ISO 27001 Compliance Checklist

Referencia Area de Auditoría, objectivo y pregunta Resultado

Checklist Estandar Sección Pregunta de Auditoría Observaciones Estado (%)
Política de Seguridad
1.1 5.1 Políticas de Seguridad de Información
Existe una Política de Seguridad de la Información,
que es aprobada por la dirección, publicada y
Documento de la Política de Seguridad comunicada según proceda, a todos los empleados?
1.1.1 5.1.1 Establecen las políticas un compromiso de las
de Información
Gerencias con relación al método de la organización
para la gestión de la seguridad de la información?

Las políticas de seguridad son revisadas a intervalos

regulares, o cuando hay cambios significativos para
asegurar la adecuación y efectividad?
Las políticas de Seguridad de la Información tiene un Administrador de Seguridad,
propietario, que ha aprobado la responsabilidad de la CISO (Chief Information
gestión para el desarrollo, revisión y evaluación de la Security Officer) o CSO
política de seguridad? (Chief Security Officer).
1.1.2 5.1.2 Revisión de la Política de Seguridad
Existen procedimientos de revisión de las políticas de Revisión Anual o cada vez
seguridad y estos incluyen requerimientos para el que haya cambios
manejo de su revisión? importantes
Los resultados del revisión de la gestión son tenidos en
cuenta?
Se obtiene la aprobación de la alta gerencia con relació
a las políticas revisadas?
Organization de la Seguridad de Información
2.1 6.1
Si la gerencia demuestra soporte activo a las medidas
de seguridad dentro de la organización. Esto puede ser
Gestión de Compromiso con la realizado por direcciones claras, compromiso
2.11 6.11
Seguridad de Información demostrado, asignaciones explícitas y conocimiento de
las responsabilidades de la seguridad de información.

Si las actividades de seguridad de información son

Coordinación de la Seguridad de coordinadas por representantes de distintas partes de
2.1.2 6.1.2
Información la organización, con sus roles pertinentes y
responsabilidades.

Vinod Kumar
vinodjis@hotmail.com Page 1 8/7/2012
 ISO 27001 Compliance Checklist

Están establecidas las responsabilidades de protección

Asignación de Responsabilidades de de activos individuales y llevar a cabo procesos de
2.1.3 6.1.3
Seguridad de Información seguridad específicos que estén claramente
identificados y definidos?
Si el proceso de gestión de autorización está definido e
Proceso de autorizacion de instalaciones implementado para cada nuevo equipo de
2.1.4 6.1.4
de Procesamiento de Información procesamiento de información dentro de la
organización.
Si la organización necesita de confidencialidad o Hacer firmar acuerdos de
Acuerdos de no Divulgación para protección de confidencialidad a los
información que estén claramente definidos y empleados.
2.1.5 6.1.5 Acuerdos de Confidencialidad revisados periódicamente.
¿Tiene esta dirección la exigencia de proteger la
información confidencial utilizando términos legales
exigibles?
Existe algún procedimiento que describa cuando y
quienes deben contactar a las autoridades
2.1.6 6.1.6 Contacto con las Autoridades
competentes, departamento de bomberos, etc y cómo
deben reportarse los incidentes?
Participación en
Contacto con Grupos de Intereses Existen los contactos apropiados con grupos especiales colectividades o asociaciones
2.1.7 6.1.7
Especiales de interés, foros de seguridad o asociaciones de seguridad para estar
profesionales relacionadas con la seguridad? actualizado
Tiene la organización un enfoque sobre la gestión de la
Revisión Independiente sobre la seguridad de información, su implementación, revisión
2.1.8 6.1.8
Seguridad de Información independiente a intervalos regulares o cuando ocurran
cambios significativos?
2.2 6.2 Partes Externas
Los riesgos inherentes a equipos o sistemas de
Identificación de los riesgos relacionados información de terceros son identificados y luego
2.2.1 6.2.1
con partes externas implementadas medidas de control apropiadas antes
de permitir el acceso?
Son identificados todos los requerimientos de
Abordar la seguridad al tratar con los
2.2.2 6.2.2 seguridad sean cumplidos antes de conceder acceso a
clientes
los clientes a los activos de la organización?

Vinod Kumar
vinodjis@hotmail.com Page 2 8/7/2012
 ISO 27001 Compliance Checklist

Los acuerdos con terceros incluyen accesos,

procesamiento, comunicaciones, manejo de la
Abordar la seguridad en acuerdos con
2.2.3 6.2.3 información o equipos que involucren almacenamiento
terceros
de información que cumplan con todos los
requerimientos de seguridad?
Administración de Activos
3.1 7.1 Responsibilidad por Activos
Son los activos debidamente identificados e Hardware, Software e
3.1.1 7.1.1 Inventario de Activos inventariados o se mantiene un registro de los activos Información (PO2.3 Cobit)
importantes?
Los activos tienen identificados a sus respectivos
propietarios y definidas con ellos clasificaciones de
3.1.2 7.1.2 Propiedad de Activos datos y restricciones de acceso en base a la criticidad, y
estas restricciones revisadas periodicamente?
Son identificadas, documentadas e implementadas LOPD o similares.
todas las regulaciones existentes con respecto al uso
3.1.3 7.1.3 Uso aceptable de Activos
aceptable de información y activos asociados con el
procesamiento de información?
3.2 7.2 Clasificación de la Información
La información es clasificada en terminos de su valor,
3.2.1 7.2.1 Directrices de Clasificación requerimientos legales, sensibilidad y criticidad para la
organización?
Son definidos conjuntos de procedimientos para
etiquetado y manejo de la información en
3.2.2 7.2.2 Etiquetado y manejo de información
concordancia con el esquema de clasificación atoptado
por la organización?
Seguridad de Recursos Humanos
4.1 8.1 Previo al Empleo
Están claramente definidos y documentados de
acuerdo a las políticas de seguridad de información de
la organización los roles y responsabilidades de los
empleados, contratistas y terceros?
4.1.1 8.1.1 Roles y Responsabilidades
Son los roles y responsabilidades definidos
previamente, comunicados claramente a los candidatos
a empleo durante el proceso de pre empleo?

