Organization name [nivel de confidencialidad]

[POR FAVOR TOME EN CUENTA: Si no puede ver los comentarios que le ayudarán a llenar el
documento, haga click o coloque el ratón sobre el texto marcado. En Conformio, esos comentarios
sólo están visibles al usar la opción Editar en línea.]

Apéndice 3: Lista de apoyo para auditoría interna para ISO 27001 e ISO 22301 Commented [DK1]: Para aprender a utilizar esta lista de apoyo
consulte:

1. Lista de apoyo de auditoría interna para ISO 27001 Webinar “Internal audit: How to conduct it according to ISO 27001
and BS 25999-2” https://advisera.com/27001academy/webinars/
Commented [DK2]: Para conocer más sobre este tema, lea el
Capítulo Requerimiento de la norma Cumplimiento Evidencia siguiente artículo: Cómo hacer una lista de apoyo de auditoría
Sí/NO interna para ISO 27001 e ISO 22301
https://advisera.com/27001academy/knowledgebase/how-to-
4.2 ¿La organización determinó las partes make-an-internal-audit-checklist-for-iso-27001-iso-22301/
interesadas? Commented [DK3]: Estos son los requerimientos de la norma
4.2 ¿Existe la lista de todos los requerimientos para ISO 27001; también debería agregar los requerimientos específicos
de su propia documentación.
las partes interesadas?
Commented [DK5]: Para completar durante la auditoria:
4.3 ¿Está documentado el alcance con límites e registros, declaraciones verbales u observaciones personales del
auditor que confirman el resultado.
interfaces claramente definidos?
Commented [DK4]: Para completar durante la auditoria:
5.1 ¿Los objetivos generales del SGSI son indique Sí o No en función de si la empresa cumple o no.
compatibles con la dirección estratégica?
5.1 ¿La dirección asegura que el SGSI cumple sus
objetivos?
5.2 ¿Existe la Política de seguridad de la
información con objetivos o marco para
establecer los objetivos?
5.2 ¿Se comunica la Política de seguridad de la
información dentro de la empresa?
5.3 ¿Las funciones y responsabilidades para
seguridad de la información están asignados y
comunicados?
6.1.2 ¿Está documentado el proceso de evaluación
de riesgos, incluidos los criterios de
aceptabilidad de riesgos y de evaluación de
riesgos?
6.1.2, ¿Están definidos los riesgos, sus propietarios,
8.2 probabilidad, consecuencias y nivel de riesgo?
¿Estos resultados están documentados?
6.1.3 ¿Está documentado el proceso de tratamiento
del riesgo, incluidas las opciones para
tratamiento de los riesgos?
6.1.3, ¿Todos los riesgo no aceptables son tratados
8.3 utilizando las opciones y controles del Anexo
A? ¿Estos resultados están documentados?
6.1.3 ¿La Declaración de aplicabilidad está
confeccionada con justificaciones y estados

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 1 de 14

Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

para cada control?

6.1.3, ¿Existe el Plan de tratamiento de riesgos
8.3 aprobado por los propietarios de los riesgos?
6.2 ¿El Plan de tratamiento de riesgos define quién
es responsable de la implementación de qué
control, con qué recursos, con qué plazos y cuál
es el método de evaluación?
7.1 ¿Se proporcionan los recursos adecuados para
todos los elementos del SGSI?
7.2 ¿Están definidas las competencias requeridas,
las capacitaciones realizadas y se llevan
registros de competencias?
7.3 ¿El personal es consciente de la política de
seguridad de la información, de su función y de
las consecuencias por el no cumplimiento de
las normas?
7.4 ¿Existe el proceso para la comunicación
relacionada con seguridad de la información,
incluidas las responsabilidades y qué hay que
comunicar?
7.5 ¿Existe el proceso para gestión de documentos
y registros, incluidos quiénes revisan y
aprueban documentos, dónde y cómo se
publican, archivan y protegen?
7.5 ¿Se controlan los documentos de origen
externo?
8.1 ¿Se identifican y controlan los procesos
externalizados?
9.1 ¿Está definido qué debe ser medido, con qué
método, quién es responsable, quién analizará
y evaluará los resultados?
9.1 ¿Están documentados los resultados de la
medición y son reportados a las personas
responsables?
9.2 ¿Existe el programa de auditoria que define los
tiempos, responsabilidades, informes, criterios
y alcance de la auditoría?
9.2 ¿Las auditorías internas se realizan de acuerdo
al programa de auditoría, los resultados son
informados a través del informe de auditoría
interna y se elevan las medidas correctivas
correspondientes?
9.3 ¿Se realiza periódicamente la revisión por parte
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 2 de 14
Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

