1. Lista de apoyo de auditoría interna para ISO 27001
Capítul Requerimiento de la norma Cumplimiento Evidencia o Sí/NO 4.2 ¿La organización determinó las partes interesadas? 4.2 ¿Existe la lista de todos los requerimientos para las partes interesadas? 4.3 ¿Está documentado el alcance con límites e interfaces claramente definidos? 5.1 ¿Los objetivos generales del SGSI son compatibles con la dirección estratégica? 5.1 ¿La dirección asegura que el SGSI cumple sus objetivos? 5.2 ¿Existe la Política de seguridad de la información con objetivos o marco para establecer los objetivos? 5.2 ¿Se comunica la Política de seguridad de la información dentro de la empresa? 5.3 ¿Las funciones y responsabilidades para seguridad de la información están asignados y comunicados? 6.1.2 ¿Está documentado el proceso de evaluación de riesgos, incluidos los criterios de aceptabilidad de riesgos y de evaluación de riesgos? 6.1.2, ¿Están definidos los riesgos, sus propietarios, 8.2 probabilidad, consecuencias y nivel de riesgo? ¿Estos resultados están documentados? 6.1.3 ¿Está documentado el proceso de tratamiento del riesgo, incluidas las opciones para tratamiento de los riesgos? 6.1.3, ¿Todos los riesgos no aceptables son tratados 8.3 utilizando las opciones y controles del Anexo A? ¿Estos resultados están documentados? 6.1.3 ¿La Declaración de aplicabilidad está confeccionada con justificaciones y estados para cada control? 6.1.3, ¿Existe el Plan de tratamiento de riesgos 8.3 aprobado por los propietarios de los riesgos? 6.2 ¿El Plan de tratamiento de riesgos define quién es responsable de la implementación de qué control, con qué recursos, con qué plazos y cuál Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 1 de 10 Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO es el método de evaluación? 7.1 ¿Se proporcionan los recursos adecuados para todos los elementos del SGSI? 7.2 ¿Están definidas las competencias requeridas, las capacitaciones realizadas y se llevan registros de competencias? 7.3 ¿El personal es consciente de la política de seguridad de la información, de su función y de las consecuencias por el no cumplimiento de las normas? 7.4 ¿Existe el proceso para la comunicación relacionada con seguridad de la información, incluidas las responsabilidades y qué hay que comunicar? 7.5 ¿Existe el proceso para gestión de documentos y registros, incluidos quiénes revisan y aprueban documentos, dónde y cómo se publican, archivan y protegen? 7.5 ¿Se controlan los documentos de origen externo? 8.1 ¿Se identifican y controlan los procesos externalizados? 9.1 ¿Está definido qué debe ser medido, con qué método, quién es responsable, quién analizará y evaluará los resultados? 9.1 ¿Están documentados los resultados de la medición y son reportados a las personas responsables? 9.2 ¿Existe el programa de auditoria que define los tiempos, responsabilidades, informes, criterios y alcance de la auditoría? 9.2 ¿Las auditorías internas se realizan de acuerdo al programa de auditoría, los resultados son informados a través del informe de auditoría interna y se elevan las medidas correctivas correspondientes? 9.3 ¿Se realiza periódicamente la revisión por parte de la dirección y sus resultados son documentados en minutas de la reunión? 9.3 ¿La dirección tuvo decisión sobre todos los temas críticos importantes para el éxito del SGSI? 10.1 ¿La organización reacciona ante cada no Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 2 de 10 Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO conformidad? 10.1 ¿La organización considera eliminar las causas de la no conformidad y, cuando corresponde, toma medidas correctivas? 10.1 ¿Se registran todas las no conformidades, junto con las medidas correctivas? ¿Todas las políticas de seguridad de la información necesarias son aprobadas por la A.5.1.1 dirección y luego publicadas? ¿Todas las políticas de seguridad de la A.5.1.2 información son revisadas y actualizadas? ¿Están claramente definidas todas las responsabilidades concernientes a la seguridad de la información a través de uno o varios A.6.1.1 documentos? ¿Están definidos los deberes y responsabilidades de forma tal que se evite un conflicto de intereses, particularmente con la información y los sistemas que involucran altos A.6.1.2 riesgos? ¿Está claramente definido quién debe ponerse A.6.1.3 en contacto con qué autoridades? ¿Está claramente definido quién debe ponerse en contacto con qué grupos de interés A.6.1.4 especiales o asociaciones profesionales? ¿Están incluidas las normas de seguridad de la A.6.1.5 información en cada proyecto? ¿Existen normas para el manejo seguro de A.6.2.1 dispositivos móviles? ¿Existen normas que definan cómo se protege la información de la empresa en los espacios de A.6.2.2 tele-trabajo? ¿Se realizan verificaciones de antecedentes a A.7.1.1 los postulantes a empleos o a los contratistas? ¿Los acuerdos con empleados y contratistas especifican las responsabilidades relacionadas A.7.1.2 con seguridad de la información? ¿La dirección requiere activamente a todos los empleados y contratistas que cumplan las A.7.2.1 normas de seguridad de la información? A.7.2.2 ¿Los empleados y contratistas que correspondan son capacitados para que cumplan sus deberes relacionados con la Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 3 de 10 Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO seguridad, y existe el programa de concienciación? ¿Todos los empleados que han cometido una violación a la seguridad han sido sometidos a A.7.2.3 un proceso disciplinario formal? ¿Están definidas en el acuerdo las responsabilidades sobre seguridad de la información que siguen vigentes luego de la A.7.3.1 finalización del empleo?
