Matriz calificación anexo técnico

Numeral EntregablesMetodología Alcances CumpleFolio/Página Folio/Página Si No

1.1. EVALUACIÓN Y DIAGNÓSTICO BAJO LA NORMA ISO/IEC 27001

• Describir las clases de ataques que se utilizaran.

2. INVENTARIO DE ACTIVOS DE INFORMACIÓN

• Informe de resultados del levantamiento de información.

• Resultados de evaluación y diagnóstico, en donde se indican por cada dominio de la norma ISO/IEC 17799:2005. En los resultados del diagnóstico se deben incluir los objetivos de control y los controles de seguridad de la norma.

• Resultados de evaluación y diagnóstico de revisión documental del modelo actual de seguridad de la información.

1.2. EVALUACIÓN Y DIAGNOSTICO DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA UTP

• Vulnerabilidades encontradas en los sistemas expuestos a Internet y de los sistemas en la red interna, y el grado de riesgo técnico asociada con estos. Hasta donde se logró acceder en los sistemas de información y un nivel de riesgo general de la institución su exposición desde el punto de vista técnico.

• El reporte deberá estar acompañado de la evidencia sobre la información y accesos que se pudo obtener sobre los sistemas de información.

• De igual forma se deben presentar dos Informes en español que incluyan:o Informe Ejecutivo Descripción del trabajo realizado Resumen de las actividades realizadas Descripción del informe final entregado Descripción de principales hallazgos Conclusiones Recomendacioneso Informe Técnico de seguridad: Descripción de las pruebas realizadas Metodología utilizada Elemento evaluado Puertos y servicios habilitados

o Listado de vulnerabilidades encontradas en los elementos de la plataforma tecnológica: Descripción de la vulnerabilidad Nivel de criticidad (Alto, Medio, Bajo) Riesgo asociado o impacto Recomendación Procedimiento de corrección.

• Inventario de activos de información de la Universidad Tecnológica de Pereira, junto con el proceso de inventario de activos de información y los formatos para su definición, actualización y mantenimiento.

3. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

4. ANÁLISIS, EVALUACIÓN Y TRATAMIENTO DEL RIESGO

o Plan de tratamiento de riesgos y cronograma de implementación.

o Declaración de aplicabilidad. o Proceso de control de documentos y de control de registros. o Indicadores de gestión base de primer nivel para el SGSI.

• Instructivo de clasificación de activos de información de la Universidad Tecnológica de Pereira y su nivel de clasificación, incluyendo las recomendaciones en cuanto a:o Acceso permitido. o Métodos de distribución. o Restricciones en la distribución electrónica. o Recomendaciones a cerca de el Almacenamiento y/o archivado. o Recomendaciones a cerca de su disposición y destrucción. o Activos de información clasificados, según inventario e instructivo de clasificación.

o Matriz de valoración riesgos de seguridad de la información priorizada, identificando los activos, las amenazas, las vulnerabilidades, impactos, los riesgos y las recomendaciones para su mitigación del nivel del riesgo residual.

o Informe de identificación de procedimientos y controles necesarios para mitigar o transferir el riesgo.

o Informe de los resultados del análisis de impacto generado en los procesos por la aplicación de los controles propuestos.

5. DEFINICIÓN DE POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD Y DECLARACIÓN DE APLICABILIDAD DEL SGSI

o Informe de revisión de las políticas de seguridad que poseen en la actualidad la Universidad Tecnológica de Pereira.

o Políticas de seguridad corporativa, objetivos del SGSI y procedimientos para su implementación y gestión.

o Formatos y documentos para llevar los registros necesarios y exigidos por la norma.