatos a candidatos a puestos de
llevarse a cabo en concordancia clasificación de la información a la cual va puestos de trabajo trabajo dentro de la institución. SI 1
con las leyes, regulaciones y ética a tener acceso, de todos los candidatos a
relevantes; y debieran ser un cargo, sea de planta, contrata o
proporcionales a los personal a honorarios?
requerimientos comerciales, la
clasificación de la información a la
A.8.3.2 Devolución Todos
cual selos
vausuarios empleados,
a tener acceso y los En la actualidad: ¿existe un procedimiento Procedimiento que Debe adjuntar política o
de los contratistas y terceras personas
riesgos percibidos. para que todos los funcionarios de planta y entregue procedimiento que entregue
activos debieran devolver todos los activos contrata y personal a honorarios, lineamientos los lineamientos del
de la institución que tengan en su devuelvan todos los activos de la institución respecto a requerimiento. SI 1
posesión al término de su empleo, que tengan en su posesión al término de devolución de
contrato o acuerdo. sus funciones o de su contrato? activos
A.9.1.1 Art. 17 Perímetro Se debieran utilizar perímetros de En el servicio, ¿se utilizan perímetros de Procedimiento que Debe adjuntar política o
de seguridad (barreras tales como seguridad (paredes, rejas controladas por entregue procedimiento que entregue
seguridad paredes, rejas de entrada tarjetas o recepcionistas, u otros similares) lineamientos los lineamientos del
física controladas por tarjetas o para proteger las áreas que contienen respecto al requerimiento.
recepcionistas) para proteger las información y sus medios de Perímetro de SI 1
áreas que contienen información y procesamiento? seguridad física
medios de procesamiento de
información.
Seguridad Física y Ambiental
A.9.2.1 Art. 17 Ubicación y Se debiera ubicar o proteger el En el servicio, ¿el equipamiento está Procedimiento que Debe adjuntar política o
protección equipo para reducir las amenazas ubicado o protegido de forma que se entregue procedimiento que entregue
del equipo y peligros ambientales y reduzcan las amenazas y peligros lineamientos los lineamientos del
oportunidades para acceso no- ambientales y acceso no autorizado? respecto a la requerimiento. SI 1
autorizado. protección del
equipamiento.
A.9.2.4 Mantenimie Se debiera mantener En el servicio ¿se han impartido Procedimiento para Debe adjuntar política o
nto de correctamente el equipo para instrucciones para segurar que se haga el Mantenimiento procedimiento que entregue
equipo asegurar su continua mantenimiento del equipamiento? de equipo los lineamientos del SI 1
disponibilidad e integridad. requerimiento.
A.9.2.6 Art. 26 Seguridad Se debieran chequear los ítems En el servicio, ¿se ha establecido que se Procedimiento de Debe adjuntar política o
Letra e de la del equipo que contiene medios de debe chequear el equipamiento que Seguridad de la procedimiento que entregue
eliminación almacenaje para asegurar que se contiene información para segurarse que eliminación o re- los lineamientos del
o re-uso del haya retirado o sobre-escrito se haya retirado o sobre-escrito cualquier uso del equipo requerimiento. SI 1
equipo cualquier data confidencial o dato confidencial o licencia antes de su
licencia de software antes de su eliminación?
eliminación.
PMG-SSI Pág. 6
Física y
INIO Seguridad

#REF!
(MAT
PLIM
DOM
NIVE
ANTI
IENT
L DE
CUM
GUA
CON
REF.
TRO
ISO
DS-
RIZ
83
O
L
)
BRECHA EVIDENCIAS
A.9.2.7 Retiro de El equipo, información o software ¿En el servicio se ha previsto que haya una Procedimiento de Debe adjuntar política o
propiedad no debiera retirarse sin autorización antes del retiro de Retiro de procedimiento que entregue
autorización previa. equipamiento, información o software? propiedad los lineamientos del SI 1
requerimiento.
A.10.1.1 Art. 7 Procedimien Los procedimientos de operación Los procedimientos de operación, ¿están Procedimientos de Debe adjuntar política o
Letra b- tos de se debieran documentar, mantener documentados, al día y puestos a operación procedimiento que entregue
c operación y poner a disposición de todos los disposición de todos los usuarios que los documentados los lineamientos del SI 1
documentad usuarios que los necesiten. necesiten? requerimiento.
os
A.10.1.2 Gestión del Se debieran controlar los cambios ¿Se controlan los cambios en los medios y Procedimiento que Debe adjuntar política o
cambio en los medios y sistemas de sistemas de procesamiento de la entregue procedimiento que entregue
procesamiento de la información. información? lineamientos los lineamientos del
referidos a cambios requerimiento. SI 1
en los medios y
sistemas de
procesamiento de
la información
A.10.1.3 Art. 7 Segregació Los deberes y áreas de Los deberes y áreas de responsabilidad, Procedimiento que Debe adjuntar política o
Letra f n de los responsabilidad debieran estar ¿son segregados de manera de reducir las entregue procedimiento que entregue
deberes segregados para reducir las oportunidades de una modificación no- lineamientos los lineamientos del
SI 1
oportunidades de una modificación autorizada o mal uso no-intencional o mal respecto a la requerimiento, y/o pantallazo
no-autorizada o mal uso no- uso de los activos de la institución? segregación de de sistemas con perfilamiento
intencional o mal uso de los deberes en cada de usuario
activos de la institución. área de
A.10.1.4 Separación Los medios de desarrollo, prueba y Los medios de desarrollo, prueba y Procedimientos Debe adjuntar política o
responsabilidad
de los operación debieran estar operación, ¿están separados de manera de para la procedimiento que entregue
medios de separados para reducir los riesgos reducir los riesgos de acceso no-autorizado transferencia de los lineamientos del
desarrollo, de acceso no-autorizado o o cambios en el sistema operacional? software para el requerimiento, y/o pantallazo
prueba y cambios en el sistema operacional. paso a producción. de sistemas con perfilamiento SI 1
operación Arquitectura de sus de usuario, diagrama de
ambientes arquitectura
(desarrollo,
Gestión de las comunicaciones y operaciones
pruebas y
A.10.2.1 Entrega del Se debiera asegurar que los ¿Se aseguran que los controles de Acuerdo de niveles
producción). Debe adjuntar Acuerdo de
servicio controles de seguridad, seguridad, definiciones del servicio y de serviciode
Estádares con niveles de servicio con
definiciones del servicio y niveles niveles de entrega incluidos en el acuerdo terceros (contrato,
perfilamiento terceros (contrato,
SI 1
de entrega incluidos en el acuerdo de entrega del servicio de terceros se procedimientos,
utilizado. procedimientos, políticas, etc.)
de entrega del servicio de terceros implementen, operen y mantengan? políticas, etc.)
se implementen, operen y
A.10.3.2 mantengan.
Aceptación Se debiera establecer el criterio de ¿Se establece el criterio de aceptación de Procedimiento con Debe adjuntar Procedimientos
del sistema aceptación de los sistemas de los sistemas de información nuevos, criterios de de operación para el control
información nuevos, actualizaciones o versiones nuevas? y aceptación de los de cambios en arquitectura SI 1
actualizaciones o versiones sistemas de tecnológica, formalizados
nuevas y se debieran realizar información
pruebas adecuadas del sistema(s) ¿Se realizan pruebas adecuadas del Procedimiento
nuevos, para Debe adjuntar Procedimientos
durante el desarrollo y antes de su sistema(s) durante el desarrollo y antes de la definición y o
actualizaciones de operación para el control SI 1
aceptación. su aceptación? ejecución
versiones denuevas de cambios en arquitectura
planes de prueba tecnológica, formalizados
A.10.5.1 Art. 24 Respaldo Se debieran hacer copias de ¿Se realizan copias de respaldo de la Procedimiento de Debe adjuntar política o
Letra a- de respaldo de la información y información y software? y respaldo de la procedimiento y/o pantallazo
b-c-d-e- información software y se debieran probar información del control implementado, que SI 1
f-g regularmente en concordancia con entregue los lineamientos del
la política de copias de respaldo requerimiento.
acordada. ¿Se prueban regularmente en Procedimiento de Debe adjuntar Política de
concordancia con la política de copias de respaldo de la seguridad, sancionada,
respaldo acordada? información pantallazo o registro de SI 1
pruebas de restauración de
medios
A.10.6.2 Seguridad
En todo contrato de redes se En todo contrato de redes, ¿se identifican e Ejemplo de Debe adjuntar Ejemplo de 1
de losdebieran identificar e incluir las incluyen las características de seguridad?, cláusula de cláusula de seguridad en
servicios de
características de seguridad, seguridad en contratos con terceros SI
la redniveles de servicio y contratos con
requerimientos de gestión de todos terceros
A.10.8.2 Art. 10 Acuerdos Se
los deberian
servicios establecer acuerdos
de red, ya sea que ¿Se establecen acuerdos para el Procedimiento para Debe adjuntar política o 1
Letra a de para
estoselservicios
intercambio
seande información
provistos intercambio de información y software entre establecer procedimiento que entregue
intercambio yinterna
software entre la institución y
o externamente. la institución y entidades externas? acuerdos para el los lineamientos del SI
entidades externas. intercambio de requerimiento.
información y
software entre la
institución y
entidades externas.
PMG-SSI Pág. 7
Gestión