A.8.1.1 ¿Se confeccionó un Inventario de activos?
¿Se designó un propietario para cada activo del A.8.1.2 Inventario? ¿Están documentadas las normas para el A.8.1.3 manejo adecuado de información y activos? ¿Los empleados y contratistas que ya no trabajan en la empresa devolvieron todos los A.8.1.4 activos? ¿Se clasifica la información según criterios A.8.2.1 específicos? ¿La información clasificada es etiquetada según A.8.2.2 los procedimientos definidos? ¿Existen procedimientos que definen cómo A.8.2.3 manejar información clasificada? ¿Los procedimientos que definen cómo manejar los medios removibles están en línea A.8.3.1 con las normas de clasificación? ¿Existen procedimientos formales para A.8.3.2 eliminación de medios? ¿Los medios que contienen información sensible son protegidos mientras se los A.8.3.3 transporta? ¿Existe una Política de control de acceso que defina los requerimientos comerciales y de A.9.1.1 seguridad para control de acceso? ¿Los usuarios tienen acceso solamente a las redes y servicios para los cuales fueron A.9.1.2 específicamente autorizados? ¿Los derechos de acceso son provistos a través A.9.2.1 de un proceso formal de registración? ¿Existe un sistema formal de control de acceso A.9.2.2 para ingresar a sistemas de información? ¿Se manejan con especial cuidado los derechos A.9.2.3 de acceso privilegiado? Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 4 de 10 Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO ¿Las claves iniciales y demás información secreta de autenticación se suministran de A.9.2.4 forma segura? ¿Los propietarios de activos verifican periódicamente los derechos de acceso A.9.2.5 privilegiado? ¿Se han eliminado los derechos de acceso a todos los empleados y contratistas una vez A.9.2.6 finalizado sus contratos? ¿Existen reglas claras para los usuarios sobre cómo proteger las claves y demás información A.9.3.1 de autenticación? ¿Está restringido el acceso a bases de datos y aplicaciones de acuerdo con la política de A.9.4.1 control de acceso? ¿Se requiere el registro seguro en el terminal A.9.4.2 de acuerdo con la política de control de acceso? ¿Los sistemas que administran claves son interactivos y permiten la creación de claves A.9.4.3 seguras? ¿El uso de herramientas de utilidad, que pueden anular los controles de seguridad de aplicaciones y sistemas, está estrictamente controlado y limitado a un estrecho círculo de A.9.4.4 empleados? ¿El acceso al código fuente está restringido a A.9.4.5 personas autorizadas? ¿Existe la política que regula la encriptación y A.10.1.1 otros controles criptográficos? ¿Están protegidas adecuadamente las claves A.10.1.2 criptográficas? ¿Existen áreas seguras que protegen A.11.1.1 información sensible? ¿El acceso a las áreas seguras está protegido con controles que permiten el ingreso A.11.1.2 únicamente de las personas autorizadas? ¿Las áreas seguras están ubicadas de forma tal que no sean visibles a personas ajenas a la empresa y que no sean fácilmente accesibles A.11.1.3 desde el exterior? ¿Están instaladas las alarmas, protecciones A.11.1.4 contra incendios y demás sistemas?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 5 de 10
Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO ¿Están definidos, y se cumplen, los A.11.1.5 procedimientos de trabajo para áreas seguras? ¿Las áreas de entrega y carga son controladas de forma tal que personas no autorizadas no puedan ingresar a las instalaciones de la A.11.1.6 empresa? ¿El equipamiento está instalado de forma tal que se encuentre protegido ante el acceso no A.11.2.1 autorizado y ante amenazas ambientales? ¿El equipamiento cuenta con un suministro A.11.2.2 ininterrumpido de energía eléctrica? ¿Están debidamente protegidos los cables de A.11.2.3 alimentación y de telecomunicaciones? ¿Se realiza mantenimiento periódico al equipamiento de acuerdo con las especificaciones