Este documento proporciona una plantilla para evaluar el cumplimiento de controles de seguridad de la información agrupados en dominios y objetivos de control. La plantilla incluye secciones para ingresar el peso de cada dominio y objetivo, y el nivel de cumplimiento. También incluye una escala de valores de 0 a 100 para calificar el nivel de cumplimiento de cada control. Al final se provee una breve descripción de cada dominio y objetivo de la norma ISO 27002.

1. Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo
NC.O Nivel de cumplimineto del objetivo
PC Peso del control Alto Mas del 70% de cumplimiento
NC.C Nivel de cumplimiento del control Medio Entre el 30 y 69 % de cumplimiento
Escala Escala del cumplimiento del control Bajo Por debajo del 30%
Indicaciones para usar la plantilla correctamente:
Orientación PD NC. D PO NC. O PC NC. C Escala
1 2 1,5 60
2 100 60
1 Debe 50 60 60
2 Debe 50 60 60
2 11 8,27 45,46
8 72,73 32,73
1 Debe 9,09 60 60
2 Debe 9,09 60 60
3 Debe 9,09 60 60
DESCRIPCION DE LA PLANTILLA ISO 27002
Escala visual de la valoración del control
Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga en
cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriamente, recuerde que también se puede asignar valores
intermedios cuando se cumple parcialmente cualquiera de los controles.
% de cumplimiento de la norma
Descripción
1
Comité de la dirección sobre seguridad de la información
Revisión de la política de seguridad de la información
100
1 Documento de la política de seguridad de la información
Coordinación de la seguridad de la información
Asignación de responsabilidades para la de seguridad de la información
Organización Interna
Estructura organizativa para la seguridad 100
Política de Seguridad de la Información
Dominios
Objetivos
de Control
Controles
5
Política de Seguridad
6

2. 4 Debe 9,09 40 40
5 Debe 9,09 40 40
6 Puede 9,09 40 40
7 Puede 9,09 40 40
8 Puede 9,09 20 20
3 27,27 12,73
1 Debe 9,09 20 20
2 Debe 9,09 60 60
3 Debe 9,09 60 60
Dominios
Objetivos
de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala
2 5 3,76 64
3 60 44
1 Debe 20 80 80
2 Debe 20 70 70
3 Debe 20 70 70
2 40 20
1 Debe 20 50 50
2 Debe 20 50 50
3 9 6,77 63,3
3 33,33 23,33
1 Debe 11,11 70 70
2 Debe 11,11 70 70
3 Debe 11,11 70 70
3 33,33 21,11
1 Debe 11,11 70 70
2 Debe 11,11 70 70
3 Debe 11,11 50 50
3 33,33 18,89
1 Debe 11,11 50 50
2 Debe 11,11 50 50
3 Debe 11,11 70 70
Dominios
Objetivos
de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala
2 13 9,77 60
Descripción
Descripción
100
Verificación
Términos y condiciones de empleo
Seguridad en el personal 100
Responsabilidades de la gerencia
Educación y formación en seguridad de la información
Procesos disciplinarios
Responsabilidades en la terminación
Devolución de activos
Eliminación de privilegios de acceso
Inventario de activos
2
Identificación de riesgos por el acceso de terceras partes
Temas de seguridad a tratar con clientes
Terceras partes
Responsabilidad sobre los activos
Clasificación de la información
Temas de seguridad en acuerdos con terceras partes
Propietario de activos
Uso aceptable de los activos
100Clasificación y control de activos
2 Guías de clasificación
Etiquetado y manejo de la información
1 Proceso de autorización para instalaciones de procesamiento de información
Contacto con grupos de interés
Revisión independiente de la seguridad de la información
Acuerdos de confidencialidad
Contacto con autoridades
6
1
7
1
2
8
Antes del empleo
Durante el empleo
Roles y responsabilidades
Terminación o cambio del empleo
Seguridad fisica y del entorno
3