#REF!
(MAT
PLIM
DOM
NIVE
ANTI
IENT
L DE
CUM
GUA
CON
REF.
TRO
INIO
ISO
DS-
RIZ
83
O
L
)
BRECHA EVIDENCIAS
A.10.10. Art. 7 Uso del Se debieran establecer ¿Se establecen procedimientos para el Procedimiento Debe adjuntar política o 1
2 Letra d sistema de procedimientos para el monitoreo monitoreo del uso de los medios de para el monitoreo procedimiento que entregue
monitoreo del uso de los medios de procesamiento de la información? del uso de los los lineamientos del SI
procesamiento de la información y medios de requerimiento.
se debieran revisar regularmente procesamiento de
los resultados de las actividades la información.
¿Se revisan regularmente los resultados de Reporte de Debe adjuntar Reporte de 1
de monitoreo. las actividades de monitoreo? resultados del auditorías
monitoreo SI
A.10.10. Registro de Se debieran registrar y analizar las ¿Se registran y analizan las fallas?, y Procedimiento de Debe adjuntar política o 1
5 fallas fallas, y se debieran tomar las registro y analis de procedimiento que entregue
acciones necesarias. fallas los lineamientos del
requerimiento, y/o pantallazo SI
del control implementado.
A.11.1.1 Art. 28 Política de Se debiera establecer, documentar ¿Se establece, documenta y revisa la Política de control Debe adjuntar política o
Letra a- control del y revisar la política de control de política de control de acceso en base a los de acceso. procedimiento que entregue
b-c-d-e- acceso acceso en base a los requerimientos de negocio y de seguridad los lineamientos del SI 1
f-g-h-i-j requerimientos de negocio y de para el acceso? requerimiento.
seguridad para el acceso.
A.11.2.2 Art. 30 Gestión de Se debiera restringir y controlar la ¿Se restringe y controla la asignación y uso Procedimiento para Debe adjuntar política o
privilegios asignación y uso de privilegios. de privilegios? la asignación y procedimiento que entregue
restricción del uso los lineamientos del SI 1
de privilegios. requerimiento.
A.11.3.2 Art. 31 Equipo del Los usuarios debieran asegurar Los usuarios, ¿asegurar que el equipo Procedimiento que Debe adjuntar política o Política de acceso
Letra a- usuario que el equipo desatendido tenga la desatendido tenga la protección asegure protección procedimiento que entregue
b desatendido protección apropiada. apropiada? al equipo los lineamientos del
desatendido. requerimiento, y/o pantallazo SI 1
Control de acceso
A.11.4.2 Art. 27 Autenticació Se debieran utilizar métodos de ¿Se utilizan métodos de autenticación Procedimiento para Debe adjuntar política o
n del autenticación apropiados para apropiados para controlar el acceso de controlar el acceso procedimiento que entregue
usuario para controlar el acceso de usuarios usuarios remotos? de usuarios los lineamientos del
las remotos. remotos requerimiento, y/o pantallazo SI 1
conexiones del control implementado.
externas
A.11.5.3 Art. 27 Sistema de Los sistemas para el manejo de Los sistemas para el manejo de claves Pantallazo de Debe adjuntar pantallazo de
gestión de claves secretas debieran ser secretas, ¿son interactivos? y políticas de políticas de cuentas de SI 1
contraseñas interactivos y debieran asegurar cuentas de usuario usuario implementadas
contraseñas adecuadas. implementadas
¿Se asegura contraseñas adecuadas? Pantallazo de Debe adjuntar pantallazo de
políticas de políticas de cuentas de
cuentas de usuario usuario implementadas SI 1
implementadas
A.11.5.5 Art. 31 Cierre de Las sesiones inactivas debieran Las sesiones inactivas, ¿son cerradas Procedimiento para Debe adjuntar política o
Letra b una sesión ser cerradas después de un después de un período de inactividad cierre de sesión procedimiento que entregue
por período de inactividad definido. definido? por inactividad los lineamientos del
inactividad requerimiento, y/o pantallazo SI 1
A.12.2.1 10.2.1 Validación Se debiera validar la input data ¿Se valida la input data para las Validación de la
de la data para las aplicaciones para aplicaciones para asegurar que esta data data de entrada Debe adjuntar Política o
de entrada asegurar que esta data sea sea correcta y apropiada? procedimiento formalizado;
SI 1
correcta y apropiada. pantallazo de ejemplo del
control implementado
A.12.2.4 10.2.4 Validación Se debiera validar la output data ¿Se validan los datos de salida de una Validación de la
de la data de una aplicación para asegurar aplicación, para asegurar que el data de salida Debe adjuntar Política o
de salida que el procesamiento de la procesamiento de la información procedimiento formalizado;
SI 1
información almacenada sea el almacenada sea el correcto y el apropiado pantallazo de ejemplo del
correcto y el apropiado para las para las circunstancias? control implementado
circunstancias.
PMG-SSI Pág. 8
#REF!
(MAT
PLIM
DOM
NIVE
ANTI
IENT
L DE
CUM
GUA
CON
REF.
TRO
INIO
ISO
DS-
RIZ
83
O
L
)
BRECHA EVIDENCIAS
A.12.4.1 10.4.1 Control del Se debieran establecer ¿Se establecen procedimientos para el Procedimientos
software procedimientos para el control de control de la instalación del software en los para el control de Debe adjuntar Política o
operacional la instalación del software en los sistemas operacionales? la instalación del procedimiento formalizado;
sistemas operacionales. software en los SI 1
pantallazo de ejemplo del
sistemas control implementado
operacionales
A.12.4.3 10.4.3 Control de Se debiera restringir el acceso al ¿Se restringe el acceso al código fuente Control de acceso
acceso al código fuente del programa. del programa? al código fuente del Debe adjuntar Pantallazo de
código programa ejemplo del control SI 1
fuente del implementado
programa
A.12.5.1 10.5.1 Procedimien Se debiera controlar la ¿Se controla la implementación de los Procedimientos del
tos del implementación de los cambios cambios mediante el uso de control del cambio Debe adjuntar política o
control del mediante el uso de procedimientos procedimientos formales para el control del procedimiento que entregue
SI 1
cambio formales para el control del cambio? los lineamientos del
cambio. requerimiento.
A.12.5.5 10.5.5 Desarrollo El desarrollo del software El desarrollo del software abastecido Política de
de software abastecido externamente debiera externamente, ¿es supervisado y desarrollo de Debe adjuntar política o
abastecido ser supervisado y monitoreado por monitoreado por la institución? software procedimiento que entregue
SI 1
externament la organización. abastecido los lineamientos del
e externamente requerimiento.
A.13.1.1 Art. 12 Reporte de Los eventos de seguridad de la En la actualidad: ¿el Servicio cuenta con Procedimiento de Debe adjuntar política o
seguridad de la
incidente en la
Letra b eventos en información debieran ser un procedimiento de reporte de eventos Reporte de eventos procedimiento que entregue
Gestión de un
información
la seguridad reportados a través de los canales que afecten a la seguridad de la en la seguridad de los lineamientos del SI 1
de la apropiados lo más rápidamente información? la información requerimiento.
información posible.
A.13.2.1 Art. 12 Responsabil Se debieran establecer las En la actualidad: ¿el Servicio cuenta con Procedimientos de Debe adjuntar política o
Letra b idades y responsabilidades y los procedimientos para manejar diversos tipos gestiòn de procedimiento que entregue
procedimien procedimientos para asegurar una de incidentes de seguridad de la incidentes de los lineamientos del SI 1
tos respuesta rápida, efectiva y información de forma rápida, eficaz y seguridad de la requerimiento.
metódica ante los incidentes de la ordenada? información
A.14.1.1 Incluir la seguridad
Se debierade la información.
desarrollar y mantener En el servicio, ¿se ha establecido un Proceso para Debe adjuntar política o
seguridad un proceso institucional para la proceso para gestionar la continuidad del gestionar la procedimiento que entregue
Gestión de la continuidad del
de la continuidad del negocio en toda la negocio? continuidad del los lineamientos del
información organización para tratar los negocio requerimiento.
en el requerimientos de seguridad de la SI 1
proceso de información necesarios para la
gestión de continuidad de la institución.
continuidad
del negocio
negocio
A.14.1.3 Art. 35 Desarrollar Se debieran desarrollar e En el servicio, ¿hay planes de continuidad Plan de Debe adjuntar Plan de
e implementar planes paramantener de negocio que incluyan la seguridad de la continuidad del Continuidad de Negocio
implementar restaurar las operaciones y información (disponibilidad en nivel y negocio vigente que abarque los
los planes asegurar la disponibilidad de la escala de tiempo después de la falla)? procesos críticos
de información en el nivel requerido y seleccionados para este
continuidad en las escalas de tiempo dominio.
incluyendo requeridas después de la SI 1
la seguridad interrupción, o falla, delos
de la procesos institucionales críticos.
información
A.15.1.1 Identificació Se debiera definir explícitamente, ¿Se definen explícitamente, documentan y Listado de Debe adjuntar Listado de
n de la documentar y actualizar todos los actualizan todos los requerimientos referencias legales referencias legales que el SSI
legislación requerimientos estatutarios, estatutarios, reguladores y contractuales que el SSI debe debe considerar cuando sea
Cumplimiento
aplicable reguladores y contractuales relevantes, y el enfoque de la institución considerar cuando implementado en el Servicio SI 1
relevantes, y el enfoque de la para satisfacer esos requerimientos, para sea implementado
institución para satisfacer esos cada sistema de información y su en el Servicio
requerimientos, para cada sistema organización?
de información y su organización.
A.15.1.3 Protección Se debieran proteger los registros ¿Se debieran protegen los registros Procedimientos de Debe adjuntar Procedimientos
de registros importantes de pérdida, importantes de pérdida, destrucción, resguardo y de resguardo y pantallazo (FE,
institucional destrucción, falsificación; en falsificación; en concordancia con los pantallazo (FE, FEA) para los activos de
SI 1
es concordancia con los requerimientos estatutarios, reguladores, FEA) para los información de los procesos
requerimientos estatutarios, contractuales y de negocio? activos de críticos.
reguladores, contractuales y de información de los
negocio. procesos críticos.
54
PMG-SSI Pág. 9
Nombre de la Institución:
DESCRIPCIÓN DE PROCESOS IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ANÁLISIS DE CRITICIDAD
Persona
Proceso Subproceso Etapa Activo Identificador o Tipo Ubicación Responsable / Soporte Manipulación autorizada Medio de Tiempo de Disposición Recuperación Confidencialidad Integridad
relevante código dueño almacenamiento retención (criterio)
para copiar
ÁLISIS DE CRITICIDAD
Disponibilidad Criticidad
IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS DE SI
Tratamiento del riesgo: Nombre de los
Proceso Activo Criticidad Control/es para productos esperados por el Servicio Cumplimiento
Amenazas Registro histórico Descripción del Probabilidad de Impacto Severidad mitigar el riesgo (NCH (evidencias)
de su frecuencia Riesgo ocurrencia
27001 y DS 83)
<Inserte fila para agregar controles>



NOTA:
De acuerdo a las evidencias que señale la Institución en este reporte, para los controles declarados como cumplidos, la Red de Expertos le solicitará las evidencias - que estime necesarias -
para certificar la suficiencia y completitud de ellas para sustentar tal declaración, en el marco de la Asistencia Técnica del PMG SSI. Del mismo modo, dichas evidencias deben posibilitar la
realización de cualquier otro tipo de revisión o auditoría, tanto dentro de la Institución, como por organismos externos a ella.
Nombre del Archivo Evidencia
(Ver NOTA)
PROGRAMA DE TRABAJO
Producto esperado Responsable del Producto
Actividades Fecha Inicio Fecha Término
Difusión/Sensibilizaciòn
Capacitaciòn
Responsable de la actividad
Fecha de inicio Frecuencia de Efectiva a Efectiva a Octubre

Nombre del indicador Fórmula de cálculo de la medición la medición Agosto de 2012 de 2012
(1) Adaptado de: "INSTRUCCIONES PARA LA FORMULACIÓN PRESUPUESTARIA. FORMULARIO H. INDICADORES DE DESEMPEÑO AÑO 2011". Disponible e
(2) “Indicadores de gestión en los servicios públicos. Serie Guía Metodológica. Santiago de Chile, junio de 1996”. Dirección de Presupuestos, citado en "SIST
en: http://siac.msgg.gob.cl/uploads/f15be81f87_guia_final[1].pdf (30 de Marzo de 2012)
Efectiva a
Diciembre de 2012 Meta Medios de verificación Supuestos Notas
EMPEÑO AÑO 2011". Disponible en http://www.dipres.gob.cl/572/articles-36282_doc_pdf3.pdf (30 de Marzo de 2012)

n de Presupuestos, citado en "SISTEMA INTEGRAL DE INFORMACIÓN Y ATENCIÓN CIUDADANA, SIAC. GUÍA METODOLÓGICA 2010". Disponible
A continuación se muestran un conjunto de indicadores que pueden ser utilizados como referencia para la me
Institucional
Dominio al que se vincula Indicador
Cobertura de las políticas.
Política de Seguridad (5.1)

Grado de despliegue y adopción de políticas en toda la organización.
Alcance de la gestión de riesgos de SI.
Responsabilidad sobre la SI en la organización.

Organización de la SI (6.1 y
6.2) Responsabilidad sobre la SI en terceros.
Responsabilidad sobre la SI en terceros.
Efectividad de la planificación de la revisión por la dirección.
Efectividad de la planificación de las auditorías externas.
Grado de despliegue del inventario de activos.
Gestión de activos (7.1 y 7.2) Eficacia de los planes de tratamiento de riesgo.
Grado de criticidad de los activos de información institucionales.
Grado de despliegue y adopción de políticas de RRHH.

Seguridad de RRHH (8.1, 8.2 y
8.3)
Eficacia de los procedimientos de eliminación.
Seguridad física y ambiental Efectividad de las revisiones de seguridad física.

