Documente Academic
Documente Profesional
Documente Cultură
[POR FAVOR TOME EN CUENTA: Si no puede ver los comentarios que le ayudarán a llenar el
documento, haga click o coloque el ratón sobre el texto marcado. En Conformio, esos comentarios
sólo están visibles al usar la opción Editar en línea.]
Apéndice 3: Lista de apoyo para auditoría interna para ISO 27001 e ISO 22301 Commented [DK1]: Para aprender a utilizar esta lista de apoyo
consulte:
1. Lista de apoyo de auditoría interna para ISO 27001 Webinar “Internal audit: How to conduct it according to ISO 27001
and BS 25999-2” https://advisera.com/27001academy/webinars/
Commented [DK2]: Para conocer más sobre este tema, lea el
Capítulo Requerimiento de la norma Cumplimiento Evidencia siguiente artículo: Cómo hacer una lista de apoyo de auditoría
Sí/NO interna para ISO 27001 e ISO 22301
https://advisera.com/27001academy/knowledgebase/how-to-
4.2 ¿La organización determinó las partes make-an-internal-audit-checklist-for-iso-27001-iso-22301/
interesadas? Commented [DK3]: Estos son los requerimientos de la norma
4.2 ¿Existe la lista de todos los requerimientos para ISO 27001; también debería agregar los requerimientos específicos
de su propia documentación.
las partes interesadas?
Commented [DK5]: Para completar durante la auditoria:
4.3 ¿Está documentado el alcance con límites e registros, declaraciones verbales u observaciones personales del
auditor que confirman el resultado.
interfaces claramente definidos?
Commented [DK4]: Para completar durante la auditoria:
5.1 ¿Los objetivos generales del SGSI son indique Sí o No en función de si la empresa cumple o no.
compatibles con la dirección estratégica?
5.1 ¿La dirección asegura que el SGSI cumple sus
objetivos?
5.2 ¿Existe la Política de seguridad de la
información con objetivos o marco para
establecer los objetivos?
5.2 ¿Se comunica la Política de seguridad de la
información dentro de la empresa?
5.3 ¿Las funciones y responsabilidades para
seguridad de la información están asignados y
comunicados?
6.1.2 ¿Está documentado el proceso de evaluación
de riesgos, incluidos los criterios de
aceptabilidad de riesgos y de evaluación de
riesgos?
6.1.2, ¿Están definidos los riesgos, sus propietarios,
8.2 probabilidad, consecuencias y nivel de riesgo?
¿Estos resultados están documentados?
6.1.3 ¿Está documentado el proceso de tratamiento
del riesgo, incluidas las opciones para
tratamiento de los riesgos?
6.1.3, ¿Todos los riesgo no aceptables son tratados
8.3 utilizando las opciones y controles del Anexo
A? ¿Estos resultados están documentados?
6.1.3 ¿La Declaración de aplicabilidad está
confeccionada con justificaciones y estados
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
específicamente autorizados?
¿Los derechos de acceso son provistos a través
A.9.2.1 de un proceso formal de registración?
¿Existe un sistema formal de control de acceso
A.9.2.2 para ingresar a sistemas de información?
¿Se manejan con especial cuidado los derechos
A.9.2.3 de acceso privilegiado?
¿Las claves iniciales y demás información
secreta de autenticación se suministran de
A.9.2.4 forma segura?
¿Los propietarios de activos verifican
periódicamente los derechos de acceso
A.9.2.5 privilegiado?
¿Se han eliminado los derechos de acceso a
todos los empleados y contratistas una vez
A.9.2.6 finalizado sus contratos?
¿Existen reglas claras para los usuarios sobre
cómo proteger las claves y demás información
A.9.3.1 de autenticación?
¿Está restringido el acceso a bases de datos y
aplicaciones de acuerdo con la política de
A.9.4.1 control de acceso?
¿Se requiere el registro seguro en el terminal
de acuerdo con la política de control de
A.9.4.2 acceso?
¿Los sistemas que administran claves son
interactivos y permiten la creación de claves
A.9.4.3 seguras?
¿El uso de herramientas de utilidad, que
pueden anular los controles de seguridad de
aplicaciones y sistemas, está estrictamente
controlado y limitado a un estrecho círculo de
A.9.4.4 empleados?
¿El acceso al código fuente está restringido a
A.9.4.5 personas autorizadas?
¿Existe la política que regula la encriptación y
A.10.1.1 otros controles criptográficos?
¿Están protegidas adecuadamente las claves
A.10.1.2 criptográficas?
¿Existen áreas seguras que protegen
A.11.1.1 información sensible?
¿El acceso a las áreas seguras está protegido
A.11.1.2 con controles que permiten el ingreso
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 5 de 14
Apéndice 3: Lista de apoyo de auditoría
interna
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
información?
¿Controla alguien el uso de recursos y proyecta
A.12.1.3 la capacidad necesaria?
¿Están debidamente separados los ambientes
A.12.1.4 de desarrollo, prueba y producción?
¿Están instalados y actualizados el software
antivirus y demás protección contra software
A.12.2.1 malicioso?
¿Se desarrolló la política de copias de
seguridad? ¿Se realiza la creación de copias de
A.12.3.1 seguridad en conformidad con esta política?
¿Se guardan todos los registros de usuarios,
fallas y demás eventos de los sistemas de TI, y
A.12.4.1 alguien los controla?
¿Se protegen los registros de tal forma que
personas no autorizadas no puedan
A.12.4.2 modificarlos?
¿Se protegen los registros de administrador de
tal forma que los administradores no puedan
modificarlos o borrarlos; y se controlan
A.12.4.3 periódicamente?
¿Están sincronizados los relojes de todos los
sistemas de TI con una única fuente de horario
A.12.4.4 correcto?
¿Se hace un control estricto sobre la instalación
de software? ¿Existen procedimientos para
A.12.5.1 ello?
¿Hay alguien a cargo de recolectar información
sobre vulnerabilidades, y esas vulnerabilidades
A.12.6.1 son resueltas a la brevedad?
¿Existen reglas específicas que definan
restricciones sobre instalación de software por
A.12.6.2 los usuarios?
¿Se planifican y ejecutan auditorías a los
sistemas de producción de forma tal que se
A.12.7.1 minimice el riesgo de interrupciones?
¿Se controlan las redes de tal forma que
protejan la información de los sistemas y
A.13.1.1 aplicaciones?
¿Están definidos los requerimientos de
seguridad para servicios de red internos y
A.13.1.2 externos? ¿Están incluidos en los acuerdos?
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.