Organization name [nivel de confidencialidad]

Apéndice 3:

1. Lista de apoyo de auditoría interna para ISO 27001

Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO
4.2 ¿La organización determinó las partes
interesadas?
4.2 ¿Existe la lista de todos los requerimientos para
las partes interesadas?
4.3 ¿Está documentado el alcance con límites e
interfaces claramente definidos?
5.1 ¿Los objetivos generales del SGSI son
compatibles con la dirección estratégica?
5.1 ¿La dirección asegura que el SGSI cumple sus
objetivos?
5.2 ¿Existe la Política de seguridad de la
información con objetivos o marco para
establecer los objetivos?
5.2 ¿Se comunica la Política de seguridad de la
información dentro de la empresa?
5.3 ¿Las funciones y responsabilidades para
seguridad de la información están asignados y
comunicados?
6.1.2 ¿Está documentado el proceso de evaluación
de riesgos, incluidos los criterios de
aceptabilidad de riesgos y de evaluación de
riesgos?
6.1.2, ¿Están definidos los riesgos, sus propietarios,
8.2 probabilidad, consecuencias y nivel de riesgo?
¿Estos resultados están documentados?
6.1.3 ¿Está documentado el proceso de tratamiento
del riesgo, incluidas las opciones para
tratamiento de los riesgos?
6.1.3, ¿Todos los riesgos no aceptables son tratados
8.3 utilizando las opciones y controles del Anexo A?
¿Estos resultados están documentados?
6.1.3 ¿La Declaración de aplicabilidad está
confeccionada con justificaciones y estados
para cada control?
6.1.3, ¿Existe el Plan de tratamiento de riesgos
8.3 aprobado por los propietarios de los riesgos?
6.2 ¿El Plan de tratamiento de riesgos define quién
es responsable de la implementación de qué
control, con qué recursos, con qué plazos y cuál
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 1 de 10
Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
es el método de evaluación?
7.1 ¿Se proporcionan los recursos adecuados para
todos los elementos del SGSI?
7.2 ¿Están definidas las competencias requeridas,
las capacitaciones realizadas y se llevan
registros de competencias?
7.3 ¿El personal es consciente de la política de
seguridad de la información, de su función y de
las consecuencias por el no cumplimiento de las
normas?
7.4 ¿Existe el proceso para la comunicación
relacionada con seguridad de la información,
incluidas las responsabilidades y qué hay que
comunicar?
7.5 ¿Existe el proceso para gestión de documentos
y registros, incluidos quiénes revisan y
aprueban documentos, dónde y cómo se
publican, archivan y protegen?
7.5 ¿Se controlan los documentos de origen
externo?
8.1 ¿Se identifican y controlan los procesos
externalizados?
9.1 ¿Está definido qué debe ser medido, con qué
método, quién es responsable, quién analizará
y evaluará los resultados?
9.1 ¿Están documentados los resultados de la
medición y son reportados a las personas
responsables?
9.2 ¿Existe el programa de auditoria que define los
tiempos, responsabilidades, informes, criterios
y alcance de la auditoría?
9.2 ¿Las auditorías internas se realizan de acuerdo
al programa de auditoría, los resultados son
informados a través del informe de auditoría
interna y se elevan las medidas correctivas
correspondientes?
9.3 ¿Se realiza periódicamente la revisión por parte
de la dirección y sus resultados son
documentados en minutas de la reunión?
9.3 ¿La dirección tuvo decisión sobre todos los
temas críticos importantes para el éxito del
SGSI?
10.1 ¿La organización reacciona ante cada no
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 2 de 10
Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
conformidad?
10.1 ¿La organización considera eliminar las causas
de la no conformidad y, cuando corresponde,
toma medidas correctivas?
10.1 ¿Se registran todas las no conformidades, junto
con las medidas correctivas?
¿Todas las políticas de seguridad de la
información necesarias son aprobadas por la
A.5.1.1 dirección y luego publicadas?
¿Todas las políticas de seguridad de la
A.5.1.2 información son revisadas y actualizadas?
¿Están claramente definidas todas las
responsabilidades concernientes a la seguridad
de la información a través de uno o varios
A.6.1.1 documentos?
¿Están definidos los deberes y
responsabilidades de forma tal que se evite un
conflicto de intereses, particularmente con la
información y los sistemas que involucran altos
A.6.1.2 riesgos?
¿Está claramente definido quién debe ponerse
A.6.1.3 en contacto con qué autoridades?
¿Está claramente definido quién debe ponerse
en contacto con qué grupos de interés
A.6.1.4 especiales o asociaciones profesionales?
¿Están incluidas las normas de seguridad de la
A.6.1.5 información en cada proyecto?
¿Existen normas para el manejo seguro de
A.6.2.1 dispositivos móviles?
¿Existen normas que definan cómo se protege
la información de la empresa en los espacios de
A.6.2.2 tele-trabajo?
¿Se realizan verificaciones de antecedentes a
A.7.1.1 los postulantes a empleos o a los contratistas?
¿Los acuerdos con empleados y contratistas
especifican las responsabilidades relacionadas
A.7.1.2 con seguridad de la información?
¿La dirección requiere activamente a todos los
empleados y contratistas que cumplan las
A.7.2.1 normas de seguridad de la información?
A.7.2.2 ¿Los empleados y contratistas que
correspondan son capacitados para que
cumplan sus deberes relacionados con la
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 3 de 10
Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
seguridad, y existe el programa de
concienciación?
¿Todos los empleados que han cometido una
violación a la seguridad han sido sometidos a
A.7.2.3 un proceso disciplinario formal?
¿Están definidas en el acuerdo las
responsabilidades sobre seguridad de la
información que siguen vigentes luego de la
A.7.3.1 finalización del empleo?