Vinod Kumar
vinodjis@hotmail.com Page 3 8/7/2012
 ISO 27001 Compliance Checklist

Los controles de verificación de antecedentes para

todos los candidatos a empleo, contratistas y terceros,
son llevados a cabo de acuerdo a las regulaciones
relevantes?
4.1.2 8.1.2 Proyección
Incluye la verificación referencias sobre el carácter,
confirmación de titulos académicos, cualidades
profesionales y chequeos independientes de identidad?
Son firmados con los empleados, contratistas y Art. 65 inciso "k" del Código
terceros, contratos de confidencialidad y acuerdos de Laboral. Artículos 147 y 149
no divulgación como parte inicial de los términos y del Código Penal - Paraguay.
4.1.3 8.1.3 Términos y condiciones de empleo condiciones de contratos de trabajo?
Estos acuerdos y contratos cubren las
responsabilidades de seguridad de información de la
organización, los empleados, contratistas y terceros?
4.2 8.2 Durante el Empleo
La gestión requiere a los empleados, contratistas y
terceros a que apliquen la seguridad en concordancia
4.2.1 8.2.1 Administración de Responsabilidades
con las Políticas y Procedimientos establecidos en la
Organización?
Los empleados, contratistas y terceros reciben la
Sensibilización, educación y formación apropiada sensibilización, educación y formación
4.2.2 8.2.2
sobre la Seguridad de la Información permanente sobre la Seguridad de Información con
respecto a sus funciones laborales específicas?
Existe un proceso disciplinario para aquellos
4.2.3 8.2.3 Proceso Disciplinario
empleados que incumplen las políticas de seguridad?
4.3 8.3 Terminación o Cambio de Empleo
Las responsabilidades de procedimiento de
4.3.1 8.3.1 Responsabilidades de Terminación terminación o cambio de empleo están claramente
definidas y asignadas?
Existe un procedimiento a seguir con respecto a
asegurar que los empleados, contratistas y terceros
4.3.2 8.3.2 Retorno de activos
devuelvan los activos de la organización que estén en
su poder al terminar el contrato de empleo?
Son removidos los derechos de acceso de todos los Eliminar todos los usuarios al
empleados, contratistas y terceros a los sistemas de salir un empleado o cuando
4.3.3 8.3.3 Remoción de Derechos de Acceso Lógico
información al termino de empleo o adecuación en cambia de puesto.
caso de que cambien de función?

Vinod Kumar
vinodjis@hotmail.com Page 4 8/7/2012
 ISO 27001 Compliance Checklist

222+A59
5.1 9.1 Areas Seguras
Existen mecanismos de control de acceso
implementados con respecto al acceso a los sitios de
5.1.1 9.1.1 Perímetro de Seguridad Física procesamiento de información? Algunos ejemplos son
controles biométricos, tarjetas de acceso, separación
por muros, control de visitantes, etc.
Existen controles de acceso de tal modo a que solo las
5.1.2 9.1.2 Controles Físicos de Entrada personas autorizadas puedan ingresar a las distintas
areas de la organización?
Las salas de servidores u otros equipos de
Aseguramiento de Oficinas, Salas de procesamiento (routers, switches, etc.), están
5.1.3 9.1.3
Servidores e Instalaciones apropiadamente resguardadas bajo llave o en cabinas
con llave?
Se tienen implementadas protecciones o resguardos
contra fuego, inundaciones, temblores, explosiones,
manifestaciones y otras formas de desastres naturales o
Protección contra Amenazas Exteriores y
5.1.4 9.1.4 provocadas por el hombre?
Ambientales/Climáticas
Verificar locales de posibles
Existe alguna amenaza potencial en los locales vecinos problemas en las cercanías en
del lugar donde se encuentran las instalaciones? caso de conflictos.
Se tienen procedimientos designados e implementados
5.1.5 9.1.5 Trabajando en Areas Seguras
sobre como trabajar en las areas seguras?
Con respecto a las zonas de acceso público, entrega,
descarga donde personas no autorizadas pueden
Zonas de Acceso Público, Entrega y
5.1.6 9.1.6 acceder, las zonas de procesamiento de información y
Descarga
equipos delicados son aislados y asegurados para
prevenir el acceso no autorizado?
5.2 9.2 Equipamiento de Seguridad
Los equipos son protegidos para reducir los riesgos de
5.2.1 9.2.1 Equipamiento y Protección del Sitio daños ambientales y oportunidades de acceso no
autorizado?
Los equipos son protegidos contra fallas eléctricas y
otras fallas que pudieran tener (redundancia)?
5.2.2 9.2.2 Utilidades Soportadas Que mecanismos de protección eléctrica son
utilizados? Alimentación multiple, UPS, generador de
backup, etc?

Vinod Kumar
vinodjis@hotmail.com Page 5 8/7/2012
 ISO 27001 Compliance Checklist

Los cables de suministro eléctrico y comunicaciones

son debidamente protegidos contra intercepción y/o
daños?
5.2.3 9.2.3 Cableado de Seguridad
Existen controles adicionales de seguridad con
respecto al transporte de información crítica? Por ej.
Encriptado en las comunicaciones.
Se realiza mantenimiento periódico de los equipos de
modo a asegurar la continua disponibilidad e
integridad?
En la realización de mantenimientos, son respetados
los intervalos y recomendaciones de los fabricantes?
Los mantenimientos son realizados unicamente por
personal capacitado y autorizado?
5.2.4 9.2.4 Mantenimiento de Equipos Los logs de alertas de los equipos, son revisados
periodicamente para detectar y corregir posibles fallas
en los mismos? (principalmente fallas en discos)
Se aplican los controles adecuados cuando se envían No deben contener
los equipos fuera de la organización? información confidencial.
Todos los equipos están cubiertos por pólizas de
seguro y los requerimientos de la Compañía de
Seguros están apropiadamente realizados?
Existen mecanismos de control y mitigación de riesgos Utilizar encripción de los
implementados con relación a equipos utilizados fuera datos de las notebooks
de la organización? (encripción de discos de las (Truecrypt es gratuito y muy
Aseguramiento de Equipos fuera de las
5.2.5 9.2.5 notebooks, seguro, etc.) bueno)
Oficinas
En caso de utilización de equipos fuera de la
organización, estos cuentan con la autorización
respectiva de las gerencias?
Cuando se disponga la reutilización de equipos o
cuando sean dados de baja, son verificados los medios
Disposiciones de Seguridad de
5.2.6 9.2.6 de almacenamiento con respecto a datos y software
Reutilización de Equipos
licenciado y luego destruidos totalmente antes de su
entrega?
Existen controles implementados con respecto a que
5.2.7 9.2.7 Autorizaciones de Sacar Equipos ningún equipo, información y software sea sacado de
la organización sin la autorización respectiva?
Gestión de Comunicaciones y Operaciones
6.1 10.1 Procedimientos y Responsabilidades Operativas