del fabricante y las buenas A.11.2.4 prácticas? ¿Se otorga autorización cada vez que se saca información y otros activos de las instalaciones A.11.2.5 de la empresa? ¿Los activos de la empresa están protegidos adecuadamente cuando no se encuentran en A.11.2.6 las instalaciones de la empresa? ¿Se elimina toda la información y software con licencia cuando los medios o equipamiento son A.11.2.7 desechados? ¿Los usuarios protegen su equipo cuando no A.11.2.8 tienen posesión física del mismo? ¿Existe una política que obligue a los usuarios a retirar los papeles y medios cuando no están A.11.2.9 presentes, y a bloquear sus pantallas? ¿Se han documentado los procedimientos A.12.1.1 operativos para procesos de TI? ¿Se controlan estrictamente todos los cambios a los sistemas de TI y también a otros procesos que pueden afectar la seguridad de la A.12.1.2 información? ¿Controla alguien el uso de recursos y proyecta A.12.1.3 la capacidad necesaria? ¿Están debidamente separados los ambientes A.12.1.4 de desarrollo, prueba y producción? A.12.2.1 ¿Están instalados y actualizados el software antivirus y demás protección contra software Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 6 de 10 Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO malicioso? ¿Se desarrolló la política de copias de seguridad? ¿Se realiza la creación de copias de A.12.3.1 seguridad en conformidad con esta política? ¿Se guardan todos los registros de usuarios, fallas y demás eventos de los sistemas de TI, y A.12.4.1 alguien los controla? ¿Se protegen los registros de tal forma que personas no autorizadas no puedan A.12.4.2 modificarlos? ¿Se protegen los registros de administrador de tal forma que los administradores no puedan modificarlos o borrarlos; y se controlan A.12.4.3 periódicamente? ¿Están sincronizados los relojes de todos los sistemas de TI con una única fuente de horario A.12.4.4 correcto? ¿Se hace un control estricto sobre la instalación de software? ¿Existen procedimientos para A.12.5.1 ello? ¿Hay alguien a cargo de recolectar información sobre vulnerabilidades, y esas vulnerabilidades A.12.6.1 son resueltas a la brevedad? ¿Existen reglas específicas que definan restricciones sobre instalación de software por A.12.6.2 los usuarios? ¿Se planifican y ejecutan auditorías a los sistemas de producción de forma tal que se A.12.7.1 minimice el riesgo de interrupciones? ¿Se controlan las redes de tal forma que protejan la información de los sistemas y A.13.1.1 aplicaciones? ¿Están definidos los requerimientos de seguridad para servicios de red internos y A.13.1.2 externos? ¿Están incluidos en los acuerdos? ¿Están separados en diferentes redes los A.13.1.3 grupos de usuarios, servicios y sistemas? ¿Está regulada en políticas y procedimientos formales la protección de transferencia de A.13.2.1 información? ¿Existen acuerdos con terceros que regulen la A.13.2.2 seguridad en la transferencia de información?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 7 de 10
Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO ¿Están debidamente protegidos los mensajes A.13.2.3 que se intercambian a través de las redes? ¿La empresa detalló las cláusulas de confidencialidad que debían ser incorporadas A.13.2.4 en los acuerdos con terceros? ¿Están definidos los requerimientos de seguridad para los nuevos sistemas de información o para cualquier cambio sobre A.14.1.1 ellos? ¿Está debidamente protegida la información relacionada con aplicaciones que se transfiere a A.14.1.2 través de redes públicas? ¿Está debidamente protegida la información relacionada con transacciones que se transfiere A.14.1.3 a través de redes públicas? ¿Están definidas las reglas para el desarrollo A.14.2.1 seguro de software y sistemas? ¿Existen procedimientos formales de control de cambios para realizar modificaciones a los A.14.2.2 sistemas nuevos o existentes? ¿Se prueban