3. 6 46,15 30
1 Debe 7,69 60 60
2 Debe 7,69 60 60
3 Debe 7,69 60 60
4 Debe 7,69 70 70
5 Debe 7,69 70 70
6 Puede 7,69 70 70
7 53,85 30
1 Debe 7,69 70 70
2 Debe 7,69 70 70
3 Debe 7,69 60 60
4 Debe 7,69 70 70
5 Debe 7,69 40 40
6 Debe 7,69 40 40
7 Debe 7,69 40 40
Dominios
Objetivos
de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala
10 32 24,06 52,2
4 12,5 7,5
1 Debe 3,125 70 70
2 Debe 3,125 60 60
3 Debe 3,125 70 70
4 Debe 3,125 40 40
3 9,38 5,63
1 Puede 3,12 60 60
2 Puede 3,12 60 60
3 Puede 3,12 60 60
2 6,25 4,38
1 Debe 3,125 70 70
2 Debe 3,125 70 70
2 6,25 4,69
1 Debe 3,125 80 80
2 Debe 3,125 70 70
1 3,13 2,19
1 Debe 3,13 70 70
Descripción
10
Gestión de comunicaciones y operaciones 100
1
2
Entrega de servicios
Monitoreo y revisión de servicios de terceros
Manejo de cambios a servicios de terceros
Controles contra código móvil
Procedimientos de operación documentados
Control de cambios
Separación de funciones
Separación de las instalaciones de desarrollo y producción
3
Trabajo de áreas seguras
Áreas de carga, entrega y áreas públicas
Herramientas de soporte
Seguridad del cableado
Mantenimiento de equipos
Seguridad del equipamiento fuera de las instalaciones
Seguridad de los Equipos
Perímetro de seguridad física
Seguridad en la reutilización o eliminación de equipos
Movimientos de equipos
Áreas Seguras
Controles de acceso físico
Seguridad de oficinas, recintos e instalaciones
Protección contra amenazas externas y ambientales
2
9
Planificación y aceptación del sistema
1
Ubicación y protección del equipo
Planificación de la capacidad
Aceptación del sistema
4 Controles contra software malicioso
5
Información de copias de seguridad
Procedimientos operacionales y responsabilidades
Administración de servicios de terceras partes
Protección contra software malicioso y móvil
Copias de seguridad

4. 2 6,25 5
1 Debe 3,125 80 80
2 Debe 3,125 80 80
4 12,5 8,13
1 Debe 3,125 70 70
2 Debe 3,125 70 70
3 Debe 3,125 60 60
4 Debe 3,125 60 60
5 15,63 7,82
1 Debe 3,126 50 50
2 Puede 3,126 50 50
3 Puede 3,126 50 50
4 Puede 3,126 50 50
5 Puede 3,126 50 50
3 9,38 3,75
1 Puede 3,126 40 40
2 Puede 3,126 40 40
3 Puede 3,126 40 40
6 18,75 3,13
1 Debe 3,126 10 10
2 Debe 3,126 50 50
3 Debe 3,126 10 10
4 Debe 3,126 10 10
5 Debe 3,126 10 10
6 Puede 3,126 10 10
Dominios
Objetivos
de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala
7 25 18,8 59,2
1 4 2,8
1 Debe 4 70
4 16 11,2
1 Debe 4 70
2 Debe 4 70
3 Debe 4 70
4 Debe 4 70
Descripción
Control de accesos
Requisitos de negocio para el control de acceso
Administración de acceso de usuarios
Administración de privilegios
Administración de contraseñas
Revisión de los derechos de acceso de usuario
Monitoreo y supervisión
100
1
Política de control de accesos
2
Registro de usuarios
Protección de los logs
Registro de actividades de administrador y operador del sistema
Fallas de login
10
Sincronización del reloj
Manejo de medios de soporte
Intercambio de información
Controles de redes
Seguridad de los servicios de red
Información públicamente disponible
7
Administración de los medios de computación removibles
Eliminación de medios
Procedimientos para el manejo de la información
Seguridad de la documentación del sistema
6
8
Políticas y procedimientos para el intercambio de información
Acuerdos de intercambio
9
10
Logs de auditoria
Monitoreo de uso de sistema
Servicios de comercio electronico
Comercio electronico
Transacciones en línea
Medios físicos en transito
Mensajes electrónicos
Sistemas de información del negocio
Administración de la seguridad en redes