de la dirección y sus resultados son

documentados en minutas de la reunión?
9.3 ¿La dirección tuvo decisión sobre todos los
temas críticos importantes para el éxito del
SGSI?
10.1 ¿La organización reacciona ante cada no
conformidad?
10.1 ¿La organización considera eliminar las causas
de la no conformidad y, cuando corresponde,
toma medidas correctivas?
10.1 ¿Se registran todas las no conformidades, junto
con las medidas correctivas?
¿Todas las políticas de seguridad de la
información necesarias son aprobadas por la
A.5.1.1 dirección y luego publicadas?
¿Todas las políticas de seguridad de la
A.5.1.2 información son revisadas y actualizadas?
¿Están claramente definidas todas las
responsabilidades concernientes a la seguridad
de la información a través de uno o varios
A.6.1.1 documentos?
¿Están definidos los deberes y
responsabilidades de forma tal que se evite un
conflicto de intereses, particularmente con la
información y los sistemas que involucran altos
A.6.1.2 riesgos?
¿Está claramente definido quién debe ponerse
A.6.1.3 en contacto con qué autoridades?
¿Está claramente definido quién debe ponerse
en contacto con qué grupos de interés
A.6.1.4 especiales o asociaciones profesionales?
¿Están incluidas las normas de seguridad de la
A.6.1.5 información en cada proyecto?
¿Existen normas para el manejo seguro de
A.6.2.1 dispositivos móviles?
¿Existen normas que definan cómo se protege
la información de la empresa en los espacios de
A.6.2.2 tele-trabajo?
¿Se realizan verificaciones de antecedentes a
A.7.1.1 los postulantes a empleos o a los contratistas?
¿Los acuerdos con empleados y contratistas
especifican las responsabilidades relacionadas
A.7.1.2 con seguridad de la información?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 3 de 14
Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

¿La dirección requiere activamente a todos los

empleados y contratistas que cumplan las
A.7.2.1 normas de seguridad de la información?
¿Los empleados y contratistas que
correspondan son capacitados para que
cumplan sus deberes relacionados con la
seguridad, y existe el programas de
A.7.2.2 concienciación?
¿Todos los empleados que han cometido una
violación a la seguridad han sido sometidos a
A.7.2.3 un proceso disciplinario formal?
¿Están definidas en el acuerdo las
responsabilidades sobre seguridad de la
información que siguen vigentes luego de la
A.7.3.1 finalización del empleo?

A.8.1.1 ¿Se confeccionó un Inventario de activos?

¿Se designó un propietario para cada activo del
A.8.1.2 Inventario?
¿Están documentadas las normas para el
A.8.1.3 manejo adecuado de información y activos?
¿Los empleados y contratistas que ya no
trabajan en la empresa devolvieron todos los
A.8.1.4 activos?
¿Se clasifica la información según criterios
A.8.2.1 específicos?
¿La información clasificada es etiquetada según
A.8.2.2 los procedimientos definidos?
¿Existen procedimientos que definen cómo
A.8.2.3 manejar información clasificada?
¿Los procedimientos que definen cómo
manejar los medios removibles están en línea
A.8.3.1 con las normas de clasificación?
¿Existen procedimientos formales para
A.8.3.2 eliminación de medios?
¿Los medios que contienen información
sensible son protegidos mientras se los
A.8.3.3 transporta?
¿Existe una Política de control de acceso que
defina los requerimientos comerciales y de
A.9.1.1 seguridad para control de acceso?
¿Los usuarios tienen acceso solamente a las
A.9.1.2 redes y servicios para los cuales fueron

