Herramienta de Evaluación en base a la Norma ISO/IEC27002:2013
Empresa: Funcionario: Cargo: Fecha:
Norma Sección Puntos a Evaluar SI NO N/A Observaciones
5 POLITICAS DE SEGURIDAD 5,1 Directrices de la Dirección en seguridad de la información 1. ¿La empresa tiene políticas de seguri - dad de la información? 2. ¿Las políticas de seguridad de la infor - mación son aprobadas por la adminis- Conjunto de políticas tración? 5.1.1 para la seguridad de la información 3. ¿Las políticas de seguridad de la infor - mación han sido publicadas y comunica- das adecuadamente a los empleados?
1. ¿Están las políticas de seguridad de la
información sujetas a revisión? 2. ¿Regularmente se hacen revisiones de las políticas de seguridad de la informa- Revisión de las políticas ción? 5.1.2 para la seguridad de la Especifique la periodicidad en la casilla información observaciones 3. ¿Las políticas de seguridad de la información son revisadas cuando las circunstancias lo amerita? 8 GESTION DE ACTIVOS 8,1 Responsabilidad sobre los Activos 1. ¿Existe un inventario de todos los activos asociados a las instalaciones de procesamiento de información? 8.1.1 Inventario de activos. 2. ¿El inventario de activos de informa - ción contiene información precisa y actualizada?
1. ¿Tienen los activos de la información
8.1.2 Propiedad de los activos. unresponsable definido que sea cons- ciente de sus responsabilidades?
1. ¿Existe una política de uso aceptable
para cada clase o tipo de activos de infor- 8.1.3 Uso aceptable de los mación? activos. 2. ¿Están los usuarios conscientes de esta política antes de su uso?
1. ¿Existe algún proceso para asegurar
que los empleados y los contratistas 8.1.4 Devolución de activos hagan devolución de los activos de infor- mación de propiedad de la empresa a la terminación de su contrato laboral? 8,2 Clasificación de la Información 1. ¿Existe una política que rige la clasifi - cación de la información? 8.2.1 Directrices de clasificación. 2. ¿Existe un proceso por el cual toda la información se pueda clasificar de manera adecuada? 1. ¿Existe un proceso o procedimiento 8.2.2 Etiquetado y manipulado que garantice el etiquetado y la correcta de la información. manipulación de los activos de información? 1. ¿Existe un procedimiento para el manejo de cada clasificación de los activos de información? 8.2.3 Manipulación de activos. 2. ¿Están los usuarios de los activos de información al tanto de este procedimiento?
8,3 Manejo de los soportes de almacenamiento
1. ¿Existe alguna política que rige el uso de los soportes de almacenamiento?
2. ¿Existe algún proceso que diga cómo
utilizar adecuadamente los soportes de 8.3.1 Gestión de soportes almacenamiento? extraíbles. 3. ¿Existen políticas de procesos o comunicados a los empleados que infor- me el uso adecuado de los soportes de almacenamiento?
1. Existe algún procedimiento formal que
8.3.2 Eliminación de soportes. rija como se debe eliminar los soportes de almacenamiento?
1. ¿Existe alguna política documentada y
detallada que defina la forma cómo se Soportes físicos en 8.3.3 debe transportar los soportes físicos de tránsito almacenamiento? 2. ¿Están protegidos los soportes de comunicación contra el acceso no autorizado, mal uso o perdida durante su transporte?
11 SEGURIDAD FISICA Y AMBIENTAL
11,1 Áreas Seguras 1. ¿existe un perímetro de seguridad designado? 11.1.1 Perímetro de seguridad 2. ¿Las áreas de información sensible o física. críticas se encuentran separadas y controladas adecuadamente?
1. ¿Las áreas seguras tienen sistemas de
11.1.2 Controles físicos de control de acceso adecuado para que entrada. sólo personal autorizado ingrese? 1. ¿Tienen las oficinas, despachos e instalaciones seguridad perimetral? 11.1.3 Seguridad de oficinas, 2. ¿Realiza procesos de concientización despachos y recursos. con los empleados por mantener la segu- ridad en puertas, escritorios, archivado- res, etc., de las oficinas?
11.1.4 Protección contra las 1. ¿Tiene diseños o medidas de protec -
amenazas externas ción física para prevenir desastres natura- les, ataques maliciosos o accidentes de la y ambientales. empresa? 11.1.5 El trabajo en áreas 1. ¿existen áreas seguras? seguras. 2. ¿Dónde existen, las áreas seguras cuentan con políticas y procesos adecuados? 1 ¿Las áreas de acceso público están separadas de las áreas de carga y descarga? 11.1.6 Áreas de acceso público, 2. ¿Dónde existen, las áreas seguras carga y descarga cuentan con políticas y procesos adecuados? 3. ¿Estas políticas y procesos son aplica - das y supervisadas? 11,2 Seguridad de los Equipos 1 ¿Están los peligros ambientales identificados y considerados cuando se 11.2.1 Emplazamiento y selecciona la ubicación de los equipos? protección de equipos. 2 ¿Son los riesgos de acceso no autoriza - do o transeúntes considerados al emplazamiento de equipos?
1. ¿Existe un sistema de UPS o generador
11.2.2 Instalaciones de de respaldo? suministro. 2. ¿Han sido probados en simulacros?
1. ¿se han realizado evaluaciones de
riesgos sobre la ubicación de los cables de energía y telecomunicaciones? 11.2.3 Seguridad del cableado. 2. ¿Están ubicadas para evitar interferencias, interceptación o daños? 11.2.4 Mantenimiento de los 1. ¿Existe una programación de equipos. mantenimiento de equipos?
11.2.5 Salida de activos fuera de 1 ¿Existe un proceso de control de la
salida de activos fuera de empresa? las dependencias de la 2 ¿Se aplica este proceso? empresa. 3 ¿se realizan controles en sitio?
11.2.6 Seguridad de los equipos 1 ¿existe una política de seguridad de
activos fuera de la empresa? y activos fuera de las instalaciones. 2 ¿estas políticas son del conocimiento de todos? 1. ¿existe una política que mencione que los activos de información pueden ser reutilizados o retirados en forma segura? 11.2.7 Reutilización o retirada segura de dispositivos de 2 ¿Cuándo datos o información es borra - almacenamiento. da de dispositivos de almacenamiento es debidamente comprobado antes de su reutilización o eliminación?
1. ¿La empresa tiene una política en
torno a cómo el equipo desatendido se 11.2.8 Equipo informático de debe proteger? usuario 2. ¿Existen controles técnicos para desatendido garantizar que un equipo se ha dejado inadvertidamente desatendido?
11.2.9 Política de puesto de 1. ¿Existe una política de puesto de traba-
trabajo despejado jo despejado y bloqueo de pantalla? y bloqueo de pantalla