5. 3 12 6,4
1 Debe 4 60
2 Puede 4 50
3 Puede 4 50
7 28 16,8
1 Debe 4 70
2 Puede 4 50
3 Puede 4 60
4 Debe 4 60
5 Puede 4 60
6 Debe 4 60
7 Debe 4 60
6 24 12,4
1 Debe 4 10
2 Debe 4 60
3 Debe 4 60
4 Puede 4 60
5 Debe 4 60
6 Puede 4 60
2 8 5,6
1 Puede 4 70
2 Puede 4 70
2 8 4
1 Puede 4 60
2 Puede 4 40
Dominios
Objetivos
de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala
6 16 12,03 59,39
1 6,25 3,75
1 Debe 6,25 60 60
4 25 16,88
1 Debe 6,25 60 60
2 Puede 6,25 70 70
3 Puede 6,25 70 70
4 Puede 6,25 70 70
12
Desarrollo y mantenimiento de sistemas 100
1
Controles de procesamiento interno
Integridad de mensajes
Validación de los datos de salida
Validación de los datos de entrada
2
4
Política de uso de los servicios de red
Descripción
Ordenadores portátiles y comunicaciones moviles
Teletrabajo
Análisis y especificaciones de los requerimientos de seguridad
Requerimientos de seguridad de sistemas de información
Procesamiento adecuado en aplicaciones
7
11
Responsabilidades de los usuarios
Identificación y autenticación de los usuarios
Sistema de administración de contraseñas
Inactividad de la sesión
Limitación del tiempo de conexión
Identificación de equipos en la red
Administración remota y protección de puertos
Segmentación de redes
Uso de utilidades de sistema
Control de conexión a las redes
Control de enrutamiento en la red
5
Ordenadores portátiles y teletrabajo
Control de acceso al sistema operativo
3
Uso de contraseñas
Equipos de cómputo de usuario desatendidos
Política de escritorios y pantallas limpias
Autenticación de usuarios para conexiones externas
Control de acceso a redes
Restricción del acceso a la información
Aislamiento de sistemas sensibles
Procedimientos seguros de Log-on en el sistema
6
Control de acceso a las aplicaciones y la información

6. 2 12,5 3,75
1 Puede 6,25 30 30
2 Puede 6,25 30 30
3 18,75 11,88
1 Debe 6,25 70 70
2 Puede 6,25 60 60
3 Debe 6,25 60 60
5 31,25 18,75
1 Debe 6,25 60 60
2 Debe 6,25 60 60
3 Puede 6,25 60 60
4 Debe 6,25 60 60
5 Debe 6,25 60 60
1 6,25 4,38
1 Debe 100 70 70
Dominios
Objetivos
de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala
2 5 3,76 60
2 40 24
1 Debe 20 60 60
2 Puede 20 60 60
3 60 36
1 Debe 20 70 70
2 Puede 20 70 70
3 Debe 20 40 40
1 5 3,76 68
5 100 68
1 Debe 20 60 60
2 Debe 20 70 70
3 Debe 20 70 70
4 Debe 20 70 70
5 Debe 20 70 70
Dominios
Objetivos
de Control
Controles Orientación PD NC. D PO NC. O PC NC. C Escala
1
Lecciones aprendidas
Recolección de evidencia
Desarrollo e implementación de planes de continuidad incluyendo seguridad de la
información
Marco para la planeación de la continuidad del negocio
Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio
Continuidad del negocio y análisis del riesgo
Aspectos de seguridad de la información en la gestión de continuidad del negocio
12
3
Protección de los datos de prueba del sistema
6
Seguridad en los procesos de desarrollo y soporte
Gestión de vulnerabilidades técnicas
Control de vulnerabilidades técnicas
Inclusión de seguridad de la información en el proceso de gestión de la continuidad
del negocio
13
Gestión de incidentes de la seguridad de la información 100
1 Reportando eventos de seguridad de la información
Gestión de incidentes y mejoramiento de la seguridad de la información
Notificando eventos de seguridad de la información y debilidades
Descripción
14
Gestión de la continuidad del negocio 100
Reportando debilidades de seguridad
2
Procedimientos y responsabilidades
5
Descripción
Restricciones en los cambio a los paquetes de software
4
Desarrollo externo de software
Fugas de información
Política de utilización de controles criptográficos
Administración de llaves
Control de acceso al código fuente de las aplicaciones
Procedimientos de control de cambios
Revisión técnica de los cambios en el sistema operativo
Controles criptográficos
Seguridad de los archivos del sistema
Control del software operacional