(9.1 y 9.2)
Efectividad del procedimiento de mantención de equipos.
(10.1) % de implementación actualizaciones sistemas.
(10.1) % de implementación de soluciones a vulnerabilidades de

sistemas.
(10.1) % de Solicitudes Atendidas de Cambios.
(10.2) Cumplimiento y efectividad de los acuerdos de nivel de servicio

(SLA)
(10.2) Efectividad de proveedores de servicios y sus respectivas
entregas de servicio.
10.3 % de proyectos Implementados
10.3 % de Controles ISO NCh 27002 Of.2009 Implementadas

Gestión de Operaciones y
Comunicaciones (10.1 al 10.10) 10.5 % de respaldos exitosos de sistemas críticos e importantes
10.5 % de recuperaciones exitosas de sistemas críticos e importantes
10.6 Existencia y efectividad de estándares, directrices, procedimientos

y herramientas de seguridad de redes
Comunicaciones (10.1 al 10.10)
10.7 Existencia y efectividad de procedimientos para la gestión de

medios removibles
10.8 Existencia y efectividad de políticas, procedimientos y controles

para el intercambio seguro de información relevante
10.10 Existencia y efectividad de actividades de monitoreo, registro y

supervisión
11.1 Existencia, revisión y adecuación de políticas de control de accesos
11.2 Existencia de un administrador de usuarios, con responsabilidades

operativas para asignar y restringir privilegios sobre los sistemas
11.3 Definición documentada y aplicada de responsabilidades relativas

Control de Accesos (11.1 al a seguridad de la información en los puestos de trabajo
11.5)
11.4 Existencia y efectividad de controles de seguridad perimetrales e
internos, en cuanto a conexión, identificación, autenticación, routing,
etc.
11.5 Existencia y efectividad de controles de acceso a los sistemas

operativos de las plataformas informáticas
12.2 Existencia y efectividad de validación de datos de entrada y salida

a/de los sistemas de información
Adquisición/Desarrollo y
12.4 Adopción y aplicación de controles de seguridad para los archivos
Mantención de Sistemas (12.1
de aplicativos y código fuente
al 12.5)
12.5 Existencia y adecuación de procedimientos formales para el
control de cambios
Efectividad de los procedimientos de gestión de incidentes.
Grado de efectividad de la difusión acerca de los procedimientos de

Gestión de Incidentes de SI gestión de incidentes.
(13.1 y 13.2)
Eficiencia y efectividad de las políticas y procedimientos de gestión de

incidentes.
Efectividad de los controles sobre activos críticos.
Efectividad en la implementación de los planes de continuidad del

negocio.
Gestión de Continuidad del
Negocio (14.1)
Grado de despliegue de los planes de continuidad del negocio.
Efectividad de la política de cumplimiento.
Efectividad del procedimiento de control de cumplimiento por parte de

los terceros.
Efectividad de las auditorías o revisiones normativas.
Cumplimiento (15.1, 15.2 y

15.3) Efectividad del SSI
Efectividad de las auditorías

Cumplimiento (15.1, 15.2 y
15.3)
Efectividad del control de acciones correctivas.
Eficacia en el control de acciones correctivas.
Grado de despliegue del análisis de riesgos.
Gestión de riesgos en general, Efectividad del SSI para controlar o mitigar los riesgos.
no se asocia a un producto en
específico. Eficiencia del SSI.
Grado de despliegue o efectividad de los controles aplicados.
Adaptado de ISO27k implementer's forum (www.ISO27001security.com). Está permitida la reproducción, distribución, uso y creación de tra
producto comercial, (b) sean correctamente atribuidos al ISO27k implementer’s fórum (www.ISO27001security.com), y (c) sean comprados b
utilizados como referencia para la medición de la operación del Sistema de Seguridad de la Información
Métricas asociadas
Porcentaje de los controles de ISO/IEC 27001 aplicables, para los cuales se han escrito,
aprobado y comunicado las políticas.
Porcentaje de centros de responsabilidad que han adoptado las políticas respecto de toda la
organización, medido por una auditoría, revisión por la dirección o alguna autoevaluación.
Porcentaje de centros de responsabilidad asociados a procesos de negocio que han

implementado una estrategia para mantener los riesgos de seguridad de la información dentro
de los umbrales explícitamente aceptados por la dirección del servicio.
Porcentaje de funcionarios a los que se les han asignado y han aceptado formalmente,
responsabilidades de seguridad de información.
Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a
sus riesgos y consideradas seguras.
Porcentaje de terceros relevantes u otros que han sido formalmente certificados, conforme a
ISO/IEC 27001 u otros estándares de seguridad que sean apropiados.
Número de revisiones por la dirección realizadas, respecto de las planificadas.
Número de auditorías internas / externas efectivamente realizadas, respecto de las planificadas.
Porcentaje de los activos de información analizados en cada fase (inventariados / identificados /

responsables nominados / riesgos evaluados / clasificados).
Porcentaje de los activos de información crítica para los que se implementó los planes de
tratamiento de riesgos de seguridad de la información y se mantuvo estos riesgos dentro de
límites aceptables.
Porcentaje de los activos de información en cada categoría de clasificación (incluyendo una
categoría especial: No clasificado aún).
Porcentaje del personal nuevo (funcionarios, contratistas, consultores, etc.) que han sido
totalmente investigados y han aprobado, de acuerdo a las políticas de la institución antes de
comenzar a trabajar.
Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la
organización, activos (o con desactivación pendiente) e inactivos (archivo y eliminación
pendientes).
Número de revisiones periódicas de seguridad física de las instalaciones, incluidas las
actualizaciones del estado de avance de las acciones correctivas y preventivas identificadas en
revisiones anteriores.
Mantenimientos a los equipos efectuados en relación a los planificados.
(Total Mensual Actualizaciones implementadas )/(Total Anual Actualizaciones publicadas)* 100
(Total Mensual de soluciones a vulnerabilidades implementadas )/(Total Anual Vulnerabilidades

detectadas)* 100
(Total Mensual Solicitudes de Cambios )/(Total Anual Formularios de Gestión de Cambios)* 100
Evaluación de los costos del tiempo de inactividad debido al incumplimiento de los acuerdos de
nivel de servicio.
Evaluación del rendimiento de proveedores incluyendo la calidad de servicio, entrega y costos
(Proyectos en Planificación Implementados )/(Total Proyectos Planificados)*100

[Total de Controles ISO NCh 27002 Of.2009 Implementadas actuales /Total de Controles ISO
NCh 27002 Of.2009]*100
(Total de sistemas críticos e importantes respaldados exitosamente)/(Totalidad de sistemas
críticos e importantes)*100
(Total de recuperaciones exitosas de sistemas críticos e importantes)/(Totalidad de sistemas
críticos e importantes respaldados)*100
Evaluación del N° de incidentes de seguridad de red en el mes, categorizados por nivel de
gravedad
Evaluación de medidas de seguridad adoptadas para la gestión de medios removibles, en cuanto
al almacenamiento, permanencia y eliminación de información contenida en ellos
Evaluación de medidas de seguridad adoptadas en el intercambio de activos de información

relevante, crítica o sensible
Tendencia en el número de eventos y/o incidentes de seguridad que han sido correctamente
registrados, analizados y han conducido a actividades de seguimiento
Evaluación de consistencia entre lo establecido en la política y la clasificación de criticidad de

activos de información, y respecto a la legislación y normativa existente
Establecer el grado de centralización o dispersión de las solicitudes de cambios de privilegios

cursados
Porcentaje de usuarios/puestos de trabajo cuyas responsabilidades en seguridad de la

información se encuentran formalmente aceptadas.
Evaluación de logs y estadísticas de las tecnologías de software y hardware implementadas para

tales efectos, identificando la relación numérica entre vulnerabilidades aprovechadas e intentos
de accesos o ataques bloqueados y repelidos
Nivel de existencia de registro seguro, ID de usuario único, técnicas de autenticación,

contraseñas robustas, control de utilitarios del S.O., cierre de sesiones inactivas, etc. Y
evaluación de estadísticas de vulnerabilidad y su seguimiento, si existiesen.
Porcentaje de sistemas para los cuales los controles de validación de datos se han definido e
implementado, y se han demostrado eficaces mediante pruebas
Porcentaje de sistemas evaluados conformes en relación a la normativa de seguridad existente
en estas materias, respecto a aquellos que no han sido evaluados, o no han aprobado la
normativa
Porcentaje de procesos de cambios que se han realizado conforme a la normativa existente al
respecto, en relación al total de cambios solicitados y realizados
Análisis estadístico de la cantidad y tipo de llamadas a la mesa de soporte TI, relativas a
seguridad de la información (por ejemplo, los cambios de contraseña; consultas acerca de los
riesgos de seguridad de la información y los controles, como un porcentaje de todas las
consultas).
De las estadísticas, crear y publicar un ranking de los centros de responsabilidad (ajustado por
el número de funcionarios de cada uno), mostrando aquellos que son claramente conscientes de
la seguridad frente a aquellos que no lo son.
Número y gravedad de los incidentes de SI; evaluaciones de los costos asociados al análisis,
detención y reparación de los incidentes, así como las pérdidas sufridas, tangibles e intangibles.
Porcentaje de incidentes de seguridad que generaron costos por encima de los umbrales
aceptables definidos por la dirección.
Porcentaje de planes de continuidad del negocio en cada etapa del ciclo de vida (requerido /
especificado / documentado / probado).
Porcentaje de centros de responsabilidad con planes de continuidad del negocio que han sido
adecuadamente documentados y probados con pruebas dentro de los últimos 12 meses.
Número de requerimientos legales agrupados y analizados por estado (cerrado, abierto, nuevo,
atrasado) y nivel de significación o riesgo (extremo, alto, medio o bajo).
Porcentaje de requerimientos externos claves considerados cumplidos a través de auditoria(s) u

otros medios aceptables.
Número de políticas internas y otros requerimientos o recomendaciones agrupados y analizados
por estado (cerrado, abierto, nuevo, atrasado) y nivel de significación o riesgo (extremo, alto,
medio o bajo).
Porcentaje revisiones de cumplimiento de SI sin registros de incumplimientos substanciales de
los controles.
Número de recomendaciones de auditoría agrupadas y analizadas por estado (cerrado, abierto,

nuevo, atrasado) y nivel de significación o riesgo (alto, medio o bajo).
Porcentaje de hallazgos de auditoría de SI que se han resuelto y cerrado, respecto del total que
se abrió en el mismo período.
Plazos reales en que se resolvieron o cerraron las recomendaciones, respecto de las fechas
planificadas.
Porcentaje de riesgos identificados considerados con severidad extrema, alta, moderada o baja,
además de los “no-evaluados”
Tendencia en el número de riesgos relacionados con la seguridad de información para cada nivel
de severidad.
Gastos de la seguridad de información como porcentaje del presupuesto asignado.
Porcentaje de riesgos de seguridad de la información a los que se les han aplicado los controles
en forma completa y satisfactoria.
producción, distribución, uso y creación de trabajos derivados de este, siempre y cuando (a) no sean vendidos ni incorporados en ningún
SO27001security.com), y (c) sean comprados bajo los mismos términos de éste.
uridad de la Información
Etapa desde la cual sería

factible de medir
3ó4
3ó4
4 ó 4 bis
4 bis
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
3ó4
4 ó 4 bis
3ó4
4 ó 4 bis
3ó4
4 ó 4 bis
3ó4
4 y 4 bis
4 y 4 bis
4 y 4 bis
4 y 4 bis
4 ó 4 bis
n vendidos ni incorporados en ningún

REF. DS-83
CONTROL
ANTIGUA)
DOMINIO
(MATRIZ
ISO
AMBITO CONTROL REQUISITO/ CONTROL Priorizados
A.5.1.1.Párr.1 Art. 11 En el Servicio: ¿existe un documento denominado Política

