Modelo - Lista de Verificación

Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Iniciales 14-12-
Compañía JFC Fecha
Auditor 2021
Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Revisión de registros y Fotos o videos de la seguridad

17 A.11.1.1 Verificar el perímetro de seguridad observación de física, observación y validación
condiciones de la seguridad

Registros de las zonas

18 A.11.1.2 Verificar los controles acceso físico Revisión de registros controladas y los métodos de
acceso

Revisión de registros, Inventario de oficinas, salas e

19 A.11.1.3 Verificar la seguridad de oficinas, salas e instalaciones Observación de instalaciones y relación de
condiciones seguridad de cada uno

Revisar procedimiento de
Revisión de documentos
20 A.11.1.4 Verificar protecciones contra amenazas externas y del ambiente protección para desastres
y registros
naturales y amenazas externas

Revisión de documentos Revisar el procedimiento para el

21 A.11.1.5 Verificar el trabajo en áreas seguras
y registros trabajo en áreas seguras
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Iniciales 14-12-
Compañía JFC Fecha
Auditor 2021
Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
Verificar registros de seguridad
Verificación de
de las áreas de entrega y carga y
22 A.11.1.6 Verificar áreas de entrega y carga registros y observación
observar que existan los
de condiciones
controles
Relación de equipamiento
Entrevista
ubicaciones y como protegen el
23 A.11.2.1 Verificar ubicación y protección del equipamiento Observación de
equipamiento
condiciones

Entrevista
Verificar elementos de soporte Relación y procedimiento de
24 A.11.2.2 Observación de
elementos de soporte de energía
condiciones.

Revisión de registros, Registros de implementación e

25 A.11.2.3 Verificar seguridad en el cableado
Entrevista inspección del cableado

Manifiesto de mantenimiento de
26 A.11.2.4 Verificar Mantenimiento del equipamiento Revisión de registros
equipos
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Iniciales 14-12-
Compañía JFC Fecha
Auditor 2021
Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Revisión de documentos Política de retiro de activos

27 A.11.2.5 Verificar retiro de activos
y registros Actas de retiro

Verificar seguridad del equipamiento y los activos fuera de las Procedimiento de activos de
28 A.11.2.6 Revisión de documento
instalaciones equipos fuera de instalaciones

Procedimiento de reutilización u
29 A.11.2.7 Verificar seguridad en la reutilización o descarte de equipos Revisión de documento
descartes de equipos

Estándar de procedimientos de
30 A.11.2.8 Verificar los equipos de usuario desatendidos Revisión de documento
equipos desatendidos

31 A.11.2.9 Verificar la política de escritorio y pantallas limpios Revisión de documento Política de escritorio limpio
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Iniciales 14-12-
Compañía JFC Fecha
Auditor 2021
Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Revisión de Procedimiento documentados,

Verificar si la organización tiene documentado los procedimientos de
32 A.12.1.1 Documentos y mantenimiento de equipos, y
operación.
Registros. registros de mantenimiento.

Revisión de los Control de cambios

Verificar si se controla los cambios en la organización, en los procesos,
documento, registro y documentados en los sistemas
33 A.12.1.2 en las instalaciones y en los sistemas de procesamiento de información
observación de de información y en
que afecten la seguridad de la información
condiciones procesamiento.
Procedimientos documentados
de planes de acción de
capacidad futura de tecnología,
Realizar seguimiento al uso de los recursos, hacer los ajustes, y hacer Entrevista así como la optimización de
34 A.12.1.3 proyecciones de los requisitos de capacidad futura, para asegurar el Revisión de documentos recursos y seguridad de la
desempeño requerido del sistema. Registros tecnología información.
Conocimiento de la persona
frente a los procedimientos de la
capacidad futura.
Revisión de Procedimientos documentados
Verificar la separación de los ambientes de desarrollo, pruebas y
Documentos de ambientes de prueba,
35 A.12.1.4 operación, para reducir los riesgos de acceso a cambios no autorizados
Observación de producción y gestión de
al ambiente de operación.
condiciones repositorios.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Iniciales 14-12-
Compañía JFC Fecha
Auditor 2021
Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
Observar laboratorio de pruebas
y equipos de PC de prueba.
Políticas de seguridad de la
Revisión de información y prohibir el uso del
Documentos y registros software no autorizado.
Verificar controles de detención, de prevención y de recuperación para
36 A.12.2.1 Observación de Revisión de registros de
código malicioso.
condiciones licencias, antivirus y
Entrevista procedimiento de
concientización de los usuarios.
Procedimientos de copias y
Revisión de documentos
Verificar los procedimientos de las copias de respaldo de la restauración de la información.
y registros
37 A.12.3.1 información, software e imágenes de los sistemas, de acuerdo a las Registros de copias de seguridad
Observación de
políticas de copias acordadas. y verificación.
actividades
Prueba de repositorios.