7. 3 10 7,52 63,33
6 60 22
1 Debe 10 30 30
2 Debe 10 30 30
3 Debe 10 50 50
4 Debe 10 30 30
5 Debe 10 70 70
6 Debe 10 10 10
2 20 12
1 Debe 10 60 60
2 Debe 10 60 60
2 20 2
1 Debe 10 10 10
2 Debe 10 10 10
Dominios 11
Objetivos de control 39
Controles 133
2
1
Identificación de la legislación aplicable
Derechos de propiedad intelectual (dpi)
3 Controles de auditoria a los sistemas de información
Consideraciones de la auditoria de sistemas de información
Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico
Cumplimiento con los requisitos legales
Regulación de controles para el uso de criptografía
Protección de los registros de la organización
Protección de datos y privacidad de la información personal
100
15
Cumplimiento
Prevención del uso inadecuado de los recursos de procesamiento de información
Protección de las herramientas de auditoria de sistemas
Cumplimiento con las políticas y procedimientos
Verificación de la cumplimiento técnico

8. DOMINIO VALOR
40
40
40
40
20
40
50
50
50
50
50
40
40
40
40
8
Desarrollar una politica de terminación
de contrato para empleados teniendo
encuenta los activos y accesos en el
sistema y organización
9
Desarrollo de una politica para el
manejo de equipos dentro de la
empresa desde su compra hasta su
eliminacionde los activos
mejorar la organización fisica de las
instalaciones y procesos independientes
7
Organizar la información según los
procesos de calidad y la organización de
la empresa
Contactar organizaciones con
experiencia en SI
Seguridad en la reutilización o eliminación de
equipos
Movimientos de equipos
Separación de las instalaciones de desarrollo y
producción
Procesos disciplinarios
Responsabilidades en la terminación
Devolución de activos
Seguridad del equipamiento fuera de las
instalaciones
Contacto con grupos de interes
revisión independiente de la SI
Identificación de riesgos por el acceso de
terceras partes
Guías de clasificación
Etiquetado y manejo de la información
Valor de cumplimiento del dominio 5 60
OBJETIVOS CRITICOS
Acuerdos de confidencialidad
Contacto con autoridades
MEJORA PROPUESTA
Creación y gestión de formularios de
autorización de servicios
Buscar acompañamiento de entidades
como la policia.
Nombre de la empresa En-Core
sector de la empresa Informatica y telecomunicaciones
Los aspectos criticos o de mejora se consideran aquellos debajo del valor de la politica de seguridad de la
información en el dominio 5 de la auditoria.
Consideracion de aspectos criticos
Proceso de autorización para instalaciones
de procesamiento de información
6
Creación y gestión de formularios de
autorización de servicios
Realizar auditorias externas y
certificacion en SI

9. 50
50
50
50
50
40
404
40
18,75
50
50
50
10
40
30
30
13 30
14 68
30
30
50
30
10
10
10
12
Desarrollar la politica para el manejo de
la información interna y los canales de
trabajo para el manejo de email o
medios fisicos como CD, USB u otros
dispositivos. Asi como tambien archivos
en la nube
Utilizar cifrado y criptografia en información sensible
aprovechar la información de los log
como lecciones aprendidas
almacenando y protegiendo los casos
dados
proteger las contraseñas y acceso
remoto
definir politicas de registro al sistema
Adjustar las politicas del manual de
seguridad para el comercio y
transaciones en linea
Gestion de continuidad del negocio
Identificación de la legislación aplicable
Derechos de propiedad intelectual (dpi)
15
10
11
Orientar los contenidos de los equipos a
la identidadde la empresa
Orientar y articular politicas con
legislacion internacional y normas de
seguridad y protección de datos de la
empresa
Establecer los controles de auditoria
interna y externa de la SI
Aplicar practicas de continuidad
definir el teletrabajo
Unificar el procedimiento de lecciones
aprendidas
Implementar criptografia en
informacion sensible de la empresa y
clientes
Protección de datos y privacidad de la
información personal
Regulación de controles para el uso de
criptografía
Controles de auditoria a los sistemas de
información
Protección de las herramientas de auditoria de
sistemas
Protección de los registros de la organización
Teletrabajo
Política de utilización de controles criptográficos
Administración de llaves
Recolección de evidencia
Monitoreo y supervision
Equipos de cómputo de usuario desatendidos
Política de escritorios y pantallas limpias
Autenticación de usuarios para conexiones
externas
Procedimientos seguros de Log-on en el sistema
Medios físicos en transito
Mensajes electrónicos
Sistemas de información del negocio
Comercio electronico
Transacciones en línea
Información públicamente disponible
Políticas y procedimientos para el intercambio
de información
Acuerdos de intercambio