El documento de la política de seguridad de la
Documento de la política de Seguridad de la información, que esté aprobado por el
información debiera ser aprobado por la Dirección,
de seguridad de la Jefe de Servicio, y que refleja claramente el compromiso, SI
y publicado y comunicado a todos los empleados y
información apoyo e interés en el fomento y desarrollo de una cultura de
las partes externas relevantes.
seguridad institucional?
A.5.1.1.Párr.2 Art. 11 a El documento Politica de Seguridad: ¿contiene una
definición de seguridad de los activos de información, sus SI
Política de Seguridad
objetivos globales, alcance e importancia?
A.5.1.1.Párr.3 Art. 11 b El documento Politica de Seguridad: ¿contiene un párrafo
que señale los medios de difusión de sus contenidos al SI
interior de la organización?
A.5.1.1.Párr.4 En la actualidad, el documento Politica de Seguridad: ¿se
publica y se comunica a todos los funcionarios y partes SI
externas relevantes?
A.5.1.1.Párr.5 Art. 11 c La política de seguridad de la información debiera El documento Politica de Seguridad: ¿contiene un párrafo
Revisión de la política de ser revisada aintervalos planeados o si ocurren que señale cada cuánto tiempo se reevaluará (que debe ser
seguridad de la cambios significativos para asegurar su continua SI
cada 3 años como máximo)? ¿explicita con qué
información idoneidad, eficiencia y efectividad. periodicidad su cumplimiento será revisado?
A.5.1.2 En la actualidad, el documento Politica de Seguridad: ¿se
revisa en los intervalos planeados o cuando ocurren
SI
cambios significativos para asegurar su continua idoneidad,
eficiencia y efectividad?
Porcentaje de Cumplimiento Dominio Política de Seguridad
A.6.1.1 Art. 12 Compromiso de la La dirección debiera apoyar activamente la El Jefe de Servicio: ¿ha designado mediante resolución al
dirección con la seguridad seguridad dentro de la organización a través de Encargado de Seguridad de la Inoformación?
de la información una dirección clara, compromiso demostrado,
asignación explícita del Encargado de Seguridad y SI
reconociendo las responsabilidades de la
seguridad de la información.
A.6.1.2 Coordinación de la Las actividades de la seguridad de la información El Jefe de Servicio: ¿ha designado mediante resolución al
seguridad de la debieran ser coordinadas por representantes de Comité de Seguridad de la Inoformación, designándole
información diferentes partes de la organización con roles y funciones espedíficas? SI
funciones laborales relevantes.
A.6.1.3.Párr.1 Art. 12 a Asignación de las Todas las responsabilidades de la seguridad de la En la resolución de nombramiento del Encargado de
responsabilidades de la información debieran estar claramente definidas. Seguridad de la Información: ¿se encuentra explicitada la
seguridad de la función: "Tener a su cargo el desarrollo inicial de las
información políticas de seguridad al interior de su organización y el SI
control de su implementación, y velar por su correcta
aplicación"?
A.6.1.3.Párr.2 Art. 12 b En la resolución de nombramiento del Encargado de

Seguridad de la Información: ¿se encuentra explicitada la
función: "Coordinar la respuesta a incidentes que afecten a SI
los activos de información institucionales"?
A.6.1.7 Art. 12 Letra c Contacto con grupos de Se debieran mantener contactos apropiados con En la resolución de nombramiento del Encargado de
interés especial grupos de interés especial u otros foros de Seguridad de la Información: ¿se encuentra explicitada la
seguridad especializados y asociaciones función: "Establecer puntos de enlace con encargados de
Organización de la Seguridad de la Información
profesionales. seguridad de otros organismos públicos y especialistas SI

externos que le permitan estar al tanto de las tendencias,
normas y métodos de seguridad pertinentes"?
A.6.1.6 Contacto con las Se debieran mantener los contactos apropiados En la actualidad: ¿existe un procedimiento que especifique
autoridades con las autoridades relevantes. cuándo y qué autoridades deben ser contactadas
(bomberos, carabineros, PDI, proveedor de Internet, etc)? SI
A.6.1.4 Proceso de autorización Un proceso de la dirección para la autorización de En la actualidad: ¿existe un procedimiento de autorización
para medios de facilidades nuevas de procesamiento de por parte del Jefe de Servicio para instalar nuevos medios
procesamiento de información, debiera ser definido e implementado. de procesamiento de información?
información.
A.6.1.5 Acuerdos de Se debieran identificar y revisar regularmente que En la actualidad: ¿utiliza el Servicio acuerdos de
confidencialidad los requerimientos de confidencialidad o acuerdos confidencialidad o no-divulgación que reflejen las
de no-divulgación reflejan las necesidades de la necesidades de protección de la información institucional?
organización para proteger la información.
PMG-SSI Pág. 51
Organización de la
A.6.1.8 Revisión independiente de Se debiera revisar el enfoque de la organización En la actualidad: ¿se revisa a intervalos regulares o cuando
la seguridad de la para manejar la seguridad de la información y su ocurren cambios significativos y a través de auditores
información implementación (es decir;objetivos de externos o independientes, el enfoque e implementación de
control,controles,políticas, procesos y seguridad de la información en el Servicio?
procedimientos para la seguridad de la
información) de manera independiente a intervalos
planeados, o cuando ocurran cambios
significativos en la implementación de la
seguridad.
A.6.2.1 Art. 10 Letra a Identificación de los Se debieran identificar los riesgos para la En la actualidad: ¿Identifica el Servicio el riesgo para la
riesgos relacionados con información y los medios de procesamiento de la información y sus medios de procesamiento que surge al
los grupos externos información de la institución a raíz de procesos involucrar a entidades externas en los procesos de
que involucran a grupos externos y se debieran negocio?
implementar controles apropiados antes de
otorgarles acceso.
A.6.2.2 Art. 10 Letra a- Tratamiento de la Se debieran tratar todos los requerimientos de En la actualidad: ¿el Servicio aborda todos los
b-c seguridad cuando se lidia seguridad identificados antes de proporcionar a requerimientos de seguridad antes de entregar acceso a los
con terceros terceros, acceso a la información o activos de la activos de información a sus clientes/usuarios/beneficiarios?
organización.
A.6.2.3 Art. 10 Letra a- Tratamiento de la Los acuerdos o contratos con terceros que En la actualidad: ¿los contratos con terceros que involucren
b-c seguridad en acuerdos involucran el acceso, procesamiento, acceso, procesamiento, comunicación o manejo de la
con terceros comunicación o manejo de la información o medios información o medios de procesamiento de información del
de procesamiento de información de la compañía, Servicio, o los contratos que impliquen agregar productos o
o agregan producto o servicios a los medios de servicios a los medios de procesamiento de información,
procesamiento de información debieran abarcar abarcan todos los requerimientos de seguridad relevantes?
todos los requerimientos de seguridad relevantes.
Porcentaje de Cumplimiento Dominio Organización de la Seguridad de la Información

A.7.1.1.Párr.1 Art. 13 Inventario de los activos Se debieran identificar todos los activos y se En el servicio, ¿se identifican los activos de información y se
debiera elaborar y mantener un inventario de todos elabora un inventario de ellos? SI
los activos importantes.
A.7.1.1.Párr.2 ¿Se actualiza dicho inventario?
A.7.1.2 Art. 14 Propiedad de los activos Toda la información y los activos asociados con los En el servicio, ¿se ha designado responsabilidad
medios de procesamiento de información debieran administrativa por los activos de información?
ser propiedadde una parte designada de la
organización.
A.7.2.1 Art 13 Lineamientos de Se debiera clasificar la información en términos de En el servicio, ¿se clasifica la información de acuerdo a su
clasificación su valor, requerimientos legales, sensibilidad y valor, requisitos legales, sensibilidad y criticidad,
grado crítico para la institución. considerando la Ley 20285 (Ley de Transparencia)?
Gestión de Activos
A.7.1.3.Párr.1 Art 15 Uso aceptable de los Se debieran identificar, documentar e implementar En el servicio, ¿existen normas para el Copiado de los
activos reglas para el uso aceptable de la información y activos de información clasificados según Ley 20.285?
los activos asociados con los medios del
procesamiento de la información.
A.7.1.3.Párr.2 En el servicio, ¿existen normas para el Almacenamiento de
los activos de información clasificados según Ley 20.285?
A.7.1.3.Párr.3 En el servicio, ¿existen normas para Transmisión por correo

electrónico de los activos de información clasificados según
Ley 20.285?
A.7.1.3.Párr.4 En el servicio, ¿existen normas para la Destrucción de los
activos de información clasificados según Ley 20.285?
A.7.2.2 Art. 15 Etiquetado y manejo de la Se debiera desarrollar e implementar un conjunto En el servicio, ¿existen procedimientos de etiquetado y
Art. 16 información apropiado de procedimientos para el etiquetado y manejo de los activos de información que consideren dicha
manejo de la información en concordancia con el clasificación?
esquema de clasificación adoptado por la
institución.
Porcentaje de Cumplimiento Dominio Gestión de Activos
A.8.1.1 Roles y responsabilidades Se debieran definir y documentar los roles y En la actualidad: ¿el Servicio cuenta con una definición de
responsabilidades de la seguridad de los roles de los funcionarios, tanto contrata, planta como
empleados, contratistas y terceros en personal a honorarios, que especifiquen su responsabilidad SI
concordancia con la política de seguridad de la en temas de seguridad de la información?
información de la organización.
PMG-SSI Pág. 52
A.8.1.2 Investigación de Los chequeos de verificación de antecedentes de En la etapa de selección: ¿Se lleva a cabo la verificación
antecedentes todos los candidatos para empleo, contratistas y de antencedentes legales, comportamientos éticos, y otros
terceros debieran llevarse a cabo en concordancia antecedentes de relevancia según la clasificación de la
con las leyes, regulaciones y ética relevantes; y información a la cual va a tener acceso, de todos los
debieran ser proporcionales a los requerimientos candidatos a un cargo, sea de planta, contrata o personal a SI
comerciales, la clasificación de la información a la honorarios?
cual se va a tener acceso y los riesgos percibidos.
A.8.1.3 Art. 21 Términos y condiciones Como parte de su obligación contractual; los El Jefe de Servicio: ¿ha impartido la instrucción que indique
del empleo usuarios empleados, contratistas y terceros que las responsabilidades de seguridad aplicables al
debieran aceptar y firmar un contrato con los personal deberán ser explicitadas en la etapa de selección
términos y condiciones de su empleo, el cual e incluirse expresamente en los decretos o resoluciones de
debiera establecer sus responsabilidades y las de nombramiento o en las contrataciones respectivas?
la institución para la seguridad de la información.
A.8.2.1.Párr.1 Art. 20 Letra a Responsabilidades de la La dirección debiera requerir a los usuarios El Jefe de Servicio: ¿ha impartido instrucciones sobre el uso
dirección empleados, contratistas y terceras personas que de sistemas informáticos, con énfasis en prohibición de
apliquen la seguridad en concordancia con instalación de software no autorizado, documentos y
políticas y procedimientos bien establecidos por la archivos guardados en el computador?
institución.
Seguridad de recursos humanos
A.8.2.1.Párr.2 Art. 20 Letra b El Jefe de Servicio: ¿ha impartido instrucciones sobre el uso
de la red interna, uso de Internet, uso del correo electrónico,
acceso a servicios públicos, recursos compartidos, servicios
de mensajería y comunicación remota?
A.8.2.1.Párr.3 Art. 20 Letra c El Jefe de Servicio: ¿ha impartido instrucciones sobre la

