Perfil del proyecto
Hoja de ruta EGSI
Documentos obligatorios en la implementación del EGSI.
Documento
Descripción
| Documento que marca el inicio de la implementación del EGSI en la institución. Contiene una descripción simplificada del proyecto, define el objetivo, el o los responsables de la implementación, presenta un primer estimado de las actividades necesarias para el cumplimiento de la implementación. |
Alcance del EGSI
| Documento principal de la implementación que marca la base para la implementación del EGSI, permite conocer la aplicabilidad (proceso, ubicación, tecnología) y los límites para la protección de la información y otros activos. |
Política de Seguridad de la Información (alto nivel)
| La política de seguridad de la información generalmente es un documento de alto nivel que establece y confirma el compromiso de la máxima autoridad con los objetivos de seguridad de la información que se intenta lograr en la institución.
Formato Referencial_Política de Seguridad de la Información Alto Nivel (EGSI-V3) |
Metodología de evaluación y tratamiento de riesgos
| Es un documento que debe ser redactado antes que se realice la evaluación y el tratamiento de riesgos, en este documento se establece los criterios y las reglas para ejecutar la gestión del riesgo en la institución.
Las instituciones pueden seleccionar la metodología que más se adapte a sus necesidades la cual debe ser objetiva, fiable, medible y repetible además de permitir la medición continua. Formato Referencial_Metodología de Evaluación y Tratamiento de Riesgos (EGSI-V2) Formato Referencial_Matriz de Evaluación de Riesgos de Seguridad (EGSI-V3) |
Plan de Comunicación y Sensibilización
| Es un documento que detalla las actividades a realizase con detalles de tiempo y recursos, con el objetivo de crear una cultura de seguridad de la Información en la institución y velar el cumplimiento de las políticas establecidas.
Formato Referencial_Plan de Comunicación y Sensibilización (EGSI-V3) |
Informe sobre evaluación de riesgos
| Es un documento que debe ser redactado una vez que finaliza el proceso de evaluación de riesgos, en donde se resume los resultados obtenidos y a través de un mapa de calor de riesgo las instituciones comunicarán los riesgos específicos que enfrenta la institución.
Formato Referencial_Informe de Evaluación y Tratamiento de Riesgos (EGSI-V2) |
Declaración de aplicabilidad (SoA)
| Es un documento que se lo redacta en base al resultado del proceso de selección de las opciones de tratamiento del riesgo, es un documento clave en la implementación del EGSI, el objetivo de este documento es definir cuáles de los controles disponibles en el anexo del Acuerdo Ministerial 003-2024 son necesarios para la institución; así como también, identificar los controles que no son aplicables y estos últimos deben ser justificados mediante un informe técnico.
Formato Referencial_Declaración de Aplicabilidad – SoA (EGSI-V3) Formato Referencial_Informe de Justificación controles no seleccionados (EGSI-V2) |
Plan de tratamiento de los riesgos
| Es un documento en el que se define los responsables, fechas, recursos y acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios definidos en el SoA para proteger la información y reducir todos esos riesgos excesivos identificados.
Básicamente la finalidad del plan de tratamiento consiste en documentar la manera en que se implementará las opciones de tratamiento seleccionadas para implementar los controles de seguridad. Formato Referencial_Plan de Tratamiento de Riesgos (EGSI-V3) |
Plan de Evaluación/Auditoría interna
| Es un documento que tiene como objetivo identificar insuficiencias en el sistema de gestión y detectar potenciales situaciones de riesgo. Un plan de auditoría describe las responsabilidades de cada una de las partes, los requisitos que deben cumplir, la metodología a emplearse, entre otros.
Formato Referencial_Plan de Evaluación- Auditoría Interna (EGSI-V2) |
Informe de resultados de la revisión del EGSI por parte del CSI
Es un documento en el que se detalla las gestiones y revisiones realizadas por la Dirección (Comité de Seguridad de la Información), con el objetivo de garantizar que el EGSI y sus objetivos continúen siendo adecuados y efectivos. Además, estos resultados de la gestión realizada permitirán a la máxima autoridad de la institución tomar decisiones estratégicas.
Informe de las medidas correctivas aplicadas
El informe de medidas correctivas se redacta en base a los resultados obtenidos de las no conformidades implícitas en las auditorías realizadas al EGSI, en cuanto al no cumplimiento normativo de los requisitos, controles establecidos y procesos internos propios de la institución. El documento debe contener las acciones de tratamiento a las no conformidades que permitan garantizar la mejora continua del EGSI.
Informe de cumplimiento de la Gestión de Riesgos
Es el documento que resume todas las actividades realizadas durante el proceso de la gestión de riesgos de seguridad de la información, es decir, la metodología definida y los criterios establecidos; el análisis, la evaluación, el tratamiento, la aceptación de los riesgos y el plan de acción a ejecutarse durante el proceso de mejora continua del EGSI. En cumplimiento del Artículo 3 del Acuerdo Ministerial Nro. 2024-0003, el formato es de cumplimiento obligatorio.
| Formato_Informe de cumplimiento de la Gestión de Riesgos (EGSI V3) |
Informe de cierre
Es el documento con el que se da cómo FINALIZADO el proyecto de implementación del EGSI V2, se detalla entre otros ítems: las actividades desarrolladas para el cumplimiento y los resultados obtenidos.