A.8.1.1 ¿Se confeccionó un Inventario de activos?

¿Se designó un propietario para cada activo del
A.8.1.2 Inventario?
¿Están documentadas las normas para el
A.8.1.3 manejo adecuado de información y activos?
¿Los empleados y contratistas que ya no
trabajan en la empresa devolvieron todos los
A.8.1.4 activos?
¿Se clasifica la información según criterios
A.8.2.1 específicos?
¿La información clasificada es etiquetada según
A.8.2.2 los procedimientos definidos?
¿Existen procedimientos que definen cómo
A.8.2.3 manejar información clasificada?
¿Los procedimientos que definen cómo
manejar los medios removibles están en línea
A.8.3.1 con las normas de clasificación?
¿Existen procedimientos formales para
A.8.3.2 eliminación de medios?
¿Los medios que contienen información
sensible son protegidos mientras se los
A.8.3.3 transporta?
¿Existe una Política de control de acceso que
defina los requerimientos comerciales y de
A.9.1.1 seguridad para control de acceso?
¿Los usuarios tienen acceso solamente a las
redes y servicios para los cuales fueron
A.9.1.2 específicamente autorizados?
¿Los derechos de acceso son provistos a través
A.9.2.1 de un proceso formal de registración?
¿Existe un sistema formal de control de acceso
A.9.2.2 para ingresar a sistemas de información?
¿Se manejan con especial cuidado los derechos
A.9.2.3 de acceso privilegiado?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 4 de 10
Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
¿Las claves iniciales y demás información
secreta de autenticación se suministran de
A.9.2.4 forma segura?
¿Los propietarios de activos verifican
periódicamente los derechos de acceso
A.9.2.5 privilegiado?
¿Se han eliminado los derechos de acceso a
todos los empleados y contratistas una vez
A.9.2.6 finalizado sus contratos?
¿Existen reglas claras para los usuarios sobre
cómo proteger las claves y demás información
A.9.3.1 de autenticación?
¿Está restringido el acceso a bases de datos y
aplicaciones de acuerdo con la política de
A.9.4.1 control de acceso?
¿Se requiere el registro seguro en el terminal
A.9.4.2 de acuerdo con la política de control de acceso?
¿Los sistemas que administran claves son
interactivos y permiten la creación de claves
A.9.4.3 seguras?
¿El uso de herramientas de utilidad, que
pueden anular los controles de seguridad de
aplicaciones y sistemas, está estrictamente
controlado y limitado a un estrecho círculo de
A.9.4.4 empleados?
¿El acceso al código fuente está restringido a
A.9.4.5 personas autorizadas?
¿Existe la política que regula la encriptación y
A.10.1.1 otros controles criptográficos?
¿Están protegidas adecuadamente las claves
A.10.1.2 criptográficas?
¿Existen áreas seguras que protegen
A.11.1.1 información sensible?
¿El acceso a las áreas seguras está protegido
con controles que permiten el ingreso
A.11.1.2 únicamente de las personas autorizadas?
¿Las áreas seguras están ubicadas de forma tal
que no sean visibles a personas ajenas a la
empresa y que no sean fácilmente accesibles
A.11.1.3 desde el exterior?
¿Están instaladas las alarmas, protecciones
A.11.1.4 contra incendios y demás sistemas?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 5 de 10

Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
¿Están definidos, y se cumplen, los
A.11.1.5 procedimientos de trabajo para áreas seguras?
¿Las áreas de entrega y carga son controladas
de forma tal que personas no autorizadas no
puedan ingresar a las instalaciones de la
A.11.1.6 empresa?
¿El equipamiento está instalado de forma tal
que se encuentre protegido ante el acceso no
A.11.2.1 autorizado y ante amenazas ambientales?
¿El equipamiento cuenta con un suministro
A.11.2.2 ininterrumpido de energía eléctrica?
¿Están debidamente protegidos los cables de
A.11.2.3 alimentación y de telecomunicaciones?
¿Se realiza mantenimiento periódico al
equipamiento de acuerdo con las
especificaciones del fabricante y las buenas
A.11.2.4 prácticas?
¿Se otorga autorización cada vez que se saca
información y otros activos de las instalaciones
A.11.2.5 de la empresa?
¿Los activos de la empresa están protegidos
adecuadamente cuando no se encuentran en
A.11.2.6 las instalaciones de la empresa?
¿Se elimina toda la información y software con
licencia cuando los medios o equipamiento son
A.11.2.7 desechados?
¿Los usuarios protegen su equipo cuando no
A.11.2.8 tienen posesión física del mismo?
¿Existe una política que obligue a los usuarios a
retirar los papeles y medios cuando no están
A.11.2.9 presentes, y a bloquear sus pantallas?
¿Se han documentado los procedimientos
A.12.1.1 operativos para procesos de TI?
¿Se controlan estrictamente todos los cambios
a los sistemas de TI y también a otros procesos
que pueden afectar la seguridad de la
A.12.1.2 información?
¿Controla alguien el uso de recursos y proyecta
A.12.1.3 la capacidad necesaria?
¿Están debidamente separados los ambientes
A.12.1.4 de desarrollo, prueba y producción?
A.12.2.1 ¿Están instalados y actualizados el software
antivirus y demás protección contra software
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 6 de 10
Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
malicioso?
¿Se desarrolló la política de copias de
seguridad? ¿Se realiza la creación de copias de
A.12.3.1 seguridad en conformidad con esta política?
¿Se guardan todos los registros de usuarios,
fallas y demás eventos de los sistemas de TI, y
A.12.4.1 alguien los controla?
¿Se protegen los registros de tal forma que
personas no autorizadas no puedan
A.12.4.2 modificarlos?
¿Se protegen los registros de administrador de
tal forma que los administradores no puedan
modificarlos o borrarlos; y se controlan
A.12.4.3 periódicamente?
¿Están sincronizados los relojes de todos los
sistemas de TI con una única fuente de horario
A.12.4.4 correcto?
¿Se hace un control estricto sobre la instalación
de software? ¿Existen procedimientos para
A.12.5.1 ello?
¿Hay alguien a cargo de recolectar información
sobre vulnerabilidades, y esas vulnerabilidades
A.12.6.1 son resueltas a la brevedad?
¿Existen reglas específicas que definan
restricciones sobre instalación de software por
A.12.6.2 los usuarios?
¿Se planifican y ejecutan auditorías a los
sistemas de producción de forma tal que se
A.12.7.1 minimice el riesgo de interrupciones?
¿Se controlan las redes de tal forma que
protejan la información de los sistemas y
A.13.1.1 aplicaciones?
¿Están definidos los requerimientos de
seguridad para servicios de red internos y
A.13.1.2 externos? ¿Están incluidos en los acuerdos?
¿Están separados en diferentes redes los
A.13.1.3 grupos de usuarios, servicios y sistemas?
¿Está regulada en políticas y procedimientos
formales la protección de transferencia de
A.13.2.1 información?
¿Existen acuerdos con terceros que regulen la
A.13.2.2 seguridad en la transferencia de información?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 7 de 10

Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
¿Están debidamente protegidos los mensajes
A.13.2.3 que se intercambian a través de las redes?
¿La empresa detalló las cláusulas de
confidencialidad que debían ser incorporadas
A.13.2.4 en los acuerdos con terceros?
¿Están definidos los requerimientos de
seguridad para los nuevos sistemas de
información o para cualquier cambio sobre
A.14.1.1 ellos?
¿Está debidamente protegida la información
relacionada con aplicaciones que se transfiere a
A.14.1.2 través de redes públicas?
¿Está debidamente protegida la información
relacionada con transacciones que se transfiere
A.14.1.3 a través de redes públicas?
¿Están definidas las reglas para el desarrollo
A.14.2.1 seguro de software y sistemas?
¿Existen procedimientos formales de control de
cambios para realizar modificaciones a los
A.14.2.2 sistemas nuevos o existentes?
¿Se prueban las aplicaciones críticas luego de
modificaciones o actualizaciones en los
A.14.2.3 sistemas operativos?
¿Se realizan solo los cambios realmente
A.14.2.4 necesarios sobre los sistemas de información?
¿Están documentados e implementados los
A.14.2.5 principios para diseñar sistemas seguros?
¿Está debidamente asegurado el ambiente de
desarrollo para evitar accesos y cambios no
A.14.2.6 autorizados?
¿Se controla el desarrollo de sistemas
A.14.2.7 externalizados?
¿Se realizan pruebas para la adecuada
implementación de requerimientos de
A.14.2.8 seguridad durante el desarrollo?
¿Están definidos los criterios de aceptación de
A.14.2.9 sistemas?
¿Los datos de las pruebas son seleccionados y
A.14.3.1 protegidos adecuadamente?
¿Está documentada la política sobre cómo
tratar los riesgos relacionados con proveedores
A.15.1.1 y asociados?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 8 de 10

Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
¿Están incluidos todos los requerimientos de
seguridad correspondientes en los acuerdos
A.15.1.2 con proveedores y asociados?
¿Los acuerdos con proveedores de la nube y
con otros proveedores incluyen requerimientos
de seguridad para asegurar la entrega estable
A.15.1.3 de servicios?
¿Se controla regularmente que los proveedores
cumplan los requerimientos de seguridad y, en
A.15.2.1 caso de ser necesario, se auditan?
Al realizar cambios sobre los acuerdos y
contratos con proveedores y asociados, ¿se
toman en cuenta los riesgos y los procesos
A.15.2.2 existentes?
¿Están claramente definidos los procedimientos
y responsabilidades para la gestión de
A.16.1.1 incidentes?
¿Se reportan a tiempo todos los eventos de
A.16.1.2 seguridad de la información?
¿Los empleados y contratistas reportan las
A.16.1.3 debilidades de seguridad?
¿Se evalúan y clasifican todos los eventos de
A.16.1.4 seguridad?
¿Están documentados los procedimientos sobre
A.16.1.5 cómo responder ante incidentes?
¿Se analizan los incidentes de seguridad para
A.16.1.6 conocer cómo prevenirlos?
¿Existen los procedimientos que definen cómo
recolectar evidencia que pueda ser válida
A.16.1.7 durante el proceso legal?
¿Están definidos los requerimientos para
A.17.1.1 continuidad de la seguridad de la información?
¿Existen procedimientos que aseguran la
continuidad de la seguridad de la información
A.17.1.2 durante una crisis o un desastre?
¿Se realizan pruebas y verificaciones para
A.17.1.3 asegurar la respuesta efectiva?
¿La infraestructura de TI es redundante (por ej.,
una ubicación secundaria) como para cumplir
A.17.2.1 las expectativas durante un desastre?
¿Están detallados y documentados todos los
requerimientos legales, normativos,
A.18.1.1 contractuales y de seguridad?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 9 de 10
Apéndice 3: Lista de apoyo de auditoría
interna
Organization name [nivel de confidencialidad]

Capítul Requerimiento de la norma Cumplimiento Evidencia

o Sí/NO
¿Existen procedimientos que garanticen el
cumplimiento de derechos de propiedad
intelectual, especialmente el uso de software
A.18.1.2 con licencia?
A.18.1.3 ¿Se protegen todos los registros conforme a lo
definido en los requerimientos normativos,
contractuales y de otro tipo?
¿La información personal identificable se
A.18.1.4 protege como lo disponen las leyes y normas?
¿Se utilizan controles criptográficos como se
A.18.1.5 requiere en las leyes y normas?
A.18.2.1 ¿La seguridad de la información es
periódicamente revisada por un auditor
independiente?
¿Los directores revisan periódicamente si las
políticas y procedimientos de seguridad se
realizan adecuadamente en sus áreas de
A.18.2.2 responsabilidad?
¿Se revisan periódicamente los sistemas de
información para verificar su cumplimiento con
las políticas y normas de seguridad de la
A.18.2.3 información?

Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 10 de 10

Apéndice 3: Lista de apoyo de auditoría
interna