generación, transmisión, recepción, procesamiento y
almacenamiento de activos de información?
A.8.2.1.Párr.4 Art. 20 Letra d El Jefe de Servicio: ¿ha impartido procedimientos para
reportar incidentes de seguridad?
A.8.2.2 Conocimiento, educación Todos los funcionarios de la institución y, cuando En la actualidad: ¿el Servicio entrega la formación
y capacitación en sea relevante, los contratistas y terceras personas adecuada o capacitación relevante para su función laboral
seguridad de la debieran recibir una adecuada capacitación en que incluya requisitos de seguridad a todos los funcionarios
información seguridad y actualizaciones regulares sobre las de planta, contrata y personal a honorarios?
políticas y procedimientos institucionales conforme
sea relevante para su función laboral.
A.8.2.3 Proceso disciplinario Debiera existir un proceso disciplinario para los En la actualidad: ¿existe un proceso disciplinario para los
empleados que han cometido un incumplimiento funcionarios de planta, contrata y personal a honorarios que
de la seguridad. han cometido una violación a la seguridad de la
información?
A.8.3.1 Responsabilidades de Se debieran definir y asignar claramente las En la actualidad: ¿las responsabilidades y deberes válidos,
termino responsabilidades de realizar el término o el aún luego de la desvinculación o cambios en las funciones,
cambio de empleo. se encuentran contenidas dentro de los contratos de
honorarios o resoluciones de nombramiento de funcionarios
a contrata y planta?
A.8.3.2 Devolución de los activos Todos los usuarios empleados, contratistas y En la actualidad: ¿existe un procedimiento para que todos
terceras personas debieran devolver todos los los funcionarios de planta y contrata y personal a
activos de la institución que tengan en su posesión honorarios, devuelvan todos los activos de la institución que SI
al término de su empleo, contrato o acuerdo. tengan en su posesión al término de sus funciones o de su
contrato?
A.8.3.3 Retiro de los derechos de Los derechos de acceso de todos los usuarios En la actualidad: ¿existe un procedimiento para eliminar los
acceso empleados, contratistas y terceras personas a la derechos de acceso a los medios de procesamiento de la
información y los medios de procesamiento de información del Servicio de todos los funcionarios de planta
información debieran ser retirados al término de su y contrata y personal a honorarios, al término de sus
empleo, contrato o acuerdo, o debieran ser funciones o de su contrato, o para ajustarlos según el
reajustados de acuerdo al cambio. cambio de funciones?
Porcentaje de Cumplimiento Dominio Seguridad de recursos humanos

A.9.1.1 Art. 17 Perímetro de seguridad Se debieran utilizar perímetros de seguridad En el servicio, ¿se utilizan perímetros de seguridad
física (barreras tales como paredes, rejas de entrada (paredes, rejas controladas por tarjetas o recepcionistas, u
controladas por tarjetas o recepcionistas) para otros similares) para proteger las áreas que contienen SI
proteger las áreas que contienen información y información y sus medios de procesamiento?
medios de procesamiento de información.
A.9.1.2 Art. 17 Controles de ingreso físico Las áreas seguras debieran protegerse mediante En el servicio ¿se han impartido instrucciones para que sólo
controles de ingreso apropiados para asegurar que acceda personal autorizado a las áreas seguras?
sólo se le permita el acceso al personal autorizado.
A.9.1.3 Art. 19 Letra a- Asegurar las oficinas, Se debiera diseñar y aplicar la seguridad física ¿La autoridad ha impartido instrucciones de diseño y
b habitaciones y medios para las oficinas, habitaciones y medios. aplicación de seguridad física a las oficinas, habitaciones y
medios?
PMG-SSI Pág. 53
A.9.1.4.Párr.1 Art. 17 Protección contra Se debiera asignar y aplicar protección física ¿El servicio cuenta con protección contra daños causados
amenazas externas e contra daño por fuego, inundación, terremoto, por fuego?
A.9.1.4.Párr.2 Art. 17 internas explosión, revuelta civil y otras formas de ¿El servicio cuenta con protección contra daños causados
desastres naturales o causados por el hombre. por inundación?
A.9.1.4.Párr.3 ¿El servicio cuenta con protección contra daños causados
por terremoto?
por explosión?
por revuelta civil?
A.9.1.4.Párr.6 Art. 17 ¿El servicio cuenta con protección contra otras formas de
desastres naturales o por causa humana?
A.9.1.5 Art. 17 Trabajo en áreas Se debiera diseñar y aplicar la protección física y ¿La autoridad ha impartido lineamientos para trabajar en
aseguradas los lineamientos para trabajar en áreas áreas seguras?
aseguradas.
Seguridad Física y Ambiental
A.9.1.6 Art. 17 Áreas de acceso público, Se debieran controlar los puntos de acceso como ¿La autoridad ha impartido instrucciones respecto al control
entrega y carga las áreas de entrega y carga y otros puntos por de las áreas de acceso público, entrega y carga?
donde personas no-autorizadas puedan ingresar a
las localidades y, si fuese posible, debieran
aislarse de los medios de procesamiento de
información para evitar el acceso no autorizado.
A.9.2.1.Párr.1 Art. 17 Ubicación y protección del Se debiera ubicar o proteger el equipo para reducir En el servicio, ¿el equipamiento está ubicado o protegido de
equipo las amenazas y peligros ambientales y forma que se reduzcan las amenazas y peligros
oportunidades para acceso no-autorizado. ambientales y acceso no autorizado? SI
A.9.2.1.Párr.2 Art. 18 letra a ¿La autoridad ha impartido instrucciones relativas al

consumo de alimentos, bebidas y tabaco en las cercanías
de los medios de procesan y soportan información?
A.9.2.1.Párr.3 art 18 letra c En el servicio, ¿la autoridad promueve prácticas de

escritorio limpio?
A.9.2.2 Art. 17 Servicios públicos de Se debiera proteger el equipo de fallas de energía El el servicio, ¿el equipamiento está protegido de fallas de
soporte y otras interrupciones causadas por fallas en los energía y otras interrupciones causadas por fallas en los
servicios públicos de soporte. servicios básicos de soporte?
A.9.2.3 Art. 10 Letra a Seguridad del cableado El cableado de la energía y las En el servicio, ¿la autoridad ha impartido instrucciones para
telecomunicaciones que llevan la data o dan proteger contra intercepción o daño el cableado usado para
soporte a los servicios de información debieran energía y las telecomunicaciones para transmisión de datos
protegerse contra la intercepción o daño. o que soportan los servicios de información?
A.9.2.4 Mantenimiento de equipo Se debiera mantener correctamente el equipo para En el servicio ¿se han impartido instrucciones para segurar
asegurar su continua disponibilidad e integridad. que se haga mantenimiento del equipamiento? SI
A.9.2.5 Seguridad del equipo Se debiera aplicar seguridad al equipo fuera del ¿La autoridad ha impartido instrucciones para que se
fuera de las localidades local tomando en cuenta los diferentes riesgos de aplique seguridad al equipamiento fuera de las
trabajar fuera del local de la institución. dependencias de la institución?
A.9.2.6 Art. 26 Letra e Seguridad de la Se debieran chequear los ítems del equipo que En el servicio, ¿se ha establecido que se debe chequear el
eliminación o re-uso del contiene medios de almacenaje para asegurar que equipamiento que contiene información para segurarse que
equipo se haya retirado o sobre-escrito cualquier data se haya retirado o sobre-escrito cualquier dato confidencial SI
confidencial o licencia de software antes de su o licencia antes de su eliminación?
eliminación.
A.9.2.7 Retiro de propiedad El equipo, información o software no debiera ¿En el servicio se ha previsto que haya una autorización
SI
retirarse sin autorización previa. antes del retiro de equipamiento, información o software?
Porcentaje de Cumplimiento Dominio Seguridad Física y Ambiental
A.10.1.1 Art. 7 Letra b-c Procedimientos de Los procedimientos de operación se debieran Los procedimientos de operación, ¿están documentados, al
operación documentados documentar, mantener y poner a disposición de día y puestos a disposición de todos los usuarios que los SI
todos los usuarios que los necesiten. necesiten?
A.10.1.2 Gestión del cambio Se debieran controlar los cambios en los medios y ¿Se controlan los cambios en los medios y sistemas de
sistemas de procesamiento de la información. procesamiento de la información? SI
A.10.1.3 Art. 7 Letra f Segregación de los Los deberes y áreas de responsabilidad debieran Los deberes y áreas de responsabilidad, ¿son segregados
deberes estar segregados para reducir las oportunidades de manera de reducir las oportunidades de una
de una modificación no-autorizada o mal uso no- modificación no-autorizada o mal uso no-intencional o mal
intencional o mal uso de los activos de la uso de los activos de la institución? SI
institución.
PMG-SSI Pág. 54
A.10.1.4 Separación de los medios Los medios de desarrollo, prueba y operación Los medios de desarrollo, prueba y operación, ¿están
de desarrollo, prueba y debieran estar separados para reducir los riesgos separados de manera de reducir los riesgos de acceso no-
operación de acceso no-autorizado o cambios en el sistema autorizado o cambios en el sistema operacional? SI
operacional.
A.10.2.1 Entrega del servicio Se debiera asegurar que los controles de ¿Se aseguran que los controles de seguridad, definiciones
seguridad, definiciones del servicio y niveles de del servicio y niveles de entrega incluidos en el acuerdo de
entrega incluidos en el acuerdo de entrega del entrega del servicio de terceros se implementen, operen y SI
servicio de terceros se implementen, operen y mantengan?
mantengan.
A.10.2.2.Párr.1 Monitoreo y revisión de Los servicios, reportes y registros provistos por Los servicios, reportes y registros provistos por terceros,
los servicios de terceros terceros debieran ser monitoreados y revisados ¿son monitoreados y revisados regularmente? y
regularmente, y se debieran llevar a cabo
auditorías regularmente.
A.10.2.2.Párr.2 ¿Se llevan a cabo auditorías regularmente?
A.10.2.3 Manejo de cambios en los Se debieran manejar los cambios en la provisión ¿Se manejan los cambios en la provisión de servicios,
servicios de terceros de servicios, incluyendo el mantenimiento y incluyendo el mantenimiento y mejoramiento de las
mejoramiento de las políticas, procedimientos y políticas, procedimientos y controles de seguridad de la
controles de seguridad de la información información existentes, teniendo en cuenta el grado crítico SI
existentes teniendo en cuenta el grado crítico de de los sistemas y procesos del negocio involucrados y la re-
los sistemas y procesos del negocio involucrados y evaluación de los riesgos?
la re-evaluación de los riesgos.
A.10.3.1.Párr.1 Gestión de la capacidad Se debiera monitorear, afinar el uso de los ¿Se monitorea y afina el uso de los recursos? y
recursos y se debieran realizar proyecciones de
los requerimientos de capacidad futura para
asegurar el desempeño requerido del sistema.
A.10.3.1.Párr.2 ¿Se realizan proyecciones de los requerimientos de
capacidad futura para asegurar el desempeño requerido del
sistema?
A.10.3.2.Párr.1 Aceptación del sistema Se debiera establecer el criterio de aceptación de ¿Se establece el criterio de aceptación de los sistemas de
los sistemas de información nuevos, información nuevos, actualizaciones o versiones nuevas? y
actualizaciones o versiones nuevas y se debieran
realizar pruebas adecuadas del sistema(s) durante SI
el desarrollo y antes de su aceptación.
A.10.3.2.Párr.2 ¿Se realizan pruebas adecuadas del sistema(s) durante el

desarrollo y antes de su aceptación? SI
A.10.4.1.Párr.1 Art. 22 Letra c Controles contra códigos Controles de detección, prevención y recuperación ¿ Existen controles de detección, prevención y recuperación
Art. 26 maliciosos para proteger contra códigos maliciosos y se para proteger contra códigos maliciosos? y
debieran implementar procedimientos para el
apropiado conocimiento del usuario.
A.10.4.1.Párr.2 ¿Se implementan procedimientos para el apropiado

conocimiento del usuario?
A.10.4.2.Párr.1 Art. 22 Letra c Controles contra códigos Donde se autorice el uso del código móvil, la Donde se autorice el uso del código móvil, ¿la configuración
Art. 26 Letra a móviles configuración debiera asegurar que el código móvil asegura que el código móvil autorizado opera de acuerdo
autorizado opera de acuerdo con una política de con una política de seguridad claramente definida? y
seguridad claramente definida, y se debiera evitar
la ejecución del código móvil no-autorizado.
A.10.4.2.Párr.2 ¿Se evita la ejecución del código móvil no-autorizado?