Verificar: elaborar, conservar y revisar regularmente los registros

Bitácora, sistemas de logs y
38 A.12.4.1 acerca de actividades del usuario, excepciones, fallas y eventos de Revisión de registros
eventos
seguridad de la información.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Iniciales 14-12-
Compañía JFC Fecha
Auditor 2021
Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Verificar que las instalaciones y la información de registro se deben Revisión de registro Bitácora, sistemas de logs y
39 A.12.4.2
proteger contra alteración y acceso no autorizado eventos

Verificar las actividades del administrador y del operador del sistema

Bitácora de registros de usuarios
40 A.12.4.3 las cuales se deben registrar, y los registros se deben proteger y revisar Revisión de registros
administradores y operadores
con regularidad.

Procedimientos de
Verificar los relojes de todos los sistemas de procesamiento de Revisión de documentos
sincronización de relojes y
41 A.12.4.4 información pertinentes de una organización o ámbito de seguridad se Observación
Verificación de relojes
deben sincronizar con una única fuente de referencia de tiempo. Actividades
sincronizados
Procedimientos de la instalación
Revisión de documentos
Verificar los procedimientos para controlar la instalación de software de software.
42 A.12.5.1 Observación de
en sistemas operativos Prueba de instalación de
actividades
software.
Se debe obtener oportunamente información acerca de las Procedimiento de Evaluación de
Revisión documentos y
vulnerabilidades técnicas de los sistemas de información que se usen, amenazas y vulnerabilidades y
43 A.12.6.1 registros
evaluar la exposición de la organización a estas vulnerabilidades, y actas de control de cambios.
tomar las medidas apropiadas para tratar el riesgo asociado. Pruebas de penetración.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Iniciales 14-12-
Compañía JFC Fecha
Auditor 2021
Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
Política de seguridad de la
información, donde se
contemple el uso de software a
instalar para los funcionarios y/o
Verificar las políticas o reglas para la instalación de software por parte
44 A.12.6.2 Revisión de documentos contratistas, se tiene en cuanta el
de los usuarios.
usuario estándar con los
mínimos requisitos.
Pruebas de instalación de
software.

Verificar los Controles de auditoría de sistemas de información para Procedimiento de auditorías

Revisión de
45 A.12.7.1 minimizar el riegos de interrupción controles del negocios periódicas a los sistemas de
Documentos
información

46 9 Verificar si la organización evalúa el desempeño de la seguridad de la Revisión documentos y Actas de comité de evaluación
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
de desempeño de seguridad de la
información, donde se evidencia
información y la efectividad del sistema de gestión de la seguridad de registros
la revisión y actualización.
la información.
Registros de control de cambio
de versión.
Procedimientos de monitoreo de
Verificar si dentro de la organización se tiene identificado que se tiene Revisión de documentos
seguridad de la información.
47 9.1.a que monitorear y medir, como también los controles y procesos de la Observación
Formato reporte de eventos de
seguridad de la información; Actividades
seguridad.
Procedimientos de monitoreo de
seguridad de la información,
Verificar si dentro de la organización existen métodos para monitorear,
Revisión de documentos donde se consigne los métodos
48 9.1.b medir, analizar y evaluar, según corresponda, para asegurar resultados
utilizados, (Manual,
válidos.
Automáticos, Herramientas etc.)

Procedimientos de monitoreo de
seguridad de la información, en
Verificar si la organización tiene definidos los tiempos en los cuales se Revisión de documentos
49 9.1.c donde se identifiquen los
deben llevar a cabo el monitoreo y la medición.
tiempos de ejecución de
monitoreos.
Matriz de Roles y Perfiles
Verificar si la organización tiene definidos quiénes deben monitorear y Revisión de documentos actualizada.
50 9.1.d
medir. Bitácora de registros de usuarios
administradores y operadores
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Política de seguridad de la
Verificar si la organización tiene definidos cuándo se deben analizar y información.
51 9.1.e Revisión de documentos
evaluar los resultados del monitoreo y la medición Procedimientos de monitoreo de
seguridad de la información
Política de seguridad de la
información, donde se
identifiquen las áreas
Verificar si la organización tiene definido quién debe analizar y evaluar
52 9.1.f Revisión de documentos responsables del monitoreo o si
estos resultados.
lo realiza un comité de
seguridad.

