Gestin Seguridad de la Informacin

Cuestionario certificacin segn ISO 27001

Information Security Management Questionnaire
Certification as per ISO 27001

El objetivo de este cuestionario es reunir informacin en el mbito de la reunin del

proyecto con el fin de preparar una cita y ayudar al organismo de certificacin en
revisin de contratos. Forma parte de la documentacin de auditora. Las declaraciones
sern verificadas durante la fase 1 de la auditoria

1 Detalles empresa // Company details

Entidad corporativa (central)// Corporate entity (headquarters):_________________________

Direccin // Address: _________________________________________________

_________________________________________________

Contacto // Contact: _________________________________________________

Telefono // Phone: ______________ Extensin // Extension:_________________

Fax // Fax: ______________ e-Mail: _____________________

Estatus legal // Legal status:_________________________________________________

Grupo o Afiliacin corporativa // Group or Corporate affiliation:

_________________________________________________

Delegaciones (si aplica incluir direccin) // Branch offices/representations/subsidiaries: (if

applicable with address)

Delegacin 1 // Site 1: _________________________________________________

Direccin // Address: _________________________________________________

_________________________________________________

Delegacin 2 // Site 2: _________________________________________________

Direccin // Address: _________________________________________________

_________________________________________________

Delegacin // Site 3: _________________________________________________

Direccin // Address: _________________________________________________

_________________________________________________
Pagina 1 de 8
 Gestin Seguridad de la Informacin
Cuestionario certificacin segn ISO 27001
Information Security Management Questionnaire
Certification as per ISO 27001

2 Detalles de la empresa // Details of the organization

A qu categoria de negocio pertenece la empresa (Marcar donde se cumpla,
pequea explicacin si es necesario) // To what business category does the company
belong to? (Please tick where appropriate, explain if necessary)
La empresa (certificacin del sector) pertenece a: // The company (the sector to be certified) belongs to
(10) Servicios financieros (bancos, aseguradoras, etc) // Financial services (banks, insurance
company etc.)
(20) IT-Development/services, Telecoms (SW-/System houses, HW-Production, IT-Consulting,
Net-Provider, etc.)
(30) Salud y Educacin (hospitals, escuelas, etc) // Healthcare and Education (hospitals, schools,
etc.)
(40) Pblico/estamentos Gubernamentales (autoridades pblicas, atencin civil, agencia
military, etc) // Public/Governmental Institutions (public authority, civil service, military agency etc.)
(50) Automocin/Aeroespacial (produccin automovilstica/ proveedor aviones-/-industria
aeroespacial, etc) // Automotive/Aerospace (automotive manufacturer/-supplier,
aircraft-/aerospace-industry, etc.)
(60) otras industrias // miscellaneous industry

Cules son los principales productos producidos y/o que servicios se prestan?
(Si se dan, exponer la relevancia que puede comportar a la seguridad de la informacin) //
What significant products are manufactured and/or what services provided? (If given, explain
the relevance of special risks concerning information security)

Detalles acerca del n de empleados // Details to the number of employees

N total empleados ms personal subcontratado // Total number of employees and contractor
staff:
(Contabilizar todo el grupo o corporacin incluyendo Central y delegaciones // Whole group
or corporation including HQ and all sites)

Nmero efectivo de empleados dentro del mbito del ISMS // Effective number of employees
falling within the scope of the ISMS: ___________

Descripcin del mbito de aplicacin previsto // Description of the intended scope

Formulacin y si aplica explicacin del alcance // Formulation and if necessary explanation of the scope:

Sistemas de Gestin // Management systems

La organizacin/delegacin ha establecido otro sistema de gestin: // The organization/site/unit has
already established other management systems:

Pagina 2 de 8
 Gestin Seguridad de la Informacin
Cuestionario certificacin segn ISO 27001
Information Security Management Questionnaire
Certification as per ISO 27001
Sistema de Gestin segn ISO 9001:2008 // Quality system as per ISO 9001:2008:
o Certificadas cundo? // When certified?
o Por quin? // By whom?
o mbito de aplicacin? // Scope of application?

Sistema de Gestion de Servicios-IT segn ISO 20000-1: // IT-Service management system as per
ISO 20000-1:
o Certificadas cundo? // When certified?
o Por quin? // By whom?
o mbito de aplicacin? // Scope of application?