A.10.5.1.Párr.1 Art. 24 Respaldo de información Se debieran hacer copias de respaldo de la ¿Se realizan copias de respaldo de la información y
Letra a-b-c-d- información y software y se debieran probar software? y
e-f-g regularmente en concordancia con la política de SI
copias de respaldo acordada.
A.10.5.1.Párr.2 ¿Se prueban regularmente en concordancia con la política
de copias de respaldo acordada? SI
A.10.6.1 Controles de redes Las redes debieran ser adecuadamente Las redes, ¿son adecuadamente manejadas y controladas
manejadas y controladas para poder proteger la para poder proteger la información y mantener la seguridad
información en las redes, y mantener la seguridad de los sistemas y aplicaciones, incluyendo la información en
municaciones y operaciones
de los sistemas y aplicaciones utilizando la red, tránsito? SI

incluyendo la información en tránsito.
A.10.6.2.Párr.1 Seguridad de los servicios En todo contrato de redes se debieran identificar e En todo contrato de redes, ¿se identifican e incluyen las
de la red incluir las características de seguridad, niveles de características de seguridad?,
servicio y requerimientos de gestión de todos los SI
servicios de red, ya sea que estos servicios sean
provistos interna o externamente.
A.10.6.2.Párr.2 ¿los niveles de servicio? y
PMG-SSI Pág. 55
Gestión de las comunicaciones y op
A.10.6.2.Párr.3 ¿los requerimientos de gestión de todos los servicios de
red, ya sea que estos servicios sean provistos interna o
externamente?
A.10.7.1 Art. 24 Letra e Gestión de medios Debieran existir procedimientos para la gestión de ¿Existen procedimientos para la gestión de los medios
SI
removibles los medios removibles. removibles?
A.10.7.2 Art. 15 Procedimientos para el Se debieran establecer los procedimientos para el ¿Se establecen los procedimientos para el manejo y
Letra b manejo de información manejo y almacenaje de información para proteger almacenaje de información para proteger esta información
esta información de una divulgación no-autorizada de una divulgación no-autorizada o mal uso?
o mal uso.
A.10.7.3 Art. 15 Seguridad de la Se debiera proteger la documentación del sistema ¿Se protege la documentación del sistema de accesos no-
Letra b documentación del con accesos no-autorizados. autorizados?
sistema
A.10.8.1 Art. 9 Políticas y procedimientos Se debieran establecer políticas, procedimientos y ¿Se establecen políticas, procedimientos y controles de
Art. 10 Letra a de intercambio de controles de intercambio formales para proteger el intercambio formales para proteger el intercambio de
información intercambio de información a través del uso de información a través del uso de todos los tipos de medios
todos los tipos de medios de comunicación. de comunicación?
A.10.8.2 Art. 10 Letra a Acuerdos de intercambio Se deberian establecer acuerdos para el ¿Se establecen acuerdos para el intercambio de
intercambio de información y software entre la información y software entre la institución y entidades
institución y entidades externas. externas?
SI
A.10.8.3 Medios físicos en tránsito Los medios que contienen información debieran Los medios que contienen información, ¿son protegidos
ser protegidos contra accesos no-autorizados, mal contra accesos no-autorizados, mal uso o corrupción
uso o corrupción durante el transporte más allá de durante el transporte más allá de los límites físicos de una
los límites físicos de una institución institución?
A.10.8.4 Art. 25 Mensajes electrónicos Se debiera proteger adecuadamente la ¿Se protege adecuadamente la información involucrada en
Letra a-b-c-d- información involucrada en mensajes electrónicos. mensajes electrónicos?
e-f-g-h-i
Art. 26
Letra a-c-d
A.10.8.5 Art. 7 Letra a- Sistemas de información Se debieran desarrollar e implementar políticas y ¿Se desarrollan e implementan políticas y procedimientos
b-c negocio procedimientos para proteger la información para proteger la información asociada con la interconexión
Art. 9 asociada con la interconexión de los sistemas de de los sistemas de información de negocio?
información de negocio.
A.10.9.1 Comercio electrónico La información involucrada en el comercio La información involucrada en el comercio electrónico que
electrónico que pasa a través de redes públicas pasa a través de redes públicas, ¿se protege de la actividad
debiera protegerse de la actividad fraudulenta, fraudulenta, disputas de contratos, divulgación no-
disputas de contratos, divulgación no-autorizada y autorizada y modificación?
modificación.
A.10.9.2 Transacciones en-línea Se debiera proteger la información involucrada en ¿Se protege la información involucrada en las transacciones
las transacciones en-línea para evitar una en-línea para evitar una transmisión incompleta, routing
transmisión incompleta, routing equivocado, equivocado, alteración no-autorizada del mensaje,
alteración no-autorizada del mensaje, divulgación divulgación no-autorizada, duplicación o repetición no-
no-autorizada, duplicación o repetición no- autorizada del mensaje?
autorizada del mensaje.
A.10.9.3 Art. 26 Letra b Información públicamente Se debiera proteger la integridad de la información ¿Se protege la integridad de la información puesta a
disponible puesta a disposición en un sistema públicamente disposición en un sistema públicamente disponible para
disponible para evitar una modificación no- evitar una modificación no-autorizada?
autorizada.
A.10.10.1.Párr.1 Art. 23 Registro de auditoría Se debieran producir y mantener registros de ¿Se producen y mantienen registros de auditoría de las
auditoría de las actividades, excepciones y actividades, excepciones y eventos de seguridad de la
eventos de seguridad de la información durante un información durante un período acordado para ayudar en
período acordado para ayudar en investigaciones investigaciones futuras?
futuras y monitorear el control de acceso.
A.10.10.1.Párr.2 ¿Se monitorea el control de acceso?
A.10.10.2.Párr.1 Art. 7 Uso del sistema de Se debieran establecer procedimientos para el ¿Se establecen procedimientos para el monitoreo del uso
Letra d monitoreo monitoreo del uso de los medios de procesamiento de los medios de procesamiento de la información?
de la información y se debieran revisar SI
regularmente los resultados de las actividades de
monitoreo.
A.10.10.2.Párr.2 ¿Se revisan regularmente los resultados de las actividades SI
de monitoreo?
A.10.10.3 Art. 23 Protección del registro de Se debieran proteger los medios de registro y la ¿Se protegen los medios de registro y la información del
información información del registro para evitar la alteración y registro para evitar la alteración y el acceso no autorizado?
el acceso no autorizado.
PMG-SSI Pág. 56
A.10.10.4.Párr.1 Registros del Se debieran registrar las actividades del ¿Se registran las actividades del administrador del sistema?
administrador y operador administrador del sistema y el operador del y
sistema.
A.10.10.4.Párr.2 ¿Del operador del sistema?
A.10.10.5.Párr.1 Registro de fallas Se debieran registrar y analizar las fallas, y se ¿Se registran y analizan las fallas?, y
debieran tomar las acciones necesarias. SI
A.10.10.5.Párr.2 ¿Se toman las acciones necesarias?
A.10.10.6 Sincronización de relojes Los relojes de todos los sistemas de Los relojes de todos los sistemas de procesamiento de
procesamiento de información relevantes dentro información relevantes dentro de una organización o
de una organización o dominio de seguridad se dominio de seguridad, ¿Se sincronizan con una fuente que
debieran sincronizar con una fuente que proporcione la hora exacta acordada?
proporcione la hora exacta acordada.
Porcentaje de Cumplimiento Diominio Gestión de las comunicaciones y operaciones
A.11.1.1 Art. 28 Política de control del Se debiera establecer, documentar y revisar la ¿Se establece, documenta y revisa la política de control de
Letra a-b-c-d- acceso política de control de acceso en base a los acceso en base a los requerimientos de negocio y de
e-f-g-h-i-j requerimientos de negocio y de seguridad para el seguridad para el acceso? SI
acceso.
A.11.2.1 Art. 27 Registro del usuario Debiera existir un procedimiento formal para el ¿Existe un procedimiento formal para el registro y des-
Art. 28 registro y des-registro del usuario para otorgar registro del usuario para otorgar y revocar el acceso a todos
Art. 29 y revocar el acceso a todos los sistemas y los sistemas y servicios de información?
servicios de información.
A.11.2.2 Art. 30 Gestión de privilegios Se debiera restringir y controlar la asignación y uso ¿Se restringe y controla la asignación y uso de privilegios?
de privilegios.
SI
A.11.2.3 Art. 32 Gestión de las La asignación de contraseñas se debiera controlar La asignación de contraseñas, ¿Se controla a través de un
contraseñas de los a través de un proceso de gestión formal. proceso de gestión formal?
usuarios
A.11.2.4 Revisión de los derechos El encargado de seguridad debiera revisar los El encargado de seguridad, ¿revisa los derechos de acceso
de acceso del usuario derechos de acceso de los usuarios aintervalos de los usuarios a intervalos regulares utilizando un proceso
regulares utilizando un proceso formal. formal?
A.11.3.1 Art. 27 Uso de Contraseñas Se debiera requerir a los usuarios que sigan ¿Se requiere a los usuarios que sigan buenas prácticas de
buenas prácticas de seguridad en la selección y seguridad en la selección y uso de contraseñas?
uso de contraseñas.
A.11.3.2 Art. 31 Equipo del usuario Los usuarios debieran asegurar que el equipo Los usuarios, ¿asegurar que el equipo desatendido tenga la
Letra a-b desatendido desatendido tenga la protección apropiada. protección apropiada? SI
A.11.3.3.Párr.1 Art. 18 Letra c Política de escritorio y Se debiera adoptar una política de escritorio limpio ¿Se adopta una política de escritorio limpio para papeles y
Art. 31 pantalla limpios para papeles y medios de almacenaje removibles y medios de almacenaje removibles? y
una política de pantalla limpia para los medios de SI
procesamiento de la información.
A.11.3.3.Párr.2 ¿Existe una política de pantalla limpia para los medios de
procesamiento de la información?
A.11.4.1 Art. 23 Política sobre el uso de Los usuarios sólo debieran tener acceso a los Los usuarios, ¿sólo tienen acceso a los servicios para los
los servicios de la red servicios para los cuales hayan sido cuales hayan sido específicamente autorizados?
específicamente autorizados.
A.11.4.2 Art. 27 Autenticación del usuario Se debieran utilizar métodos de autenticación ¿Se utilizan métodos de autenticación apropiados para
para las conexiones apropiados para controlar el acceso de usuarios controlar el acceso de usuarios remotos? SI
externas remotos.
A.11.4.3 Art. 33 Identificación del equipo La identificación automática del equipo se debiera La identificación automática del equipo, ¿Se considera
Letra a en las redes considerar como un medio para autenticar las como un medio para autenticar las conexiones de
conexiones de ubicaciones y equipos específicos. ubicaciones y equipos específicos?
A.11.4.4 Protección del puerto de Se debiera controlar el acceso físico y lógico a los ¿Se controla el acceso físico y lógico a los puertos de
diagnóstico y puertos de diagnóstico y configuración. diagnóstico y configuración? SI
configuración remoto
A.11.4.5 Art. 33 Letra b Segregación en redes Los grupos de servicios de información, usuarios y Los grupos de servicios de información, usuarios y sistemas
sistemas de información debieran ser segregados de información ¿son segregados en distintas redes? SI
en redes.
Control de acceso
A.11.4.6 Art. 33 Letra c Control de conexión a la Para las redes compartidas, especialmente Para las redes compartidas, especialmente aquellas que se
red aquellas que se extienden a través de las fronteras extienden a través de las fronteras de la institución, ¿se
de la institución, se debiera restringir la capacidad restringe la capacidad de los usuarios para conectarse a la
de los usuarios para conectarse a la red, en línea red, en línea con la política de control de acceso y los SI
con la política de control de acceso y los requerimientos de las aplicaciones de negocio?
requerimientos de las aplicaciones de negocio.
PMG-SSI Pág. 57
Control de a
A.11.4.7 Control de routing de la Se debieran implementar controles de routing en ¿Se implementan controles de routing en las redes para
red las redes para asegurar que las conexiones de la asegurar que las conexiones de la computadora y los flujos
computadora y los flujos de información no violen de información no violen la política de control de acceso de
la política de control de acceso de las aplicaciones las aplicaciones de negocio?
de negocio.
A.11.5.1 Art. 27 Procedimientos para un El acceso a los sistemas operativos debiera ser El acceso a los sistemas operativos, ¿es controlado
registro seguro controlado mediante un procedimiento de registro mediante un procedimiento de registro seguro?
seguro.
A.11.5.2.Párr.1 Art. 27 Identificación y Todos los usuarios tienen un identificador único (ID ¿Todos los usuarios tienen un identificador único (ID de
autenticación del usuario de usuario) para su uso personal, y se debiera usuario) para su uso personal?, y
escoger una técnica de autenticación adecuada
para sustanciar la identidad de un usuario.
A.11.5.2.Párr.2 ¿Se escoge una técnica de autenticación adecuada para