Vinod Kumar
vinodjis@hotmail.com Page 6 8/7/2012
 ISO 27001 Compliance Checklist

Los procedimientos operativos son documentados,

actualizados y están disponibles para todos los
Documentación de Procedimientos usuarios que puedan necesitarlos?
6.1.1 10.1.1
Operativos Dichos procedimientos son tratados como documentos
formales y cualquier cambio en los mismos necesita la
autorización pertinente?
Son controlados todos los cambios en los sistemas y
6.1.2 10.1.2 Manejo de Cambios
equipos de procesamiento de información?
Son separadas las tareas y responsabilidades de modo
6.1.3 10.1.3 Segregación de Tareas a reducir las oportunidades de modificación o mal uso
de los sistemas de información?
Los equipos de desarrollo y pruebas están separados
de los equipos operacionales? Por ejemplo desarrollo Separar ambientes y ponerlos
Separación de desarrollo, test e
6.1.4 10.1.4 de software debe estar en un equipo separado del de en VLANes distintas que no
instalaciones operativas
producción. Cuando sea necesario, incluso deben estar se vean entre sí. Los datos de
en segmentos de red distintos unos del otro. desarrollo deben ser ilegibles.
6.2 10.2 Manejo de Entrega de Servicios Tercerizados
Existen medidas que son tomadas para asegurar que
los controles de seguridad, niveles de servicio y
6.2.1 10.2.1 Entrega de Servicios entrega sean incluidos y verificados en los contratos de
servicios con terceros, así como su revisión periódica
de cumplimiento?
Son los servicios, reportes y registros proveídos por
teceros regularmente monitoreados y revisados?
Monitoreo y revisión de servicios
6.2.2 10.2.2 Existen controles de auditoría que son realizados a
tercerizados
intervalos regulares sobre los servicios, reportes y
registros suministrados por terceros?
Se gestionan los cambios en la provisión de servicios,
incluyendo mantenimiento y la mejora en las políticas
Manejo de Cambios de servicios de seguridad de información existentes,
6.2.3 10.2.3
tercerizados procedimientos y controles?
Se tienen en cuenta sistemas de negocio críticos,
procesos involucrados y re-evaluación de riesgos?
6.3 10.3 Planeamiento y Aceptación de Sistemas

Vinod Kumar
vinodjis@hotmail.com Page 7 8/7/2012
 ISO 27001 Compliance Checklist

La capacidad de procesamiento de los sistemas son

monitoreados en base a la demanda y proyectados en
base a requerimientos futuros, de modo a asegurar que
6.3.1 10.3.1 Gestión de la Capacidad la capacidad de proceso y almacenamiento estén
disponibles? ‎
Ejemplo: Monitoreo de espacio en disco, Memoria
RAM, CPU en los servidores críticos.
Son establecidos criterios de aceptación para nuevos
sistemas de información, actualizaciones y nuevas
6.3.2 10.3.2 Aceptación de Sistemas versiones?
Son realizadas pruebas antes de la aceptación de los
mismos?
6.4 10.4 Protección contra código malicioso y móvil
Existen controles para detección, prevención y
recuperado contra código malicioso y son
6.4.1 10.4.1 Controles contra código malicioso
desarrollados e implementados procedimientos
apropiados de advertencia a los usuarios?
En caso de necesitarse código móvil, este solo debe
utilizarse una vez que haya sido autorizado. ‎
Las configuraciones del código móvil autorizado
deben realizarse y operarse de acuerdo a las Políticas
de Seguridad.‎La ejecución del código móvil no
autorizado, debe prevenirse. ‎
6.4.2 10.4.2 Controles contra código movil
‎(Código Móvil es código de software que se transfiere
de una computadora a otra y que se ejecuta
automáticamente. Realiza una función específica con
muy poca o casi ninguna intervención del usuario. El
código móvil está asociado a un gran número de
servicios de middleware)‎
6.5 10.5 Copias de Respaldo
Se realizan copias de respaldo de la información y
software y son testeados regularmente en
conconrdancia con las políticas de backup?
6.5.1 10.5.1 Respaldo de la Información
Toda la información y el software esencial puede ser
recuperado en caso de ocurrencia de un desastre o fallo Ver donde se va a recuperar
de medios? el backup en caso de desastre.
Administración de la Seguridad de la
6.6 10.6 Red

Vinod Kumar
vinodjis@hotmail.com Page 8 8/7/2012
 ISO 27001 Compliance Checklist

La red es adecuadamente administrada y controlada

para protegerse de tretas y en orden a mantener la
seguridad de los sistemas y aplicaciones en uso a
traves de la red, incluyendo la información en transito?
6.6.1 10.6.1 Controles de Red
Existen controles implementados para asegurar el
transito de la información en la red y evitar que esta
sea leída o accesada de forma no autorizada?
Las características de seguridad, niveles de servicio y
requerimientos de administración de todos los
servicios de red son identificados e incluidos en
cualquier acuerdo de servicio de red?
6.6.2 10.6.2 Seguridad en los Servicios de Red La capacidad del proveedor de servicios de red de
proporcionar los servicios de forma segura, es
determinada y regularmente monitoreada y se tienen
derechos de auditoría acordada para medir niveles de
servicio?
6.7 10.7 Manejo de Medios
Existen procedimientos para el manejo de medios
removibles como cintas, diskettes, tarjetas de memoria,
6.7.1 10.7.1 Manejo de medios removibles lectores de CD, pendrives, etc.?
Los procedimientos y niveles de autorización están
claramente definidos y documentados?
En caso de que los medios ya no sean requeridos, estos
6.7.2 10.7.2 Disposición de los medios son eliminados de forma segura bajo procedimientos
formalmente establecidos?
Existen procedimientos para el manejo del
Procedimientos de manejo de la almacenamiento de la información?
6.7.3 10.7.3
información Aborda este procedimiento temas como: protección de
la información contra acceso no autorizado o mal uso?
Seguridad en la Documentación de los La documentación de los sistemas está protegida
6.7.4 10.7.4
Sistemas contra acceso no autorizado?
6.8 10.8 Intercambio de Información
Existe una política formal, procedimientos y/o
controles aplicados para asegurar la protección a la
Políticas y Procedimientos de información?
6.8.1 10.8.1
intercambio de información Estos procedimientos y controles cubren el uso de
equipos de comunicación electrónica en el intercambio
de información?