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 4 de 14

Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

específicamente autorizados?
¿Los derechos de acceso son provistos a través
A.9.2.1 de un proceso formal de registración?
¿Existe un sistema formal de control de acceso
A.9.2.2 para ingresar a sistemas de información?
¿Se manejan con especial cuidado los derechos
A.9.2.3 de acceso privilegiado?
¿Las claves iniciales y demás información
secreta de autenticación se suministran de
A.9.2.4 forma segura?
¿Los propietarios de activos verifican
periódicamente los derechos de acceso
A.9.2.5 privilegiado?
¿Se han eliminado los derechos de acceso a
todos los empleados y contratistas una vez
A.9.2.6 finalizado sus contratos?
¿Existen reglas claras para los usuarios sobre
cómo proteger las claves y demás información
A.9.3.1 de autenticación?
¿Está restringido el acceso a bases de datos y
aplicaciones de acuerdo con la política de
A.9.4.1 control de acceso?
¿Se requiere el registro seguro en el terminal
de acuerdo con la política de control de
A.9.4.2 acceso?
¿Los sistemas que administran claves son
interactivos y permiten la creación de claves
A.9.4.3 seguras?
¿El uso de herramientas de utilidad, que
pueden anular los controles de seguridad de
aplicaciones y sistemas, está estrictamente
controlado y limitado a un estrecho círculo de
A.9.4.4 empleados?
¿El acceso al código fuente está restringido a
A.9.4.5 personas autorizadas?
¿Existe la política que regula la encriptación y
A.10.1.1 otros controles criptográficos?
¿Están protegidas adecuadamente las claves
A.10.1.2 criptográficas?
¿Existen áreas seguras que protegen
A.11.1.1 información sensible?
¿El acceso a las áreas seguras está protegido
A.11.1.2 con controles que permiten el ingreso
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 5 de 14
Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

únicamente de las personas autorizadas?

¿Las áreas seguras están ubicadas de forma tal
que no sean visibles a personas ajenas a la
empresa y que no sean fácilmente accesibles
A.11.1.3 desde el exterior?
¿Están instaladas las alarmas, protecciones
A.11.1.4 contra incendios y demás sistemas?
¿Están definidos, y se cumplen, los
A.11.1.5 procedimientos de trabajo para áreas seguras?
¿Las áreas de entrega y carga son controladas
de forma tal que personas no autorizadas no
puedan ingresar a las instalaciones de la
A.11.1.6 empresa?
¿El equipamiento está instalado de forma tal
que se encuentre protegido ante el acceso no
A.11.2.1 autorizado y ante amenazas ambientales?
¿El equipamiento cuenta con un suministro
A.11.2.2 ininterrumpido de energía eléctrica?
¿Están debidamente protegidos los cables de
A.11.2.3 alimentación y de telecomunicaciones?
¿Se realiza mantenimiento periódico al
equipamiento de acuerdo con las
especificaciones del fabricante y las buenas
A.11.2.4 prácticas?
¿Se otorga autorización cada vez que se saca
información y otros activos de las instalaciones
A.11.2.5 de la empresa?
¿Los activos de la empresa están protegidos
adecuadamente cuando no se encuentran en
A.11.2.6 las instalaciones de la empresa?
¿Se elimina toda la información y software con
licencia cuando los medios o equipamiento son
A.11.2.7 desechados?
¿Los usuarios protegen su equipo cuando no
A.11.2.8 tienen posesión física del mismo?
¿Existe una política que obligue a los usuarios a
retirar los papeles y medios cuando no están
A.11.2.9 presentes, y a bloquear sus pantallas?
¿Se han documentado los procedimientos
A.12.1.1 operativos para procesos de TI?
¿Se controlan estrictamente todos los cambios
a los sistemas de TI y también a otros procesos
A.12.1.2 que pueden afectar la seguridad de la
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 6 de 14
Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