Pagina 3 de 8
 Gestin Seguridad de la Informacin
Cuestionario certificacin segn ISO 27001
Information Security Management Questionnaire
Certification as per ISO 27001

3 Tipos y documentos del SGI // Type and documentation of the ISM system
El SGI (incl. documentacin) es // The ISM system (incl. documentation) is
un sistema de gestin independiente sin interfaces a otros sistemas de gestin // an
independent management system (MS) without interfaces to other management systems
un SG independiente incluyendo interfaces con otros SG // an independent MS including
interfaces with other management systems
completamente integrado en el SG existente // completely integrated into existing MS

Fecha de introduccin del ISMS (versin) // Date of introduction of the ISMS

(version): _______________________________________________________

Responsabilidad ISMS para el ISMS // ISMS responsibility for the ISMS

completamente e individualmente regulada en todos los niveles // has been fully and
separately regulated on all levels (e.g. independent ISMS representative)
en cierta medida se incluye supervision de las funciones cross-site // to some extent includes
supervisory, cross-site functions (e.g. at operating level)
est administrado en todos sus niveles por las personas responsables del otro SG // is
administered at all levels by the persons responsible for the other MS

4 Acceso a los archivos de la empresa // Access to organizational records

El auditor tiene la autorizacin para accede a los document // The auditor has the following right to access
documents:
todo los documentos pueden ser accesibles para una revision fuera de las intalaciones // all
documents can be made available for an off-site review
la mayoria de los documentos pueden ser accesibles para una revision fuera de las
intalaciones, algunos slo pueden verse en las instalaciones // most of the documents can be
made available for the offsite review, some can be shown only onsite
algunos documentos no son accesibles por motivos de confidencialidad // some of the
documents cannot be made available because of confidential or sensitive information
- exponer de manera breve // please explain shortly the reason: _______________________

5 Certificacin de Multi-emplazamientos // Certification of multi-sites

La entidad mantiene varias delegaciones con: // The organisation maintains several sites with:
una function central es responsable de la seguridad de la informacin // a central function being
responsible for information security IS
amplia responsabilidad directa en materia de seguridad de la informacin // extensive direct
responsibility for information security IS
muy infomatizada la informacin de los procesos de seguridad entre delegaciones // highly
networked information security processes between the sites

La certificacin se destina a // The Certification is intended to

Cubre la organizacin entera // cover the entire organization
Slo aplicable a delegaciones // apply to individual sites only
Slo applicable a areas individuals // apply to individual areas (organizational units) only
Si aplica nombrar delegaciones/areas // If appropriate name the sits/areas:

___________________________________________________________________
___________________________________________________________________
___________________________________________________________________

Pagina 4 de 8
 Gestin Seguridad de la Informacin
Cuestionario certificacin segn ISO 27001
Information Security Management Questionnaire
Certification as per ISO 27001

6 Evaluacin de la importancia para la seguridad en relacin al

alcance // Evaluation of the security relevance within the scope
Factor de seguridad Explicacin //
relevante // Security Nivel // Level
Explanation
relevance factor
1. # usuarios servicios
de la empresa // users >= 1 Mio >= 200.000 < 200.000
of the services of the
company
2. # servidores // servers >= 200 >= 20 < 20

3. # estaciones de
servicio + PC y >= 300 >= 50 < 50
porttiles // workstations
+ PCs and laptops
4. # aplicacion desarrollo
y mantenimiento >= 100 >= 20 < 20
personal // application
development and
Maintenance staff
Prdidas
5. Grado de sensibilidad siginificantes Sin impactos
de la informacin // Alto riesgo pero sin siginificantes
degree of sensibility of riesgos de en la
para negocio
information discontinuidad organizacin
y/o cliente //
High risks for empresarial // y/o clientes //
business a/o Significant No significant
clients losses but impacts on the
without risk of organisation a/o
business the clients
discontinuity

Productos Productos
6. riesgo de complejos / Productos
prodcutos/procesos // complejos /
procesos con procesos con simples /
risk of products/processes necesidades procesos de
altas
necesidades normales de seguridad
de seguridad seguridad // normales //
Complex Complex Simple products
products / products / / processes with
processes with processes with normal security
high security normal security needs
needs needs

Incumplimient
7. Importancia del o da lugar a Incumplimient
cumplimiento una o da lugar a
obligaciones Incumplimient penalizacin penalizacione
jurdicas // Significance o da lugar a financiera so
in legal compliance un posible importante o perjudicacin
enjuiciamiento perjudicial de bienes
// Incompliance para los insignificantes
leads to bienes // // Incompliance
possible Incompliance leads to
prosecution leads to insignificant
significant financial penalty
or goodwill
financial penalty
or goodwill damage
damage