Vinod Kumar
vinodjis@hotmail.com Page 9 8/7/2012
 ISO 27001 Compliance Checklist

Existen acuerdos de intercambio de información y

software entre la organización y partes externas?
6.8.2 10.8.2 Acuerdos de Intercambio El contenido de los acuerdos con respecto a la
seguridad refleja la sensibilidad y criticidad de la
información de negocio envuelta en el proceso?
Los medios físicos que contengan información es
protegida contra acceso no autorizado, mal uso o
6.8.3 10.8.3 Medios físicos en transito
corrupción de datos durante el transporte entre las
organizaciones?
La información que se envía por mensajería electrónica Correos importantes que van
es bien protegida?‎ afuera deben ser encriptados
6.8.4 10.8.4 Mensajería Electrónica ‎(Mensajería Electrónica incluye pero no es restringida GPG, y lo demás por VPNs.
solamente a email, intercambio electrónico de datos,
mensajería instantanea, etc.)‎
Las políticas y procedimientos son desarrolladas y
6.8.5 10.8.5 Sistema de información empresarial tendientes a fortalecer la protección de información
asociada con la interconexión de sistemas de negocio?
6.9 10.9 Servicios de Comercio Electrónico
La información envuelta en el comercio electrónico No permitir conexiones a
cruza a través de redes publicas y está protegida contra través de redes públicas sin
actividades fraudulenteas, posibles disputas encripción.
contractuales o cualquier acceso no autorizado que
permita lectura o manipulación de esos datos?
6.9.1 10.9.1 Comercio Electrónico En los controles de seguridad son tenidos en cuenta la
aplicación de controles criptográficos?
El comercio electrónico entre los socios comerciales
incluyen un acuerdo, que compromete a ambas partes
a la negociación de los términos convenidos, incluidos
los detalles de las cuestiones de seguridad?
La información envuelta en transacciones en línea está Procesadores de POS,
protegida contra transmisiones incompletas, mal ruteo, Homebanking, etc.
6.9.2 10.9.2 Transacciones On-line
alteración de mensajería, divulgación no autorizada,
duplicación no autorizada o replicación?
La integridad de la información disponible Protección de datos de la
6.9.3 10.9.3 Información disponible públicamente publicamente está protegida contra modificación no página web.
autorizada?
6.10 10.10 Monitoreo

Vinod Kumar
vinodjis@hotmail.com Page 10 8/7/2012
 ISO 27001 Compliance Checklist

Los registros de auditoría que guardan la actividad de

los usuarios, excepciones, eventos de seguridad de
información que ocurren, se guardan por un periodo
razonable de tiempo de tal modo a poder realizar
6.10.1 10.10.1 Registros de Auditoría
investigaciones futuras y monitoreo de acceso?
Se tienen en consideración medidas de protección a la
privacidad en el mantenimiento de registros de
auditoría?
Son desarrollados procedimientos de monitoreo de
equipos de procesamiento de datos?
El resultado de la actividad de monitoreo es revisada
6.10.2 10.10.2 Uso de Sistemas de Monitoreo regularmente de forma periódica?
Los niveles de monitoreo requeridos por los equipos
de procesamiento de información son determinados
por un análisis de riesgos?
Los equipos que contienen los registros y logs de
6.10.3 10.10.3 Protección de los Logs auditoría son bien protegidos contra posibles
manipulaciones y acceso no autorizado?
Las actividades de los Administradores y Operadores
Log de actividades de Administradores y
6.10.4 10.10.4 de sistemas son registradas en los logs?
Operadores
Son revisados regularmente los logs?
Las fallas son registradas en logs, y luego analizadas y
acciones apropiadas realizadas en consecuencia?
Los niveles de registros en logs requeridos para cada
6.10.5 10.10.5 Registro de Fallas
sistema individual son determinados en base a análisis
de riesgos y la degradación de performance es tenida
en cuenta?‎

Los relojes de todos los sistemas de información están

sincronizados en base a una misma fuente de tiempo
6.10.6 10.10.6 Sincronización de relojes
exacta acordada?‎
‎(La correcta sincronización de los relojes es importante
para asegurar la cronología de eventos en los logs)‎
Access Control
7.1 11.1 Requerimientos del Negocio para Control de Acceso
Las políticas de control de acceso son desarrolladas y
revisadas basadas en los requerimientos de seguridad
del negocio?

7.1.1 11.1.1 Política de Control de Acceso

Vinod Kumar
vinodjis@hotmail.com Page 11 8/7/2012
 ISO 27001 Compliance Checklist

Los controles de acceso tanto físico como lógico son

7.1.1 11.1.1 Política de Control de Acceso
tenidos en cuenta en las políticas de control de acceso?

Tanto a los usuarios como a los proveedores de

servicios se les dio una clara declaración de los
requisitos de la empresa en cuanto a control de acceso?
7.2 11.2 Administración de Accesos de Usuarios
Existe algún procedimiento formal de altas/bajas de
7.2.1 11.2.1 Registración de Usuarios
usuarios para acceder a los sistemas?

La asignación y uso de privilegios en los sistemas de

7.2.2 11.2.2 Gestión de Privilegios información, es restringida y controlada en base a las
necesidades de uso y dichos privilegios son solo
otorgados bajo un esquema formal de autorización?
La asignación y reasignación de contraseñas debe
Administración de Contraseñas de controlarse a través de un proceso de gestión formal.
7.2.3 11.2.3
Usuarios Se les solicita a los usuarios que firmen un acuerdo de
confidencialidad del password?
Existe un proceso de revisión de privilegios y derechos
de acceso a intervalos regulares. Por ejemplo:
Revisión de Roles de Usuarios
Privilegios especiales cada 3 meses, privilegios
7.2.4 11.2.4 normales cada 6 meses?
7.3 11.3 Responsabilidades de Usuarios
Existe alguna práctica de seguridad en el sitio para
7.3.1 11.3.1 Uso de Password guiar a la selección y mantenimiento de contraseñas
seguras?
Los usuarios y terceros son concientes de los requisitos
de seguridad y procedimientos para proteger los
equipos desatendidos? ‎
7.3.2 11.3.2 Equipos desatendidos de Usuarios Por ejemplo: Salir del sistema cuando las sesiones son
terminadas o configurar terminación automática de
sesiones por tiempo de inactividad, etc.

