El documento describe los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO/IEC 27001. Cubre temas como la política de seguridad, evaluación y tratamiento de riesgos, auditorías internas, comunicación, documentación y mejora continua del SGSI. El SGSI tiene el objetivo de proteger la información cumpliendo con los requisitos normativos y satisfaciendo las necesidades de las partes interesadas.

1. TECNICAS DE SEGURIDAD.
SISTEMA DE LA GESTION DE LA SEGURIDAD DE LA INFORMACION.
REQUISITOS:
1) ¿CUALES SON SUS CRITERIOS PARA ACEPTAR LOS
RIESGOS?
Clausula 6.1.2:
Ejemplo:
a) establezca y mantenga los criterios de la seguridad de la información que
incluye
1) los criterios de aceptación de riesgo;
2) los criterios para realizar las evaluaciones de riesgos de la segurida de la
información.
2) ¿Cuenta con un programade auditorías internas?
Si contamos con una auditoria interna.
CLAUSULA: 9.2
Ejemplo: asegurarse de que los resultados de las auditorias se informan a la
dirección pertinente y conservar información documentada como evidencia.
3) ¿Podría comentar sobre los asuntos internos y externos?
La organización debe determinar los límites y la aplicabilidad del sistema de
gestión de la seguridad de la información para establecer su alcance,
considerando las cuestiones internar y externas.
CLAUSULA: 4.1 Y 4.3
4) ¿Cuenta con un programade auditorías internas?
Si contamos con una auditoria interna.
CLAUSULA: 9.2
Ejemplo: asegurarse de que los resultados de las auditorias se informan a la
dirección pertinente y conservar información documentada como evidencia.

2. 5) La organización,les comunica a los empleadossobreel SGSI.
Si, se le informa al personal de la importancia de la SGSI.
CLAUSULA: 7.4
Por ejemplo: -el contenido de la información
-cuando comunicar
-a quien comunicar
6) ¿Me puede mostrarsu plan de tratamiento de riesgo?
CLAUSULA: 6.1.3
Ejemplo: -seleccionar las opciones apropiadas de tratamiento
-determinar todo los controles que sean necesarios
-formular un plan de tratamiento
-obtener la aprobación del plan de tratamiento
7) ¿Cómo manejarcualquierno conformidad que se haya
detectadoen cualquiera de sus auditorías?
CLAUSULA: 10.1
Ejemplo: reaccionar ante la no conformidad, y según sea aplicable
-tomar acciones para controlar y corregir
-hacer frente a las consecuencias
-implementar cualquier acción necesaria
-hacer cambios en el sistema de gestión de seguridad
8) ¿Me puede mostrarsu política de seguridadde información?
CLAUSULA: 6.2
Ejemplo: -ser coherentes con la política de seguridad de la información
- Ser medible y se comunicados
- Ser actualizados según sea apropiado
- Tener en cuenta los requisitos

3. 9) ¿CÓMOCONTROLANLOS CAMBIOS PLANEADOS A SUS
PROCESOS DE SEGURIDAD DE LA INFORMACIÓN?
CLAUSULA: 9.1
Ejemplo: es necesario hacer seguimiento y que es necesario medir incluso los
procesos y controles de la seguridad de la información.
10) ¿CÓMO DEMUESTRAN SUS GERENTES SU COMPROMISO
CON LA SGSI?
CLAUSULA: 5.1
Ejemplo: -compromiso y liderazgo
-asegurando que se establezca la política de la SGSI y los objetivos
-asegurando la integración de los requisitos
-asegurando los recursos necesarios
11) ¿COMO DETERMINAN LAS COMPETENCIAS QUE SE
REQUIEREN PARA REALIZAR LAS ACTIVIDADES DE GESTIÓN
DE SEGURIDAD DE INFORMACIÓN?
Clausula 7.2:
a) determinar las competencias necesarias de las personas que trabajan bajo su
control que afectan su desempeño de la seguridad de la información
b) asegurar que estas personas estén competentes basados en una educación,
capacitación u experiencia adecuada
12) ¿ME PODRÍA MOSTRAREL ALCANCE DE SU SGSI?
Clausula 4.3:
Ejemplo:
a) los asuntos externos e internos tratados.
b) los
c) interferencias e independencias entre actividades ralizadas por la organización
y aquellas realizadas por otras organizaciones.

4. 13 ¿ME PUEDE INDICAR COMO HAN MEJORADO LA EFICACIA
DE SUS SGSI?
Clausula 10.2
La organización debe mejorar de manera continua la conveniencia, suficiencia y
efectividad del sistema de gestión de la seguridad de la información.
14) ¿ME PERMITEVER LOS REGISTROS DE LA ULTIMA
REVISION DE LA GERENCIA?
Clausula 9.3
a) el estado de las acciones, a partir de las revisiones de gestión anteriores;
b) los cambios en los asuntos externos e internos que son pertinentes al sistema
de gestión de la seguridad de la informacion;
c) los comentarios sobre el desempeño de la seguridad de la informacion,
incluidas tendencias en
1) no conformidades y acciones correctivas;
2) resultados del monitoreo y mediciones;
3) resultados de auditoria; y
4) cumplimiento de los objetivos de seguridad de la informacion;
15) ¿CON QUE FRECUENCIA REALIZA LA EVOLUCIÓNDE SUS
RIESGOS?
CLAUSULA: 9.1
Ejemplo: los métodos de seguimiento de medición, análisis y evaluación, según
hsea aplicable, para asegurar resultados válidos.

5. 16) ¿COMO CONTROLANLA DOCUMENTACIÓNDE SU SGSI?
CLAUSULA 5.3:
Roles organizacionales, responsabilidades y autoridades
a) asegurar que el sistema de gestión de la seguridad de la informacion cumple
con los requisitos de esta norma; y
b) informar a la alta dirección sobre el desempeño del sistema de gestión de la
seguridad de la informacion
17) ¿CÓMO DETERMINARON LOS REQUISITOS DE LAS PARTES
INTERESADAS RELEVANTES A LA SEGURIDAD DE LA
INFORMACIÓN?
Clausula 4.3
Determinar el alcance del sistema de gestión de la seguridad de la información
Al determinar debe considerar:
a) Los asuntos externos e internos tratados en 4.1
b) Los requerimientos tratados en 4.2; y
c) Interferencias y dependencias entre las actividades realizadas por la
organización y aquellas realizadas por otras organizaciones.
El alcance estará disponible como información documentada.
18) ME PUEDE INDICAR COMO PLANEAN LOGRAR SUS
OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN
a) ser consisten con la política de la seguridad de la información
b) ser medible
19) ¿QUIEN TIENE LA RESPONSABILIDAD Y LA AUTORIDAD EN
LA ORGANIZACIÓN DE INFORMAR A LOS DIRECTIVOS SOBRE
EL DESEMPEÑO DEL SGSI?
Clausula 5.3:
Roles Organizacionales, responsabilidades y autoridades

6. a) asegurar que el sistema de gestión de la seguridad de la información cumple
con los requisitos de esta norma.
b) informar a la alta dirección sobre el desempeño del sistema de gestión de la
seguridad de la información.
20) ME PUEDE MOSTRAR COMO HAN IMPLEMENTADO SU PLAN
DE TRATAMIENTODE RIESGOS?
Clausula 8.3:
Tratamiento de riesgos de la seguridad de la información
La organización debe implementar el plan de tratamiento de riesgos de la seguridad de la
información.
La organización debe conservar la información documentada de los resultados del
tratamiento de riesgo de la seguridad de la información.