Pagina 5 de 8
 Gestin Seguridad de la Informacin
Cuestionario certificacin segn ISO 27001
Information Security Management Questionnaire
Certification as per ISO 27001
8. Ratio de cambios del Varios Algn Pocos
SG en el ultimo cambios // cambio // cambios //
Many changes A couple of Only a few
perodo // Rate of
Changes to the MS in the changes changes
last period
9. Porcentaje empleados
realizando tareas < 10 >= 10 >= 50
simples // percentage of
employees performing
simple tasks
10. Complejidad logistica Mayoria de
(en referencia a varios Slo a una Alguna filial filiales desde
edificios o filial por en una una
delegaciones dentro localizacin / localizacin / localizacin /
el alcance del ISMS) // / Only one / Some / Most of the
complexity of logistics subsidiary per subsidiary in subsidiaries
(involving more than one location one location within one
building or location in the location
scope of the ISMS)
11. auditorias realizadas
por Al menos // Ninguno //
intrprete/traductor // At least 1 none
audits performed with
interpreter / translator
12. Ampliar la
externalizacin de Mas de // Entre // Menos de //
procesos y arreglos More than Between 10 Less than
por terceras partes // 50 % and 50 % 10 %
Extend of outsourced
processes and third party
arrangements

7 Detalles del presupuesto // Details of quotation

Tipo de presupuesto (marcar si aplica) // Type of quotation: (Please tick if applicable)
Pre-auditoria/anlisis de puntos (si aplica) // Pre-audit / gap-analysis (if applicable)
Certificacin incial // Initial certification
Auditoria transfer, certificado debera ser transferido // Transfer audit, Certificate should be
transferred:
o Certificadora actual // Former certification body: __________________
o Fecha emisin/validez certificado // Date of certificate issue/validity:_____
Certificado combinado con (Normas ISO) // Combined certification with (ISO-Standard):
Otros // Others:______________________________________________________

Procedimiento individual para la delegacion (nombrar) // Individual procedure for the site:
(Please name):

Procedimiento para varias delegaciones (nombrar) // Procedure for several sites

(Please name):

Pagina 6 de 8
 Gestin Seguridad de la Informacin
Cuestionario certificacin segn ISO 27001
Information Security Management Questionnaire
Certification as per ISO 27001
por el mtodo de muestreo (certificacin matricial) // by means of sampling (matrix
certification)
por el mtodo de auditor todas las delegaciones (multi emplazamiento) // by
means of auditing of all sites (multi site certification)

8 Plazos // Deadlines
Oferta presentada por: // Quotation to be submitted by: ______________________________

The following dates have been scheduled

(si aplica) Audit Preliminar (Fase 1) // (if applicable) Preliminary audit (Stage 1 / gap-analyse):
_________________________________

Auditora Certificacin (Fase 2) // Certification audit (Stage 2 Audit)______________

Lugar/Fecha // Place/Date Firma cliente // Signature of client

Lugar/Fecha // Place/Date Firma // Signature

(alternatively) Signature of sales/ consultant / lead auditor

Pagina 7 de 8
 Gestin Seguridad de la Informacin
Cuestionario certificacin segn ISO 27001
Information Security Management Questionnaire
Certification as per ISO 27001

9 Apndice // Appendix
Informacin diversa para mltiples ubicaciones // Miscellaneous information for
multiple locations

Cumplimentar solo en caso de multi emplazamiento o certificacin matricial.

Separar la informacin para cada delegacin. Utilizar una pgina por delegacin. Si es
necesario copie esta pgina las veces que sea necesario.

Only to be completed for multi site or matrix certification.

Please give the information for each site separately. Use for each side one paper.
Please copy this page as often as you need.

Nombre delegacin // Name of site: ___________________________

N total empleados // Total number of employees (this site): ___________

N empleados en relacin al alcance de ISMS // Effective number of employees within the

scope of the ISMS: ______________________________________________________

Esta delegacin est involucrada // This site is involved

mayormente en aspectos del ISM similares/idnticos y riesgos como la central // in mainly
similar/identical ISM aspects and risks as the main site
en algn punto igual a los aspectos y riesgos del ISM de la central // to some extent identical
ISM aspects and risks as the main site
diferentes aspectos o regulaciones del ISM y/o diferencias significantes conciernientes a
los riesgos // different ISM aspects or regulations a/o significant differences concerning the risks

El sistema ISM en esta delegacin // The ISM system at this site

es idntico, gestin centralizada y sujeta a una revision centralizada de la gestin // is
identical, centrally managed and subject to centralized management review
difiere en algn punto pero abarca un cierto grado de coordinacin y evaluacin
centralizada // differ to some extent but involve a certain degree of centralized coordination and evaluation
opera separadamente sin ninguna coordinacin con la central // is operated separately without
any central coordination function

Formulacin y, si es necesario explicacin de los riesgos especiales en esta delegacin //

Formulation and if necessary explanation of special risk at this site:

___________________________________________________________________

Pagina 8 de 8