información?
¿Controla alguien el uso de recursos y proyecta
A.12.1.3 la capacidad necesaria?
¿Están debidamente separados los ambientes
A.12.1.4 de desarrollo, prueba y producción?
¿Están instalados y actualizados el software
antivirus y demás protección contra software
A.12.2.1 malicioso?
¿Se desarrolló la política de copias de
seguridad? ¿Se realiza la creación de copias de
A.12.3.1 seguridad en conformidad con esta política?
¿Se guardan todos los registros de usuarios,
fallas y demás eventos de los sistemas de TI, y
A.12.4.1 alguien los controla?
¿Se protegen los registros de tal forma que
personas no autorizadas no puedan
A.12.4.2 modificarlos?
¿Se protegen los registros de administrador de
tal forma que los administradores no puedan
modificarlos o borrarlos; y se controlan
A.12.4.3 periódicamente?
¿Están sincronizados los relojes de todos los
sistemas de TI con una única fuente de horario
A.12.4.4 correcto?
¿Se hace un control estricto sobre la instalación
de software? ¿Existen procedimientos para
A.12.5.1 ello?
¿Hay alguien a cargo de recolectar información
sobre vulnerabilidades, y esas vulnerabilidades
A.12.6.1 son resueltas a la brevedad?
¿Existen reglas específicas que definan
restricciones sobre instalación de software por
A.12.6.2 los usuarios?
¿Se planifican y ejecutan auditorías a los
sistemas de producción de forma tal que se
A.12.7.1 minimice el riesgo de interrupciones?
¿Se controlan las redes de tal forma que
protejan la información de los sistemas y
A.13.1.1 aplicaciones?
¿Están definidos los requerimientos de
seguridad para servicios de red internos y
A.13.1.2 externos? ¿Están incluidos en los acuerdos?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 7 de 14

Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

¿Están separados en diferentes redes los

A.13.1.3 grupos de usuarios, servicios y sistemas?
¿Está regulada en políticas y procedimientos
formales la protección de transferencia de
A.13.2.1 información?
¿Existen acuerdos con terceros que regulen la
A.13.2.2 seguridad en la transferencia de información?
¿Están debidamente protegidos los mensajes
A.13.2.3 que se intercambian a través de las redes?
¿La empresa detalló las cláusulas de
confidencialidad que debían ser incorporadas
A.13.2.4 en los acuerdos con terceros?
¿Están definidos los requerimientos de
seguridad para los nuevos sistemas de
información o para cualquier cambio sobre
A.14.1.1 ellos?
¿Está debidamente protegida la información
relacionada con aplicaciones que se transfiere a
A.14.1.2 través de redes públicas?
¿Está debidamente protegida la información
relacionada con transacciones que se transfiere
A.14.1.3 a través de redes públicas?
¿Están definidas las reglas para el desarrollo
A.14.2.1 seguro de software y sistemas?
¿Existen procedimientos formales de control de
cambios para realizar modificaciones a los
A.14.2.2 sistemas nuevos o existentes?
¿Se prueban las aplicaciones críticas luego de
modificaciones o actualizaciones en los
A.14.2.3 sistemas operativos?
¿Se realizan solo los cambios realmente
A.14.2.4 necesarios sobre los sistemas de información?
¿Están documentados e implementados los
A.14.2.5 principios para diseñar sistemas seguros?
¿Está debidamente asegurado el ambiente de
desarrollo para evitar accesos y cambios no
A.14.2.6 autorizados?
¿Se controla el desarrollo de sistemas
A.14.2.7 externalizados?
¿Se realizan pruebas para la adecuada
implementación de requerimientos de
A.14.2.8 seguridad durante el desarrollo?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 8 de 14

Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

¿Están definidos los criterios de aceptación de

A.14.2.9 sistemas?
¿Los datos de las pruebas son seleccionados y
A.14.3.1 protegidos adecuadamente?
¿Está documentada la política sobre cómo
tratar los riesgos relacionados con proveedores
A.15.1.1 y asociados?
¿Están incluidos todos los requerimientos de
seguridad correspondientes en los acuerdos
A.15.1.2 con proveedores y asociados?
¿Los acuerdos con proveedores de la nube y
con otros proveedores incluyen requerimientos
de seguridad para asegurar la entrega estable
A.15.1.3 de servicios?
¿Se controla regularmente que los proveedores
cumplan los requerimientos de seguridad y, en
A.15.2.1 caso de ser necesario, se auditan?
Al realizar cambios sobre los acuerdos y
contratos con proveedores y asociados, ¿se
toman en cuenta los riesgos y los procesos
A.15.2.2 existentes?
¿Están claramente definidos los
procedimientos y responsabilidades para la
A.16.1.1 gestión de incidentes?
¿Se reportan a tiempo todos los eventos de
A.16.1.2 seguridad de la información?
¿Los empleados y contratistas reportan las
A.16.1.3 debilidades de seguridad?
¿Se evalúan y clasifican todos los eventos de
A.16.1.4 seguridad?
¿Están documentados los procedimientos
A.16.1.5 sobre cómo responder ante incidentes?
¿Se analizan los incidentes de seguridad para
A.16.1.6 conocer cómo prevenirlos?
¿Existen los procedimientos que definen cómo
recolectar evidencia que pueda ser válida
A.16.1.7 durante el proceso legal?
¿Están definidos los requerimientos para
A.17.1.1 continuidad de la seguridad de la información?
¿Existen procedimientos que aseguran la
continuidad de la seguridad de la información
A.17.1.2 durante una crisis o un desastre?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 9 de 14

Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

¿Se realizan pruebas y verificaciones para

A.17.1.3 asegurar la respuesta efectiva?
¿La infraestructura de TI es redundante (por ej.,
una ubicación secundaria) como para cumplir
A.17.2.1 las expectativas durante un desastre?
¿Están detallados y documentados todos los
requerimientos legales, normativos,
A.18.1.1 contractuales y de seguridad?
¿Existen procedimientos que garanticen el
cumplimiento de derechos de propiedad
intelectual, especialmente el uso de software
A.18.1.2 con licencia?
¿Se protegen todos los registros conforme a lo
definido en los requerimientos normativos,
A.18.1.3 contractuales y de otro tipo?
¿La información personal identificable se
A.18.1.4 protege como lo disponen las leyes y normas?
¿Se utilizan controles criptográficos como se
A.18.1.5 requiere en las leyes y normas?
¿La seguridad de la información es
periódicamente revisada por un auditor
A.18.2.1 independiente?
¿Los directores revisan periódicamente si las
políticas y procedimientos de seguridad se
realizan adecuadamente en sus áreas de
A.18.2.2 responsabilidad?
¿Se revisan periódicamente los sistemas de
información para verificar su cumplimiento con
las políticas y normas de seguridad de la
A.18.2.3 información?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 10 de 14

Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

2. Lista de apoyo de auditoría interna para ISO 22301

Capítulo Requerimiento de la norma Cumplimiento Evidencia Commented [DK6]: Estos son los requerimientos de la norma
ISO 22301; también debería agregar los requerimientos específicos
Sí/NO de su propia documentación.
4.2 ¿La organización determinó las partes Commented [DK8]: Para completar durante la auditoria:
interesadas? registros, declaraciones verbales u observaciones personales del
auditor que confirman el resultado.
4.2 ¿Existe la lista de todos los requerimientos para
Commented [DK7]: Para completar durante la auditoria:
las partes interesadas? indique Sí o No en función de si la empresa cumple o no.
4.3 ¿Está documentado el alcance, que define qué
productos o servicios están incluidos, y se
explican las exclusiones?
5.1 ¿La alta dirección apoya activamente las
actividades de continuidad del negocio?
5.2 ¿El SGCN es compatible con la estrategia de la
empresa?
5.2 ¿La alta dirección muestra compromiso
suministrando todos los recursos y comunica la
importancia de la continuidad del negocio?
5.2 ¿Está designada la persona responsable del
SGCN, y esta persona tiene autoridad
suficiente?
5.3 ¿Existe la política de continuidad del negocio, y
define el marco para establecer objetivos?
5.3 ¿Se comunica la política de continuidad del
negocio dentro de la empresa?
5.4 ¿Las funciones y responsabilidades para
continuidad del negocio están asignados y
comunicados?
6.1 ¿La organización determinó todos los riesgos y
oportunidades?
6.1 ¿La organización planificó las acciones para
atender los riesgos y oportunidades
identificados?
6.2 ¿Se determinaron objetivos para continuidad
del negocio, y fueron comunicados a los
empleados correspondientes?
6.2 ¿Son cuantificables los objetivos de
continuidad del negocio, se controlan y
actualizan?
6.2 ¿Está definido lo siguiente: pasos necesarios
para lograr objetivos, quién es responsable,
cuáles son los plazos y qué recursos son
necesarios?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 11 de 14
Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

