Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• CN.2-1: se han realizado análisis de brechas para detectar el nivel de cumplimiento del presente marco.
• CN.2-2: en función de las brechas detectadas se elabora un portafolio de proyectos a incluir en el plan de seguridad de la información.

Nivel 2

• CN.2-3: se realiza anualmente una auditoría interna sobre el cumplimiento del presente marco.

Nivel 3

• CN.2-4: se realiza con una periodicidad predefinida una auditoría externa sobre el cumplimiento del presente marco.
• CN.2-5: los hallazgos de auditorías generan planes de acción documentados y se realiza su seguimiento.

Nivel 4

• CN.2-6: se evalúa periódicamente la calidad y alcance de las auditorías realizadas, incorporando lecciones aprendidas para futuras ejecuciones.
• CN.2-7: las auditorías incluyen en su alcance la revisión completa del sistema de gestión de seguridad de la información y sus objetivos, políticas y controles definidos.

Es recomendable designar un equipo interno de la organización que no pertenezca al área de TI (por ejemplo, auditoría interna) o externo (por ejemplo, una firma consultora), con las capacidades y habilidades necesarias para planificar, ejecutar y realizar seguimiento del sistema de gestión de seguridad de la información (SGSI).

El seguimiento del SGSI debe contemplar actividades de control interno para verificar el cumplimiento de las políticas y procedimientos relacionados.

La revisión debe incluir oportunidades de evaluación para la mejora y la necesidad de cambios en el enfoque de seguridad, incluyendo la política y los objetivos de control.

Estas revisiones deben realizarse en el marco de la presente guía y en forma periódica.

• Análisis de brecha de seguridad de la información.
• Plan de seguridad de la información.
• Informes de revisiones independientes de seguridad de la información.
• Seguimiento realizado por la organización para eliminar las observaciones de las revisiones realizadas en forma independiente.