las aplicaciones críticas luego de modificaciones o actualizaciones en los A.14.2.3 sistemas operativos? ¿Se realizan solo los cambios realmente A.14.2.4 necesarios sobre los sistemas de información? ¿Están documentados e implementados los A.14.2.5 principios para diseñar sistemas seguros? ¿Está debidamente asegurado el ambiente de desarrollo para evitar accesos y cambios no A.14.2.6 autorizados? ¿Se controla el desarrollo de sistemas A.14.2.7 externalizados? ¿Se realizan pruebas para la adecuada implementación de requerimientos de A.14.2.8 seguridad durante el desarrollo? ¿Están definidos los criterios de aceptación de A.14.2.9 sistemas? ¿Los datos de las pruebas son seleccionados y A.14.3.1 protegidos adecuadamente? ¿Está documentada la política sobre cómo tratar los riesgos relacionados con proveedores A.15.1.1 y asociados?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 8 de 10
Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO ¿Están incluidos todos los requerimientos de seguridad correspondientes en los acuerdos A.15.1.2 con proveedores y asociados? ¿Los acuerdos con proveedores de la nube y con otros proveedores incluyen requerimientos de seguridad para asegurar la entrega estable A.15.1.3 de servicios? ¿Se controla regularmente que los proveedores cumplan los requerimientos de seguridad y, en A.15.2.1 caso de ser necesario, se auditan? Al realizar cambios sobre los acuerdos y contratos con proveedores y asociados, ¿se toman en cuenta los riesgos y los procesos A.15.2.2 existentes? ¿Están claramente definidos los procedimientos y responsabilidades para la gestión de A.16.1.1 incidentes? ¿Se reportan a tiempo todos los eventos de A.16.1.2 seguridad de la información? ¿Los empleados y contratistas reportan las A.16.1.3 debilidades de seguridad? ¿Se evalúan y clasifican todos los eventos de A.16.1.4 seguridad? ¿Están documentados los procedimientos sobre A.16.1.5 cómo responder ante incidentes? ¿Se analizan los incidentes de seguridad para A.16.1.6 conocer cómo prevenirlos? ¿Existen los procedimientos que definen cómo recolectar evidencia que pueda ser válida A.16.1.7 durante el proceso legal? ¿Están definidos los requerimientos para A.17.1.1 continuidad de la seguridad de la información? ¿Existen procedimientos que aseguran la continuidad de la seguridad de la información A.17.1.2 durante una crisis o un desastre? ¿Se realizan pruebas y verificaciones para A.17.1.3 asegurar la respuesta efectiva? ¿La infraestructura de TI es redundante (por ej., una ubicación secundaria) como para cumplir A.17.2.1 las expectativas durante un desastre? ¿Están detallados y documentados todos los requerimientos legales, normativos, A.18.1.1 contractuales y de seguridad? Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 9 de 10 Apéndice 3: Lista de apoyo de auditoría interna Organization name [nivel de confidencialidad]
Capítul Requerimiento de la norma Cumplimiento Evidencia
o Sí/NO ¿Existen procedimientos que garanticen el cumplimiento de derechos de propiedad intelectual, especialmente el uso de software A.18.1.2 con licencia? A.18.1.3 ¿Se protegen todos los registros conforme a lo definido en los requerimientos normativos, contractuales y de otro tipo? ¿La información personal identificable se A.18.1.4 protege como lo disponen las leyes y normas? ¿Se utilizan controles criptográficos como se A.18.1.5 requiere en las leyes y normas? A.18.2.1 ¿La seguridad de la información es periódicamente revisada por un auditor independiente? ¿Los directores revisan periódicamente si las políticas y procedimientos de seguridad se realizan adecuadamente en sus áreas de A.18.2.2 responsabilidad? ¿Se revisan periódicamente los sistemas de información para verificar su cumplimiento con las políticas y normas de seguridad de la A.18.2.3 información?
Procedimiento para Auditoría interna / ver. [versión] del [fecha] Página 10 de 10