La organización ha adoptado una política de escritorio

limpio con relación a los papeles y dispositivos de
Política de Escritorio Limpio y Pantalla almacenamiento removibles?
7.3.3 11.3.3
Limpia

Vinod Kumar
vinodjis@hotmail.com Page 12 8/7/2012
 ISO 27001 Compliance Checklist

Política de Escritorio Limpio y Pantalla

7.3.3 11.3.3
Limpia La organización ha adoptado una política de pantalla
limpia con relación a los equipos de procesamiento de
información?
7.4 11.4 Control de Acceso a la Red
Se le provee a los usuarios acceso unicamente a los
servicios de red a los cuales han sido autorizados
7.4.1 11.4.1 Políticas sobre Servicios de Red específicamente?
Existen políticas de seguridad relacionadas con la red y
los servicios de red?
Son utilizados mecanismos apropiados de
Autenticaciones de Usuarios para
autenticación para controlar el acceso remoto de los
conexiones externas
7.4.2 11.4.2 usuarios?
Son considerados equipos de identificación automática
Identificación de equipamientos en la red para autenticar conexiones desde equips y direcciones
7.4.3 11.4.3 específicas?
Los accesos físicos y lógicos a puertos de diagnóstico
Diagnóstico Remoto y configuración de
están apropiadamente controlados y protegidos por
protección de puertos
7.4.4 11.4.4 mecanismos de seguridad?
Los grupos de servicios de información, usuarios y
sistemas de información son segregados en la red?
La red (desde donde asociados de negocios o terceros
necesitan acceder a los sistemas de información) es
7.4.5 11.4.5 Segregación en la Red segregada utilizando mecanismos de seguridad
perimetral como firewalls?‎
En la segregación de la red son hechas las
consideraciones para separar las redes wireles en
internas y privadas?
Existe una política de control de acceso que verifique
conexiones provenientes de redes compartidas,
7.4.6 11.4.6 Control de Conexiones de Red
especialmente aquellas que se extienden mas allá de
los límites de la organización?
Existen políticas de control de acceso que establezcan
los controles que deben ser realizados a los ruteos
7.4.7 11.4.7 Control de Ruteo de Red implementados en la red?
Los controles de ruteo, están basados en mecanismos
de identificación positiva de origen y destino?
7.5 11.5 Controles de Acceso a Sistemas Operativos
Los accesos a sistemas operativos son controlados por
Procedimientos de log-on seguro
7.5.1 11.5.1 procedimientos de log-on seguro?

Vinod Kumar
vinodjis@hotmail.com Page 13 8/7/2012
 ISO 27001 Compliance Checklist

Un único identificador de usuario (user ID) es

proveído a cada usuario incluyendo operadores,
administradores de sistemas y otros técnicos?
Se eligen adecuadas técnicas de autenticación para
Identificación y Autenticación de demostrar la identidad declarada de los usuarios?
7.5.2 11.5.2
Usuarios El uso de cuentas de usuario genéricas son
suministradas sólo en circunstancias especiales
excepcionales, donde se especifícan los beneficios
claros de su utilización. Controles adicionales pueden
ser necesarios para mantener la seguridad.
Existe un sistema de gestión de contraseñas que obliga
al uso de controles como contraseña individual para
7.5.3 11.5.3 Gestión de Contraseñas auditoría, periodicidad de caducidad, complejidad
mínima, almacenamiento encriptado, no despliegue de
contraseñas por pantalla, etc.?

En caso de existir programas utilitarios capaces de

7.5.4 11.5.4 Utilidades de Uso de Sistemas
saltarse los controles de aplicaciones de los sistemas,
estos están restringidos y bien controlados?
Las aplicaciones son cerradas luego de un periodo
determinado de inactividad?‎
‎(Un tiempo determinado de inactividad puede ser
7.5.5 11.5.5 Expiración de Sesiones
determinado por algunos sistemas, que limpian la
pantalla para prevenir acceso no autorizado, pero no
cierra la aplicación o las sesiones de red)
Existen restricciones limitando el tiempo de conexión
de aplicaciones de alto riesgo? Este tipo de
7.5.6 11.5.6 Limitación de tiempo de conexión configuraciones debe ser considerada para aplicaciones
sensitivas cuyas terminales de acceso se encuentran en
lugares de riesgo.
7.6 11.6 Control de Acceso a las Aplicaciones y a la Información
El acceso a la información y los sistemas de
aplicaciones por parte los usuarios y personal de
7.6.1 11.6.1 Restricción de Acceso a la Información
soporte, está restringido en concordancia con las
políticas de control de acceso definidas?
Aquellos sistemas considerados sensibles, están en
ambientes aislados, en computadoras dedicadas para
7.6.2 11.6.2 Aislamiento de Sistemas Sensibles
el efecto, con recursos compartidos con aplicaciones
seguras y confiables, etc?

Vinod Kumar
vinodjis@hotmail.com Page 14 8/7/2012
 ISO 27001 Compliance Checklist

7.7 11.7 Computación Móvil y Teletrabajo

Existe una política formal y medidas apropiadas de Encripción de discos en las
seguridad adoptadas para protegerse contra riesgo de notebooks
utilización de computación móvil y equipos de
comunicación?
Algunos ejemplos de computación móvil y equipos de
7.7.1 11.7.1 Computación Móvil y Comunicaciones
telecomunicación incluyen: notebooks, palmtops,
‎laptops, smart cards, celulares. ‎
Son tenidos en cuenta los riesgos tales como trabajar en
ambientes no protegidos en cuanto a las políticas de
computación móvil?
Se desarrollan e implementan políticas, planes
7.7.2 11.7.2 operativos y procedimientos con respecto a tareas de
teletrabajo?
Teletrabajo
Las actividades de teletrabajo, son autorizadas y
controladas por las gerencias y existen mecanismos
adecuados de control para esta forma de trabajo?
Desarrollo, Adquisición y Mantenimiento de Sistemas de Información
8.1 12.1 Requerimientos de Seguridad de los Sistemas de Información
Los requerimientos de seguridad para nuevos sistemas
de información y fortalecimiento de los sistemas
existentes, especifican los requerimientos para los
controles de seguridad?

Análisis y Especificaciones de Los requerimientos y controles identificados reflejan el

8.1.1 12.1.1
Rquerimientos de Seguridad valor económico de los activos de información
envueltos y las consecuencias de un fallo de seguridad?
Los requerimientos para la seguridad de información
de los sistemas y prcesos para implementar dicha
seguridad, son integrados en las primeras etapas de los
proyectos de sistemas?
8.2 12.2 Procesamiento Correcto en Aplicaciones
Los datos introducidos a los sistemas, son validados
para asegurar que son correctos y apropiados?