sustanciar la identidad de un usuario?
A.11.5.3.Párr.1 Art. 27 Sistema de gestión de Los sistemas para el manejo de claves secretas Los sistemas para el manejo de claves secretas, ¿son
contraseñas debieran ser interactivos y debieran asegurar interactivos? y SI
contraseñas adecuadas.
A.11.5.3.Párr.2 ¿Se asegura contraseñas adecuadas?
SI
A.11.5.4 Uso de las utilidades del Se debiera restringir y controlar estrechamente el ¿Se restringe y controla estrechamente el uso de los
sistema uso de los programas de utilidad que podrían ser programas de utilidad que podrían ser capaces de superar
capaces de superar los controles del sistema y la los controles del sistema y la aplicación?
aplicación.
A.11.5.5 Art. 31 Letra b Cierre de una sesión por Las sesiones inactivas debieran ser cerradas Las sesiones inactivas, ¿son cerradas después de un
inactividad después de un período de inactividad definido. período de inactividad definido? SI
A.11.5.6 Limitación del tiempo de Se debieran utilizar restricciones sobre los tiempos ¿Se utilizan restricciones sobre los tiempos de conexión
conexión de conexión para proporcionar seguridad adicional para proporcionar seguridad adicional para las aplicaciones
para las aplicaciones de alto riesgo. de alto riesgo?
A.11.6.1 Restricción del acceso a El acceso de los usuarios y el personal de soporte El acceso de los usuarios y el personal de soporte a la
la información a la información y las funciones del sistema de la información y las funciones del sistema de la aplicación,
aplicación debiera limitarse en concordancia con la ¿Se limita en concordancia con la política de control de
política de control de acceso definida. acceso definida?
A.11.6.2 Aislar el sistema Los sistemas confidenciales debieran tener un Los sistemas confidenciales, ¿tienen un ambiente de
confidencial ambiente de cómputo dedicado (aislado). cómputo dedicado (aislado)?
A.11.7.1 Art. 7 Computación y Se debiera establecer una política y adoptar las ¿Se establece una política y se adoptan las medidas de
Letra a comunicaciones móviles medidas de seguridad apropiadas para proteger seguridad apropiadas para proteger contra los riesgos de
Art. 9 contra los riesgos de utilizar medios de utilizar medios de computación y comunicación móvil?
computación y comunicación móvil.
A.11.7.2 Tele-trabajo Se debiera desarrollar e implementar una política, ¿Se desarrolla e implementa una política, planes
planes operacionales y procedimientos para las operacionales y procedimientos para las actividades de tele-
actividades de tele-trabajo. trabajo?
Porcentaje de Cumplimiento Dominio Control de acceso
A.12.1.1 10.1.1 Análisis y especificación Los enunciados de los requerimientos de negocio Los enunciados de los requerimientos de negocio para los
de los requerimientos de para los sistemas de información nuevos, o las sistemas de información nuevos, o las mejoras a los
seguridad mejoras a los sistemas de información existentes, sistemas de información existentes, ¿especifican los
debieran especificar los requerimientos de los requerimientos de los controles de seguridad?
controles de seguridad.
A.12.2.1 10.2.1 Validación de la data de Se debiera validar la input data para las ¿Se valida la input data para las aplicaciones para asegurar
entrada aplicaciones para asegurar que esta data sea que esta data sea correcta y apropiada? SI
correcta y apropiada.
A.12.2.2 10.2.2 Control del procesamiento Los chequeos de validación se debieran incorporar ¿Se incorporan en las aplicaciones chequeos de validación,
interno en las aplicaciones para detectar cualquier para detectar cualquier corrupción de la información a
corrupción de la información a través de errores de través de errores de procesamiento o actos deliberados?
procesamiento o actos deliberados.
A.12.2.3.Párr.1 10.2.3 Integridad del mensaje Se debiera identificar los requerimientos para ¿Se identifican los requerimientos para asegurar la
asegurar la autenticidad y proteger la integridad autenticidad y proteger la integridad del mensaje en las
del mensaje en las aplicaciones, y se debieran aplicaciones?, y
identificar e implementar los controles apropiados.
stemas de información
A.12.2.3.Párr.2 ¿Se identifican e implementan los controles apropiados?

A.12.2.4 10.2.4 Validación de la data de Se debiera validar la output data de una aplicación ¿Se validan los datos de salida de una aplicación, para
salida para asegurar que el procesamiento de la asegurar que el procesamiento de la información
información almacenada sea el correcto y el almacenada sea el correcto y el apropiado para las SI
apropiado para las circunstancias. circunstancias?
PMG-SSI Pág. 58
Adquisición, desarrollo y mantenimiento de los sistemas de informaci
A.12.3.1 10.3.1 Política sobre el uso de Se debiera desarrollar e implementar una política ¿Se desarrolla e implementa una política sobre el uso de
controles criptográficos sobre el uso de controles criptográficos para controles criptográficos para proteger la información
proteger la información. sensible?
A.12.3.2 10.3.1.b Gestión de claves Se debiera establecer la gestión de claves para ¿Se establece la gestión de claves para dar soporte al uso
dar soporte al uso de técnicas criptográficas en la de técnicas criptográficas en la organización?
organización.
A.12.4.1 10.4.1 Control del software Se debieran establecer procedimientos para el ¿Se establecen procedimientos para el control de la
operacional control de la instalación del software en los instalación del software en los sistemas operacionales?
sistemas operacionales. SI
A.12.4.2 10.4.2 Protección de la data del La data de prueba se debiera seleccionar ¿Los datos de prueba se seleccionan cuidadosamente?, y
sistema cuidadosamente, y se debiera proteger y controlar.
¿Se protegen y controlan?

A.12.4.3 10.4.3 Control de acceso al Se debiera restringir el acceso al código fuente del ¿Se restringe el acceso al código fuente del programa?
código fuente del programa. SI
programa
A.12.5.1 10.5.1 Procedimientos del control Se debiera controlar la implementación de los ¿Se controla la implementación de los cambios mediante el
del cambio cambios mediante el uso de procedimientos uso de procedimientos formales para el control del cambio? SI
formales para el control del cambio.
A.12.5.2 10.5.2 Revisión técnica de la Cuando se cambian los sistemas de operación, se Cuando se cambian los sistemas de operación, ¿se revisan
aplicación después de debieran revisar y probar las aplicaciones de y prueban las aplicaciones de negocio críticas para
cambios en el sistema negocio críticas para asegurar que no exista un asegurar que no exista un impacto adverso sobre las
impacto adverso sobre las operaciones operaciones institucionales o en la seguridad?
institucionales o en la seguridad.
A.12.5.3.Párr.1 10.5.3 Restricciones sobre los No se debieran fomentar modificaciones a los Las modificaciones a paquetes de software, ¿Se limitan a
cambios en los paquetes paquetes de software, se debieran limitar a los los cambios necesarios? Y
de software cambios necesarios y todos los cambios debieran
ser estrictamente controlados.
A.12.5.3.Párr.2 ¿Todos los cambios son estrictamente controlados?
A.12.5.4 10.5.4 Filtración de información Se debieran evitar las oportunidades para la ¿Se evitan las oportunidades para el filtrado de información?
filtración de información.
A.12.5.5 10.5.5 Desarrollo de software El desarrollo del software abastecido externamente El desarrollo del software abastecido externamente, ¿es
abastecido externamente debiera ser supervisado y monitoreado por la supervisado y monitoreado por la institución? SI
organización.
A.12.6.1 Control de las Se debiera obtener oportunamente la información ¿Se obtiene oportunamente la información sobre las
vulnerabilidades técnicas sobre las vulnerabilidades técnicas de los sistemas vulnerabilidades técnicas de los sistemas de información
de información que se están utilizando, la que se están utilizando, la exposición de la organización a
exposición de la organización a dichas dichas vulnerabilidades evaluadas, y las medidas
vulnerabilidades evaluadas, y las medidas apropiadas tomadas para tratar los riesgos asociados?
apropiadas tomadas para tratar los riesgos
asociados.
Porcentaje de Cumplimiento Dominio Adquisición, desarrollo y mantenimiento de los sistemas de información

A.13.1.1 Art. 12 Letra b Reporte de eventos en la Los eventos de seguridad de la información En la actualidad: ¿el Servicio cuenta con un procedimiento
seguridad de la debieran ser reportados a través de los canales de reporte de eventos que afecten a la seguridad de la
información apropiados lo más rápidamente posible. información? SI
Gestión de un incidente en la seguridad de la
A.13.1.2 Reporte de las Se debiera requerir que todos los usuarios En la actualidad: ¿el Servicio cuenta con un mecanismo
debilidades en la empleados, contratistas y terceros de los sistemas para que los funcionarios de contrata y planta y el personal
seguridad y servicios de información tomen nota de y a honorarios puedan informar a la jefatura sobre debilidades
reporten cualquier debilidad de seguridad de seguridad que detecten en los sistemas o servicios? SI
observada o sospechada en el sistema o los
servicios.
información
A.13.2.1 Art. 12 Letra b Responsabilidades y Se debieran establecer las responsabilidades y los En la actualidad: ¿el Servicio cuenta con procedimientos
procedimientos procedimientos para asegurar una respuesta para manejar diversos tipos de incidentes de seguridad de
rápida, efectiva y metódica ante los incidentes de la información de forma rápida, eficaz y ordenada? SI
la seguridad de la información.
A.13.2.2 Aprender de los Se debieran establecer mecanismos para permitir En la actualidad: ¿el Servicio cuenta con mecanismos que
incidentes en la seguridad cuantificar y monitorear los tipos, volúmenes y permitan cuantificar y monitorear los tipos, volúmenes y
de la información costos de los incidentes en la seguridad de la costos de los incidentes en la seguridad de la información? SI
información.
A.13.2.3 Recolección de evidencia Cuando una acción de seguimiento contra una En la actualidad: ¿el Servicio cuenta con procedimientos
persona u organización después de un incidente para recolectar, manterner y presentar evidencia para
en la seguridad de la información involucra una cumplir con las reglas establecidas en la jurisdicción
acción legal (ya sea civil o criminal); se debiera correspondiente, cuando se deba seguir una accion legal SI
recolectar, mantener y presentar evidencia para (civil o penal) contra una persona u organización después
cumplir con las reglas de evidencia establecidas de un incidente de seguridad de la información?
en la(s) jurisdicción(es) relevante(s).
PMG-SSI Pág. 59
Porcentaje de Cumplimiento Dominio Gestión de un incidente en la seguridad de la información
A.14.1.1 Incluir la seguridad de laSe debiera desarrollar y mantener un proceso En el servicio, ¿se ha establecido un proceso para gestionar
información en el proceso institucional para la continuidad del negocio en la continuidad del negocio?
de gestión de continuidad toda la organización para tratar los requerimientos SI
del negocio de seguridad de la información necesarios para la
continuidad de la institución.
Gestión de la continuidad del negocio

