Professional Documents
Culture Documents
Fecha:29 /10/18
Gestión de Seguridad de la Información de la empresa Versión: 0.1
MULTIVENTAS AKEMI E.I.R.L Página 1 de 32
Código: SGSI-001
Versión: 0.1
Fecha de la versión: 29/10/2018
Creado por: • ESPIRITU ARANDA ABDIAS ABILES
• SANTOS LUYCHO MAYKOL
• ZEGARRA MATAMOROS NOEMI LILIANA
• JUAN DAVID LOPEZ PEZO
Historial de Revisiones
Aprobación
Mejora Continua
Tabla de contenido
Contenido
1. Objetivo, alcance y usuarios ................................................................................................... 5
1.2. Alcance............................................................................................................................... 5
1.1. Objetivos
Mantener la integridad de la información que maneja las distintas áreas y el
personal que labora en la EMPRESA MULTIVENTAS AKEMI E.I.R.L, con
una previa evaluación de análisis y política que la empresa maneja,
implementará las medidas o soluciones tecnológicas, además se redactará
los siguientes documentos necesarios para la auditoria como:
Manual de seguridad
Procedimientos
Instrucciones de trabajo
Registros
1.2. Alcance
Se aplica a todas las actividades que serán realizadas dentro del proyecto
de implementación del SGSI.
Que son:
Análisis para la toma de acciones correctivas o preventivas.
Medir el desempeño en que la empresa maneja su seguridad interna y/o
externa.
Identificar mejoras e implementarlo (redes, sistemas, Apps, etc.).
Proponer la idea con las partes involucradas e implementar si es necesario.
1.3. Usuarios
Miembros de la alta dirección
Gerente Liz Mileza Diaz Panduro
Subgerente Issac Matamoros de la Cruz
Trabajadora Janet Rivera Panduro
2. Documentos de referencia
NTP ISO/IEC 17799:2007
NTP ISO/IEC 27001:2014
ISO/IEC 27001:2013
ISO/IEC 27002:2013
RM 129-2012-PCM
Ley 29773 Protección de datos personales
SGSI-004 – Glosario del SGSI
0- No esta implementado.
3- Completamente implementado.
27001 - AP.7 7. Soporte 7.3 Sensibilización La política de No se evidencian actas o divulgaciones de la política, 0
seguridad esta actualizaciones de la misma, estrategia de comunicación
publicada en la
intranet la cual tiene
acceso todo el
27001 - AP.7 7. Soporte 7.4 Comunicación Existe un
personal No se evidencian actas donde se determine el que comunicar, 0
departamento de cuando, a quien, quien, como, el SGSI
comunicación
27001 - AP.7 7. Soporte 7.5 Información No hay formatos para el SGSI se deben crear, proteger, controlar 0
documentada y garantizar una retención
27001 - AP.8 8. Operación 8.1 Planificación y control No se evidencian implementación de planes para alcance de 0
operativo objetivos, la claridad de los procesos externalizados,
27001- AP.9 9.Evaluación de 9.3 Revisión de la Dirección No existe un proceso de revisión por la dirección para considerar 0
desempeño el estado de acciones, cambios, retroalimentación, resultados,
oportunidades de mejora
27001- AP.10 10. Mejoras 10.1 No- conformidades y Existe un aplicativo No esta definidos un proceso para el tratamiento de no
acciones correctivas desarrollado para el conformidades y acciones correctivas para el SGSI se debe asociar
tratamiento de las buenas practicas que ya se tienen en los procesos de la
acciones correctivas, organización a raíz de ISO 9000 para complementarlas con el SGSI
mejorativas por iso iso 27001
9000
27001 - AP.9 10. Mejoras 10.2 Mejora continua No hay definido un plan para la vigencia, adecuación y efectividad 0
del SGSI
Dentro de los
hallazgos positivos se
tiene el portal de
informática las
evidencias de los
tipos de seguridad
mes a mes como
ASI Copyright © 2018 Seguridad de la Información
parte del proceso de
sensibilización al
usuario
Sistema de Gestión de Seguridad de la Información Código: SGSI-000
Fecha:29 /10/18
Gestión de Seguridad de la Información de la empresa Versión: 0.1
MULTIVENTAS AKEMI E.I.R.L Página 11 de 32
27001 - A.5 5. Política de 5.1.2 Revisión de las políticas las políticas se encuentran desactualizadas, no existe un tiempo 1
Seguridad de la de seguridad de la estimado para la revisión de las mismas.
Información información
27001 - A.6 6.organización de 6.1 Organización Interna Hallazgo positivo Hallazgosnegativos (Que Falta)
la Información
27001 - A.6 6. Organización 6.1.1 Funciones de No se tiene un rol específico para el responsable del SGSI 1
de la Seguridad seguridad de La
de la Información y las
27001 -A.6 6.Organización
Información 6.1.2 responsabilidades
La segregación existen roles y cargos 3
de la Seguridad de funciones definidos
de la
Información
f. Dueño de procesos
g. Usuario de la información
GERENCIA ADMINISTRATIVA
Aprobado Autorización
<AAAAMMDD>
<AAAAMMDD>
Están expuesto a
Activos
Valor
Degradación
Causa una cierta
Impacto
Probabilid Riesgo
Con una cierta ad
Para cada uno de estos documentos tenemos la misma estructura con el fin de
conservar una consistencia en toda la documentación, la estructura del documento
contendrá además de un encabezado en donde se registrara título del
procedimiento, código establecido por manual de calidad y administración
Gestión de Indicadores:
Ilustración 1: Magerit
MAGERIT permite:
Estudiar los riesgos que soporta un sistema de información y el entorno asociado a
él. MAGERIT propone la realización de un análisis de los riesgos que implica la
evaluación del impacto que una violación de la seguridad tiene en la organización;
señala los riesgos existentes, identificando las amenazas que acechan al sistema
de información, y determina la vulnerabilidad del sistema de prevención de dichas
amenazas, obteniendo unos resultados.
Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar
las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad
o sus posibles perjuicios.
El análisis de riesgos considera los siguientes elementos:
a) Activos: Son los recursos del sistema de información o relacionados con
este, necesarios para que funcione correctamente y alcance los objeticos
propuestos por la dirección.
Nota.- Analizar en detalle según cada institución para determinar algunos entregables
adicionales
3.3. Plazos
Unidad
Nombre Cargo Teléfono Correo electrónico
organizativa
Espiritu Aranda
Abdías Abiles GERENCIA AUDITOR 935910983 Aespiritu1995@gmail.com
Santos Luycho
ADMINITRADOR AUDITOR 930345854 maykol15-2014@hotmail.com
Maykol
Zegarra Matamoros
CONTABILIDAD AUDITOR 999977855 noemi_z04@hotmail.com
Noemí Liliana
Valles Espinoza
SECRETARIA AUDITOR 938845491 barbara1996_leo@hotmail.com
Bárbara Beatriz
Nota.- Para los riegos propuestos presentar las opciones de mitigación de los
mismos.
Nota.- Aquí puede explicar otras herramientas como intranet o software CMS
que podría usar como herramienta de repositorio de los documentos.
4. Gestión de registros
La mejora continua de este documento el cual es consignado en la segunda
página del mismo en la tabla Mejora Continua.
Los informes parciales de la implementación del proyecto