8.2.1 12.2.1 Validación de Datos de Entrada

Vinod Kumar
vinodjis@hotmail.com Page 15 8/7/2012
 ISO 27001 Compliance Checklist

Los controles tales como: Diferentes tipos de mensajes

8.2.1 12.2.1 Validación de Datos de Entrada de error para datos mal ingresados, Procedimientos
para responder a los errores de validación, definición
de responsabilidades para todo el personal envuelto en
la carga de datos, etc. son considerados?
Son incorporadas validaciones en las aplicaciones para
detectar/prevenir que puedan ser ingresados datos no
válidos por error o deliberadamente?
8.2.2 12.2.2 Control de Procesamiento Interno Se tiene en cuenta en el diseño y la implementación de
las aplicaciones que el riesgo de falllas en el
procesamiento que conduzcan a perdida de integridad
de datos sea minimizado?
Los requerimientos para aseguramiento y protección
de la integridad de los mensajes en las aplicaciones,
son debidamente identificados e implementados los
controles necesarios?
8.2.3 12.2.3 Integridad de Mensajería
Si una evaluación de riesgos de seguridad se llevó a
cabo para determinar si es necesaria la integridad del
mensaje, y para determinar el método más apropiado
de aplicación.
Los sistemas de aplicaciones de salida de datos, son
validados para asegurar que el procesamiento de
8.2.4 12.2.4 Validación de Datos de Salida
información almacenada sea correcta y apropiada a las
circustancias?
8.3 12.3 Controles Criptográficos
La organización posee políticas de uso de controlec
criptográficos para protección de la información? Estas
políticas son implementadas con éxito? ‎

Políticas de Uso de Controles La política criptográfica considera el enfoque de

8.3.1 12.3.1 gestión hacia el uso de controles criptográficos, los
Criptográficos
resultados de la evaluación de riesgo para identificar
nivel requerido de protección, gestión de claves y
métodos de diversas normas para la aplicación
efectiva?
La administración de claves se utiliza efectivamente
para apoyar el uso de técnicas criptográficas en la
organización?

8.3.2 12.3.2 Manejo de Claves

Vinod Kumar
vinodjis@hotmail.com Page 16 8/7/2012
 ISO 27001 Compliance Checklist

Las claves criptográficas están protegidas

correctamente contra modificación, pérdida y/o
destrucción?
8.3.2 12.3.2 Manejo de Claves
Las claves públicas y privadas están protegidas contra
divulgación no autorizada?
Los equipos utilizados para generar o almacenar
claves, están físicamente protegidos?
Los sistemas de administración de claves, están
basados en procedimientos estandarizados y seguros?
8.4 12.4 Seguridad de los Archivos de Sistemas
Existen procedimientos para controlar la instalación de
software en los sistemas operativos (Esto es para
8.4.1 12.4.1 Control de Software Operativo
minimizar el riesgo de corrupción de los sistemas
operativos)
Los sistemas de testeo de datos, están debidamente
protegidos y controlados? ‎
Protección de Datos de Prueba de
8.4.2 12.4.2 La utilización de información personal o cualquier
Sistemas
información sensitiva para propósitos de testeo, está
prohibida?
Existen controles estrictos de modo a restringir el
8.4.3 12.4.3 Control de Acceso a Código Fuente acceso al código fuente? (esto es para prevenir posibles
cambios no autorizados)
8.5 12.5 Seguridad en el Desarrollo y Servicios de Soporte
Existen procedimientos de control estricto con respecto
a cambios en los sistemas de información? ‎(Esto es
para minimizar la posible corrupción de los sistemas
8.5.1 12.5.1 Procedimientos de Control de Cambios de información)‎
Estos procedimientos aborda la necesidad de
evaluación de riesgos, análisis de los impactos de los
cambios?
Existen procesos a seguir o procedimientos para
revisión y testeo de las aplicaciones críticas de negocio
Revisión Técnica de Aplicaciones luego y seguridad, luego de cambios en el Sistema
8.5.2 12.5.2
de Cambios en el Sistema Operativo Operativo? Periódicamente, esto es necesario cada vez
que haya que hacer un parcheo o upgrade del sistema
operativo.
Las modificaciones a los paquetes de software, son
Restricciones en Cambios de Paquetes de desalentadas o limitadas extrictamente a los cambios
8.5.3 12.5.3
Software mínimos necesarios?

Vinod Kumar
vinodjis@hotmail.com Page 17 8/7/2012
 ISO 27001 Compliance Checklist

Restricciones en Cambios de Paquetes de

8.5.3 12.5.3
Software
Todos los cambios son estrictamente controlados?

Existen controles para prevenir la fuga de información?

Controles tales como escaneo de dispositivos de salida,
8.5.4 12.5.4 Fuga de Información
monitoreo regular del personal y actividades
permitidas en los sistemas bajo regulaciones locales,
monitoreo de recursos, son considerados?
El desarrollo de software tercerizado, es supervisado y Controlar aplicaciones y
0
monitoreado por la organización? disclaimer contractual
Puntos como: Adquisición de licencias, acuerdos de Revisión de los contratos
8.5.5 12.5.5 Desarrollo de Software Tercerizado garantía, requerimientos contractuales de calidad para tener en cuenta los
asegurada, testeo antes de su instalación definitiva, Service Level Agreements
revisión de código para prevenir troyanos, son (Acuerdos de Niveles de
considerados? Servicio).
8.6 12.6 Gestión de Vulnerabilidades Técnicas
Se obtiene información oportuna en tiempo y forma
sobre las vulnerabilidades técnicas de los sistemas de
información que se utilizan?
8.6.1 12.6.1 Control de Vulnerabilidades Técnicas
La organización evalúa e implementa medidas
apropiadas de mitigación de riesgos a las
vulnerabilidades a las que está expuesta?
Gestión de Incidentes de Seguridad de Información
9.1 13.1 Reportando Eventos de Seguridad y Vulnerabilidades
Los eventos de seguridad de información, son
reportados a través de los canales correspondientes lo
Reportando Eventos de Seguridad de la más rápido posible?
9.1.1 13.1.1
Información Son desarrollados e implementados procedimientos
formales de reporte, respuesta y escalación en
incidentes de seguridad?

Reportando Vulnerabilidaes de la Existen procedimientos que aseguren que todos los

9.1.2 13.1.2
Seguridad empleados deben reportar cualquier vulnerabilidad en
la seguridad en los servicios o sistemas de información?
9.2 13.2 Gestión de Incidentes de Seguridad de la Información y Proceso de Mejoras
Están claramente establecidos los procedimientos y
responsabilidades de gestión para asegurar una rápida,
efectiva y ordenada respuesta a los incidentes de
seguridad de información?
9.2.1 13.2.1 Responsabilidades y Procedimientos

Vinod Kumar
vinodjis@hotmail.com Page 18 8/7/2012
 ISO 27001 Compliance Checklist