A.14.1.2.Párr.1 Art. 7 Continuidad del negocio y Se debieran identificar los eventos que pueden ¿El servicio ha identificado los eventos que pueden causar
Letra d evaluación del riesgo causar interrupciones a los procesos interrupciones?
A.14.1.2.Párr.2 Art. 8 Institucionales, junto con la probabilidad y el ¿Se ha identificado la probabilidad de ocurrencia, el impacto
impacto de dichas interrupciones y sus y consecuencias de dichas interrupciones?
consecuencias para la seguridad de la
A.14.1.3 Art. 35 Desarrollar e implementar Se debieran desarrollar e implementar planes En el servicio, ¿hay planes de continuidad de negocio que
los planes de continuidad paramantener restaurar las operaciones y incluyan la seguridad de la información (disponibilidad en
incluyendo la seguridad asegurar la disponibilidad de la información en el nivel y escala de tiempo después de la falla)?
de la información nivel requerido y en las escalas de tiempo SI
requeridas después de la interrupción, o falla,
delos procesos institucionales críticos.
A.14.1.4 Marco Referencial de la Se debiera mantener un solo marco referencial de El servicio ¿ha establecido un marco referencial que dé
planeación de la los planes de continuidad del negocio para consistencia a los planes de continuidad del negocio?
continuidad del negocio asegurar que todos los planes sean consistentes,
tratar consistentemente los requerimientos de
seguridad de la información e identificar las
prioridades para la prueba y el mantenimiento.
A.14.1.5 Prueba, mantenimiento y Los planes de continuidad del negocio debieran ¿En el servicio se aprueban y actualizan dichos planes?
re-evaluación de los ser probados y actualizados regularmente para
planes de continuidad del asegurar que sean actuales y efectivos.
negocio
Porcentaje de Cumplimiento Dominio Gestión de la continuidad del negocio
A.15.1.1 Identificación de la Se debiera definir explícitamente, documentar y ¿Se definen explícitamente, documentan y actualizan todos
legislación aplicable actualizar todos los requerimientos estatutarios, los requerimientos estatutarios, reguladores y contractuales
reguladores y contractuales relevantes, y el relevantes, y el enfoque de la institución para satisfacer
enfoque de la institución para satisfacer esos esos requerimientos, para cada sistema de información y su SI
requerimientos, para cada sistema de información organización?
y su organización.
A.15.1.2 Art. 22 Derechos de propiedad Se debieran implementar los procedimientos ¿Se implementan los procedimientos apropiados para
Letra b intelectual (IPR) apropiados para asegurar el cumplimiento de los asegurar el cumplimiento de los requerimientos legislativos,
requerimientos legislativos, reguladores y reguladores y contractuales sobre el uso del material con
contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad
respecto a los cuales puedan existir derechos de intelectual y sobre el uso de productos de software
propiedad intelectual y sobre el uso de productos patentado?
de software patentado.
A.15.1.3 Protección de registros Se debieran proteger los registros importantes de ¿Se debieran protegen los registros importantes de pérdida,
institucionales pérdida, destrucción, falsificación; en concordancia destrucción, falsificación; en concordancia con los
con los requerimientos estatutarios, reguladores, requerimientos estatutarios, reguladores, contractuales y de
contractuales y de negocio. negocio? SI
A.15.1.4 Protección de la data y Se debiera asegurar la protección y privacidad de ¿Se asegura la protección y privacidad de la data conforme
privacidad de la la data conforme lo requiera la legislación, lo requiera la legislación, regulaciones y, si fuesen
información personal regulaciones y, si fuesen aplicables, las cláusulas aplicables, las cláusulas contractuales relevantes?
contractuales relevantes.
Cumplimiento
A.15.1.5 Prevención del mal uso de Se debiera disuadir a los usuarios de utilizar los ¿Se disuade a los usuarios de utilizar los medios de
los medios de medios de procesamiento de la información para procesamiento de la información para propósitos no
procesamiento de la propósitos no autorizados. autorizados?
información
A.15.1.6 Regulación de controles Los controles criptográficos se debieran utilizar en Los controles criptográficos, ¿se utilizan en cumplimiento
criptográficos cumplimiento con todos los acuerdos, leyes y con todos los acuerdos, leyes y regulaciones relevantes?
regulaciones relevantes.
A.15.2.1 Art. 7 Cumplimiento con las La jefatura de área debiera asegurar que se lleven La jefatura de área, ¿asegura que se lleven a cabo
Letra c políticas y estándares de a cabo correctamente todos los procedimientos de correctamente todos los procedimientos de seguridad
seguridad seguridad dentro de su área de responsabilidad dentro de su área de responsabilidad para asegurar el
para asegurar el cumplimiento de las políticas y cumplimiento de las políticas y estándares de seguridad?
estándares de seguridad.
A.15.2.2 Chequeo del cumplimiento Los sistemas de información debieran chequearse Los sistemas de información, ¿se chequean regularmente
técnico regularmente para ver el cumplimiento de los para ver el cumplimiento de los estándares de
estándares de implementación de la seguridad. implementación de la seguridad?
PMG-SSI Pág. 60
A.15.3.1 Controles de auditoría de Las actividades y requerimientos de auditoría que Las actividades y requerimientos de auditoría que
los sistemas de involucran chequeos de los sistemas involucran chequeos de los sistemas operacionales, ¿son
información operacionales debieran ser planeados y acordados planeados y acordados cuidadosamente para minimizar el
cuidadosamente para minimizar el riesgo de riesgo de interrupciones en los procesos de negocio?
interrupciones en los procesos comerciales.
A.15.3.2 Protección de las Se debiera proteger el acceso a las herramientas ¿Se protege el acceso a las herramientas de auditoría de
herramientas de auditoría de auditoría de los sistemas de información para los sistemas de información para evitar cualquier mal uso o
de los sistemas de evitar cualquier mal uso o trasgresión posible. trasgresión posible?
información
Porcentaje de Cumplimiento Dominio Cumplimiento
PMG-SSI Pág. 61
Término
Productos esperados Hitos y actividades comprometidas Desviaciones (días) Observaciones Nombre del Archivo Evidencia (Ver nota)
Estimado Real
Difusión
Capacitaciòn
Nota: De acuerdo a las evidencias que señale la Institución en este reporte, para los productos declarados como cumplidos, la Red de Expertos le solicitará las
evidencias - que estime necesarias - para certificar la suficiencia y completitud de ellas para sustentar tal declaración, en el marco de la Asistencia Técnica del PMG
SSI. Del mismo modo, dichas evidencias deben posibilitar la realización de cualquier otro tipo de revisión o auditoría, tanto dentro de la Institución, como por
organismos externos a ella.
Red de Ex
PMG/MEI - SSI: RESUMEN - IMPLEMENTACIÓN Subsecretaría del Interior - Div
Dirección de Presupuestos - División Tecnolo
DOMINIO % CUMPLIMIENTO COBERTURA

Política de seguridad 0.00 0.00
Organización de la Seguridad de la Información 0.00 0.00
Gestión de Activos 0.00 0.00
Seguridad de recursos humanos 0.00 0.00
Seguridad Física y Ambiental 0.00 0.00
Gestión de las comunicaciones y operaciones 0.00 0.00
Control de acceso 0.00 0.00
Adquisición, desarrollo y mantenimiento de los sistemas de información 0.00 0.00
Gestión de un incidente en la seguridad de la información 0.00 0.00
Gestión de la continuidad del negocio 0.00 0.00
Cumplimiento 0.00 0.00
ESTADO DE LA INSTITUCION (DIAGNOSTICO) 0.00
Estado de la Institución por Dominio (%)

Cumplimiento0.00
Gestión de la continuidad del negocio0.00
Gestión de un incidente en la seguridad de la información0.00
Adquisición, desarrollo y mantenimiento de los sistemas de información0.00

Co
Seguridad de recursos humanos0.00
0.00 10.00 20.00 30.00 40.00 50.00 60.00 70.00 80.00 90.00 100.00

Co
Seguridad de recursos humanos0.00 Red de Ex

PMG/MEIGestión
- SSI: RESUMEN - IMPLEMENTACIÓN Subsecretaría del Interior - Div
de Activos0.00
Dirección de Presupuestos - División Tecnolo
0.00 10.00 20.00 30.00 40.00 50.00 60.00 70.00 80.00 90.00 100.00

Red de Expertos
e Presupuestos - División Tecnologías de Información
Column C
90.00 100.00
Column C
Red de Expertos
e Presupuestos - División Tecnologías de Información
90.00 100.00

Requisitos Técnicos
Evaluación de los resultados del Plan General
Difusión de los resultados de la implementación

Revisión del % de cumplimiento logrado, por parte del CSI
Revisión de los resultados de las actividades desarrolladas y la efectividad en la mitigación de riesgos
Identificación de riesgos persistentes y otras debilidades, y su análisis de causa
Recomendaciones de mejora, que consideren medidas correctivas y preventivas
ntación
Medios de verificación (adjuntar)
Recomendaciones y medidas de mejoramiento Compromisos Plazo
Responsable
Revisiones regulares del SSI Revisión 1
Revisión 2
Revisión n
Indicadores y metas Revisión de indicadores y metas
Establecimiento de medidas de mejora
Aprobación CSI o Dirección
Inventario de activos y riesgos Actualización del inventario de activos
Incorporación a gestión de riesgos institucional
Fecha

Articles-51683 Introd Instrumentos 062012

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Articles-51683 Introd Instrumentos 062012

Uploaded by

Copyright:

Available Formats

Red de Exp

PMG/MEI -SSI: RESUMEN - DIAGNOSTICO Subsecretaría del Interior - Divis

DOMINIO % CUMPLIMIENTO COBERTURA

Estado de la Institución por Dominio (%)

Gestión de la continuidad del negocio0.00

Gestión de un incidente en la seguridad de la información0.00

Adquisición, desarrollo y mantenimiento de los sistemas de información0.00

Gestión de las comunicaciones y operaciones0.00

Seguridad de recursos humanos0.00

Organización de la Seguridad de la Información0.00

Gestión de las comunicaciones y operaciones0.00

Seguridad de recursos humanos0.00 Red de Exp

73 Programa de mejoramiento de la gestiónMinisterio del Interior

73 Programa de mejoramiento de la gestiónMinisterio del Interior

Art. 11 El documento Politica de Seguridad: Debe adjuntar política de

Art. 11 El documento Politica de Seguridad: Debe adjuntar política de

Art. 11 Revisión de La política de seguridad de la El documento Politica de Seguridad:

Art. 12 En la resolución de nombramiento del Resolución de Debe adjuntar resolución de

Red de Expertos PMG-SSI SI

AMBITO CONTROL REQUISITO/ CONTROL ENTREGABLE DEL ESTADO ENTREVISTADO

contratistas y terceros en honorarios, que especifiquen su honorarios y en HYS SI 1

Red de Expertos PMG-SSI SI

Red de Expertos PMG-SSI SI

del control implementado.

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>

<Inserte fila para agregar controles>