7.1 ¿Se proporcionan los recursos adecuados para

todos los elementos del SGCN?
7.2 ¿Están definidas las competencias requeridas,
las capacitaciones realizadas y se llevan
registros de competencias?
7.3 ¿El personal es consciente de la política de
continuidad del negocio, de su función y de las
consecuencias por el no cumplimiento de las
normas?
7.4 ¿Existen los procedimientos que definen qué
comunicar en relación con la continuidad del
negocio, cuándo hacerlo y a quién?
7.5 ¿Existe el proceso para gestión de documentos
y registros, incluidos quiénes revisan y
aprueban documentos, dónde y cómo se
publican, archivan y protegen?
7.5 ¿Se controlan los documentos de origen
externo?
8.1 ¿Se identifican y controlan los procesos
externalizados?
8.2.1 ¿Están definidos y documentados los procesos
para evaluación de riesgos y análisis de
impactos en el negocio?
8.2.2 ¿Se realiza el análisis de impactos en el
negocio, incluidas todas las actividades, y se
evalúan los impactos de no realizar dichas
actividad durante el tiempo evaluado?
8.2.2 ¿Se establecieron interrupciones máximas
aceptables para cada actividad? ¿Se
identificaron las dependencias entre
actividades y partes interesadas?
8.2.3 ¿Se realiza la evaluación de riesgos para todas
las actividades, procesos y activos, y se
identificaron las interrupciones que necesitan
ser tratadas?
8.3.1 ¿Se establecieron objetivos de tiempo de
recuperación para cada actividad?
8.3.1 ¿Se evaluaron las capacidades de los
proveedores y asociados en continuidad del
negocio?
8.3.2 ¿Se identificaron los recursos necesarios para la
recuperación: personas, información, edificios
y servicios, equipamiento, sistemas de TI y
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 12 de 14
Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

comunicación, transporte, financiación,

asociados y proveedores?
8.3.3 ¿Se definió la mitigación para los riesgos
identificados, y se implementaron medidas
proactivas?
8.4.1 ¿Los procedimientos o planes de continuidad
del negocio cuentan con estos elementos:
definición de protocolos de comunicación,
detalle de pasos específicos, flexibilidad para
toda clase de amenazas, apuntan a minimizar
las consecuencias?
8.4.2 ¿Existen los procedimientos de respuesta ante
incidentes con umbrales de inicio y
procedimientos de respuesta?
8.4.3 ¿Existe el procedimiento para detectar y
monitorear el incidente y para comunicar a las
personas interesadas? ¿Este procedimiento
define cuáles son los medios de comunicación
que estarán disponibles?
8.4.4 ¿Existen planes de continuidad de negocio que
incluyan funciones y responsabilidades y pasos
detallados para la recuperación de actividades?
8.4.5 ¿Están documentados los procedimientos que
definen la restauración de actividades?
8.5 ¿Se realizan pruebas y verificaciones
periódicas? ¿Se basan en escenarios? ¿Se
generan informes luego de las pruebas?
9.1.1 ¿Está definido qué debe ser medido, con qué
método, quién es responsable, quién analizará
y evaluará los resultados?
9.1.1 ¿Están documentados los resultados de la
medición y monitoreo, y son reportados a las
personas responsables?
9.1.2 ¿Se realizan revisiones periódicas de la
documentación y se evalúa el cumplimiento de
todos los requerimientos?
9.1.2 ¿Se realizan revisiones luego de los incidentes
una vez que se activaron los procedimientos de
continuidad del negocio?
9.2 ¿Existe un programa de auditoria que defina los
tiempos, responsabilidades, informes, criterios
y alcance de la auditoría?
9.2 ¿Las auditorías internas se realizan de acuerdo
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 13 de 14
Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]

al programa de auditoría, los resultados son

informados a través del informe de auditoría
interna y se elevan las medidas correctivas
correspondientes?
9.3 ¿Se realiza periódicamente la revisión por parte
de la dirección y sus resultados son
documentados en minutas de la reunión?
9.3 ¿La dirección tuvo decisión sobre todos los
temas críticos importantes para el éxito del
SGCN?
10.1 ¿La organización reacciona ante cada no
conformidad?
10.1 ¿La organización considera eliminar las causas
de la no conformidad y, cuando corresponde,
toma medidas correctivas?
10.1 ¿Se registran todas las no conformidades, junto
con las medidas correctivas?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 14 de 14

Apéndice 3: Lista de apoyo de auditoría
interna

©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.