Volver al control
Aprobado
OmniControl S.A.S — Documento corporativo
Acta SGSI-001 — Criterios de aceptación de riesgo
Documento aprobatorio del Comité SGSI con escalas y niveles de tolerancia
Código
SGSI-001
Versión
1.0
Aprobado por
María Elena Ramírez (Gerente General)
Fecha aprobación
2026-03-15
Clasificación:
Interna
1. Propósito
Establecer las escalas de impacto y probabilidad, los niveles de tolerancia al riesgo y los responsables autorizados para aceptar riesgos residuales en el marco del Sistema de Gestión de Seguridad de la Información (SGSI) de OmniControl S.A.S.
2. Marco normativo
- ISO/IEC 27001:2022 — Cláusula 6.1.2 (Evaluación del riesgo)
- ISO/IEC 27002:2022 — Control A.5.8 (Gestión de información en proyectos)
- Ley 1581 de 2012 — Principio de Seguridad (Art. 4 literal g)
3. Escalas de valoración
3.1 Impacto
| Nivel | Valor | Descripción |
|---|---|---|
| Insignificante | 1-2 | Sin afectación operativa material. Resoluble en horas. |
| Bajo | 3-4 | Afectación operativa menor. Sin impacto en clientes. |
| Medio | 5-6 | Afectación a uno o varios clientes. Notificación interna requerida. |
| Alto | 7-8 | Afectación regulatoria, financiera o reputacional significativa. |
| Catastrófico | 9-10 | Compromiso de datos personales (Ley 1581), interrupción de DIAN/RNDC, sanción regulatoria. |
3.2 Probabilidad
| Nivel | Valor | Descripción |
|---|---|---|
| Rara | 1-2 | Eventos excepcionales, < 1 vez/año. |
| Improbable | 3-4 | Posible bajo condiciones extraordinarias. |
| Posible | 5-6 | Puede ocurrir 1-3 veces al año. |
| Probable | 7-8 | Ocurre con frecuencia trimestral o más. |
| Casi cierta | 9-10 | Ocurre habitualmente o ya está materializada. |
4. Niveles de tolerancia y responsables
| Nivel de riesgo | Rango (impacto × probabilidad) | Acción requerida | Autorizado para aceptar |
|---|---|---|---|
| Bajo | 1 - 16 | Aceptable sin acción adicional. | Líder técnico |
| Medio | 17 - 35 | Requiere mitigación con plan documentado. | Gerente General |
| Alto | 36 - 64 | Requiere mitigación inmediata. Aceptación con justificación formal. | Comité SGSI con acta |
| Catastrófico | 65 - 100 | Mitigación obligatoria. No es aceptable como riesgo residual. | NO se acepta — requiere tratamiento |
5. Frecuencia de revisión
Los criterios establecidos en este Acta deben ser revisados al menos una vez al año por el Comité SGSI o cuando ocurran cambios significativos en el contexto, en la regulación aplicable o en la estructura organizacional.
6. Aceptaciones formales registradas
Las decisiones de aceptación de riesgos basadas en este Acta deben registrarse en la Matriz de Riesgos vigente con identificador, responsable, justificación y fecha de revisión.
Aprobación
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| Gerente General | María Elena Ramírez | (firmado digitalmente) | 2026-03-15 |
| Líder técnico | Carlos Andrés Gutiérrez | (firmado digitalmente) | 2026-03-15 |