9.2.1 13.2.1 Responsabilidades y Procedimientos Es utilizado el monitoreo de sistemas, alertas y

vulnerabilidades para detectar incidentes de
seguridad?
Los objetivos de la gestión de incidentes de seguridad
de información, están acordados con las gerencias?
Existen mecanismos establecidos para identificar y
cuantificar el tipo, volumen y costo de los incidentes
de seguridad?
Aprendiendo de los Incidentes de
9.2.2 13.2.2 La información obtenida de la evaluación de incidentes
Seguridad de la Información
de seguridad que ocurrieron en el pasado, es utilizada
para determinar el impacto recurrente de incidencia y
corregir errores?
Si las medidas de seguimiento contra una persona u
organización después de un incidente de seguridad de
la información implica una acción legal (ya sea civil o
penal)
Las evidencias relacionadas con incidentes, son
recolectadas, retenidas y presentadas conforme las
9.2.3 13.2.3 Recolección de Evidencia
disposiciones legales vigentes en las jurisdicciones
pertinentes?
Los procedimientos internos son desarrollados y
seguidos al pié de la letra cuando se debe recolectar y
presentar evidencia para propósitos disciplinarios
dentro de la organización?
Gestión de la Continuidad del Negocio
10.1 14.1 Aspectos de Seguridad en la Gestión de la Continuidad del Negocio
Existen procesos que direccionan los requerimientos de
seguridad de información para el desarrollo y
mantenimiento de la Continuidad del Negocio dentro
de la Organización?
Estos procesos, entienden cuales son los riesgos que la
Incluyendo Seguridad en el Proceso de
10.1.1 14.1.1 organización enfrenta, identifican los activos críticos,
Gestión de Continuidad del Negocio
los impactos de los incidentes, consideran la
implementación de controles preventivos adicionales y
la documentación de los Planes de Continuidad del
Negocio direccionando los requerimientos de
seguridad?

Vinod Kumar
vinodjis@hotmail.com Page 19 8/7/2012
 ISO 27001 Compliance Checklist

Los eventos que puedan causar interrupción al

Continuidad del Negocio y Evaluación negocio, son identificados sobre la base de
10.1.2 14.1.2
de Riesgos probabilidad, impacto y posibles consecuencias para la
seguridad de información?
Son desarrollados planes para mantener y restaurar las
operaciones de negocio, asegurar disponibilidad de
información dentro de un nivel aceptable y en el rango
de tiempo requerido siguiente a la interrupción o falla
Desarrollo e Implementación de Planes de los procesos de negocio?
10.1.3 14.1.3 de Continuidad incluyendo Seguridad
de la Información Considera el Plan, la identificación y acuerdo de
responsabilidades, identificación de pérdida aceptable,
implementación de procedimientos de recuperación y
restauración, documentación de procedimientos y
testeo periódico realizado regularmente?
Existe un marco único del Plan de Continuidad de
Negocios?

Este marco, es mantenido regularmente para

10.1.4 14.1.4 Business continuity planning framework asegurarse que todos los planes son consistentes e
identifican prioridades para testeo y mantenimiento?
El Plan de Continuidad del Negocio direccionan los
requerimientos de seguridad de información
identificados?
Los Planes de Continuidad del Negocio, son probados
regularmente para asegurarse de que están
actualizados y son efectivos?
Los tests de planes de continuidad de negocio,
Prueba, Mantenimiento y Reevaluando aseguran que todos los miembros del equipo de
10.1.5 14.1.5
Planes de Continuidad del Negocio recuperación y otros equipos relevantes sean
advertidos del contenido y sus responsabilidades para
la continuidad del negocio y la seguridad de
información, son concientes de sus roles y funciones
dentro del plan cuando este se ejecuta?
Cumplimiento
11.1 15.1 Cumplimiento con Requerimientos Legales

Vinod Kumar
vinodjis@hotmail.com Page 20 8/7/2012
 ISO 27001 Compliance Checklist

Todas las leyes relevantes, regulaciones,

requerimientos contractuales y organizacionales son
tenidos en cuenta de modo a que estén documentados
para cada sistema de información en la organización?
11.1.1 15.1.1 Identificación de Legislación Aplicable
Los controles específicos y responsabilidades
individuales de modo a cumplir con estos
requerimientos, son debidamente definidos y
documentados?
Existen procedimientos para asegurar el cumplimiento
de los requerimientos legales, regulatorios y
contractuales sobre el uso de materiales y software que
estén protegidos por derechos de propiedad Musica mp3, imágenes,
intelectual? libros, software, etc.
Estos procedimientos, están bien implementados?
11.1.2 15.1.2 Derechos de Propiedad Intelectual
Controles tales como: Política de Cumplimiento de
Derechos de Propiedad Intelectual, Procedimientos de
Adquisición de Software, Política de concientización,
Mantenimiento de Prueba de la Propiedad,
Cumplimiento con Términos y Condiciones, son
consideradas?

Los registros importantes de la organización están

protegidos contra pérdida, destrucción y falsificación
en concordancia con los requerimientos legales,
regulatorios, contractuales y de negocio? Backup y Auditoría
Están previstas las consideraciónes con respecto al Unidades de Cintas que ya
Protección de los Registros de la
11.1.3 15.1.3 posible deterioro de medios de almacenamiento no tienen repuestos, Storage
Organización
utilizados para almacenar registros? de Discos fallan y ya no hay.
Los sistemas de almacenamiento son elegidos de modo
a que los datos requeridos puedan ser recuperados en
un rango de tiempo aceptable y en el formato
necesario, dependiendo de los requerimientos a ser
cumplidos?
La protección de los datos y la privacidad, están
Protección de los Datos y privacidad de asegurados por legislaciones relevantes, regulaciones y
11.1.4 15.1.4
los datos personales si son aplicables, por cláusulas contractuales?

Vinod Kumar
vinodjis@hotmail.com Page 21 8/7/2012
 ISO 27001 Compliance Checklist

El uso de instalaciones de proceso de información para

cualquier propósito no autorizado o que no sea del
negocio, sin la aprobación pertinente, es tratada como
utilización impropia de las instalaciones?
Los mensajes de alerta de ingreso, son desplegados
Prevención del maluso de las
11.1.5 15.1.5 antes de permitir el ingreso a la red o a los sistemas?
instalaciones de procesamiento
El usuario tiene conocimiento de las alertas y reacciona
apropiadamente al mensaje en pantalla?
Es realizado un asesoramiento jurídico, antes de
aplicar cualquier procedimiento de monitoreo y
control?
Los controles criptográficos son usados en
11.1.6 15.1.6 Regulación de Controles Criptográficos cumplimiento de los acuerdos contractuales
establecidos, leyes y regulaciones?
11.2 15.2 Cumplimiento con las políticas, estándares y regulaciones técnicas
Los Administradores se aseguran que todos los
procedimientos dentro de su area de responsabilidad,
se llevan a cabo correctamente para lograrl el
cumplimiento de las normas y políticas de seguridad?
Cumplimiento con Políticas de
11.2.1 15.2.1 Los Administradores, revisan regularmente el
Seguridad y Estándares
cumplimiento de las instalaciones de procesamiento de
información dentro del area de su responsabilidad de
modo a cumplir con los procedimientos y políticas de
seguridad pertinentes?
Los sistemas de información son regularmente
revisados con respecto al cumplimiento de estándares
de seguridad?
11.2.2 15.2.2 Chequeo de Cumplimiento Técnico
La verificación técnica es llevada a cabo por, o bajo la
supervisión de, personal técnico competente y
autorizado?
11.3 15.3 Consideraciones de Auditoría de Sistemas
Los requerimientos y actividades de auditoría,
incluyen verificación de sistemas de información que
fueron previamente planeados cuidadosamente de
Controles de Auditoría de los Sistemas
11.3.1 15.3.1 modo a minimizar los riesgos de interrupciones en el
de Información
proceso de negocio?
Los requerimientos de auditoria son alcanzables y de
acuerdo con una gestión adecuada?