Verificar si la organización cuenta con auditorías internas en intervalos Informe a auditoria conforme a
Revisión documentos y
planificados y si el sistema de gestión de la seguridad de la los tiempos definidos y resultado
53 9.2.a registros
información cumple con los requisitos de la organización. del cumplimiento de requisitos
de la norma.
Procedimientos documentados
para cada uno de los procesos de
Revisión documentos y
Verificar si los requisitos de la norma están debidamente la organización.
54 9.2.b registros
implementados y mantenidos. Actas de reunión y seguimiento.
Políticas de seguridad de la
información.
Programas de Auditoria y
Verificar si la organización planifica, establece, implementa y
Revisión documentos y mantenimiento de norma.
mantiene programas de auditoría, incluida la frecuencia, métodos,
55 9.2.c registros Informe de resultados auditorias
responsabilidades, requisitos de planificación e informes, como
anteriores.
también resultados de las auditorías anteriores.
Control de cambios.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Acta de reunión, en la cual se
Verificar si la organización tiene definidos los criterios de auditoría y encuentren definidos los
56 9.2.d Revisión documentos
el alcance para cada auditoría. alcances y criterios que se deben
auditar.
Política de seguridad de la
información, donde se plasme el
Verificar si la organización realiza selección de auditores y ejecuta
proceso de selección de
57 9.2.e auditorías que aseguren la objetividad y la imparcialidad del proceso de Revisión documentos
auditores que garanticen la
Auditoría.
objetividad e imparcialidad del
proceso.
Política de seguridad de la
información, donde se
Verificar si la organización asegura que los resultados de las auditorías
58 9.2.f Revisión documentos identifiquen los lineamientos de
son informados a la dirección pertinente.
entrega del resultado de
auditoría.

Verificar que la organización conserva la información documentada

Informe de resultados auditorias
59 9.2.g como evidencia de los programas de auditoría y los resultados de Revisión documentos
(Repositorios)
la auditoría.

Actas de comité de evaluación

Verificar si la alta dirección de la organización revisa el sistema de
de desempeño de seguridad de la
gestión de la seguridad de la información en los plazos
60 9.3 Revisión documentos información, donde se evidencie
planificados para asegurar su conveniencia, suficiencia y efectividad
la revisión por la alta dirección
continua.
en los tiempos definidos.
Verificar si la alta dirección realiza el estado de las acciones, a partir de Actas de comité de evaluación
61 9.3.a Revisión documentos
las revisiones de gestión anteriores. de desempeño de seguridad de la
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
información, donde se plasme
las acciones tomadas sobre
eventos identificados en
auditorias anteriores.
Control de cambios de las
acciones y cierre de brechas

Verificar si la alta dirección revisa los cambios en los asuntos externos Entrevista, y Notificaciones de entes de
62 9.3.b e internos que son pertinentes al sistema de gestión de la seguridad observación de control, regulatorios, noticias de
de la información. actividades ciberseguridad etc.

9.3.c Verificar si la alta dirección revisa comentarios sobre el desempeño de

Revisión documentos
la seguridad de la información, incluidas tendencias, no conformidades, Actas de comité de evaluación
Entrevista, y
63 acciones correctivas, resultados del monitoreo, mediciones, resultados de desempeño de seguridad de la
observación de
de auditoría y cumplimiento de los objetivos de seguridad de la información
actividades
información.

Actas de comité de evaluación

Verificar si la alta dirección revisa comentarios de las partes Revisión documentos
64 9.3.d de desempeño de seguridad de la
interesadas. Entrevista
información

Revisión documentos
Actas de comité de evaluación
Verificar si la alta dirección revisa resultados de la evaluación de Entrevista, y
65 9.3.e de desempeño de seguridad de la
riesgo y el estado del plan de tratamiento de riesgo. observación de
información
actividades
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.
Revisión documentos
Actas de comité de evaluación
Verificar si la alta dirección revisa las oportunidades para la mejora Entrevista, y
66 9.3.f de desempeño de seguridad de la
continua. observación de
información
actividades