Vinod Kumar
vinodjis@hotmail.com Page 22 8/7/2012
 ISO 27001 Compliance Checklist

La información a la que se accede por medio de las

herramientas de auditoría, ya sean software o archivos
de datos, están protegidos para prevenir el mal uso o
Protección de la información contra las fuga no autorizada?
11.3.2 15.3.2
heramientas de auditoría El ambiente de auditoría está separado de los Servidores de auditoría
ambientes operacionales y de desarrollo, a penos que (ACL, IDEA, etc.) separados
haya un nivel apropiado de protección? de los ambientes de
desarrollo y oltp.

Vinod Kumar
vinodjis@hotmail.com Page 23 8/7/2012
 ISO 27001 Compliance Checklist

Dominio Objetivos Estado (%)

Politicas de Seguridad Políticas de Seguridad de Información 0%

Organización Interna 0%
Organización de la Seguridad de Información
Partes Externas 0%

Responsabilidad de Activos 0%
Manejo de Activos
Clasificación de Información 0%

Previo al Empleo 0%
Seguridad de Recursos Humanos Durante al Empleo 0%
Terminación o Cambio de empleo 0%

Areas Seguras 0%
Seguridad Física y Ambiental
Equipamiento de Seguridad 0%

Procedimientos y Responsabilidades Operativas 0%

Manejo de Entrega de Servicios Tercerizados 0%
Planeamiento y Aceptación de Sistemas 0%
Protección contra Código Malicioso y Móvil 0%
Copias de Respaldo 0%
Gestión de Comunicaciones y Operaciones
Administración de la Seguridad en la Red 0%
Manejo de Medios 0%
Intercambio de Información 0%
Servicios de Comercio Electrónico 0%
Monitoreo 0%

Requerimientos del Negocio para Control de Acceso 0%

Administración de Accesos de Usuarios 0%
Responsabilidades de Usuarios 0%
Control de Acceso Control de Acceso a la Red 0%
Control de Acceso a Sistemas Operativos 0%
Control de Acceso a las Aplicaciones y a la Información 0%
Computación Móvil y Teletrabajo 0%

Requerimientos de Seguridad de los Sistemas de Información 0%

Procesamiento Correcto en las Aplicaciones 0%
Controles Criptográficos 0%
Desarrollo, Adquisición y Mantenimiento de Sistemas de Inforación
Seguridad de los Archivos de Sistemas 0%
Seguridad en el Desarrollo y Servicios de Soporte 0%
Gestión de Vulnerabilidades Técnicas 0%

Reportando Eventos de Seguridad y Vulnerabilidades 0%

Gestión de Incidentes de Seguridad de Información
Gestión de Incidentes de Seguridad de la Información y Proceso de Mejoras 0%

Gestión de la Continuidad del Negocio Aspectos de Seguridad en la Gestión de la Continuidad del Negocio 0%

Cumplimiento con Requerimientos Legales 0%

Cumplimiento Cumplimiento con las Políticas, Estándares y Regulaciones Técnicas 0%
Consideraciones de Auditoría de Sistemas 0%

Vinod Kumar
vinodjis@hotmail.com Page 24 8/7/2012
 ISO 27001 Compliance Checklist

Dominio Estado (%)

Políticas de Seguridad 0%
Organización de la Seguridad de Información 0%
Manejo de Activos 0%
Seguridad de Recursos Humanos 0%
Seguridad Física y Ambiental 0%
Gestión de Comunicaciones y Operaciones 0%
Control de Acceso 0%
Desarrollo, Adquisición y Mantenimiento de Sistemas de Inforación 0%
Gestión de Incidentes de Seguridad de Información 0%
Gestión de la Continuidad del Negocio 0%
Cumplimiento 0%

Vinod Kumar
vinodjis@hotmail.com Page 25 8/7/2012
 Estado
100%

0%
10%
20%
30%
40%
50%
60%
70%
80%
90%

Cumplimiento por Dominio

Políticas de Seguridad

Organización de la Seguridad de Información

0% 0%

Manejo de Activos
0%

Seguridad de Recursos Humanos

0%

Seguridad Física y Ambiental

Gestión de Comunicaciones y Operaciones

0% 0%

Dominio
Control de Acceso
0%

Desarrollo, Adquisición y Mantenimiento de

Sistemas de Inforación
0%

Gestión de Incidentes de Seguridad de

Información
0%

Gestión de la Continuidad del Negocio

0%

Cumplimiento
0%
 ISO 27001 Compliance Checklist

Chequeo de Cumplimiento
Un formato condicional ha sido proveído sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (%

1 a 25
26 a 75
76 a 100

En el campo "Observaciones" comente la evidencia que usted vió o los comentarios sobre la implementación
En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arriba
Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular

Cumplimiento por Control

Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada Objetivo de co
"Chequeo de Cumplimiento"
Cumplimiento por Dominio
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada dominio en ba
de Cumplimiento".
Representación Gráfica
Esto le proporcionará una representación gráfica del estado por dominio, el cual puede ser incorporado a su pre

Vinod Kumar
vinodjis@hotmail.com Page 27 8/7/2012
 ISO 27001 Compliance Checklist

mplimiento" bajo el campo "Estado (%)" y se menciona abajo:

ntarios sobre la implementación

mencionada mas arriba
denote que ese control en particular no es aplicable para la organización.

o pertinente por cada Objetivo de control en base al estado que se carga en la hoja

o pertinente por cada dominio en base al estado que se carga en la hoja "Chequeo

cual puede ser incorporado a su presentación a las Gerencias

Vinod Kumar
vinodjis@hotmail.com Page 28 8/7/2012