Modelo - Lista de Verificación

Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Plan de trabajo para

Verificar si la organización proporciona los recursos necesarios para la Revisión de
1 7.1 implementación del SGSI, Actas
puesta en marcha del SGSI documentos
de Reunión, presupuesto.

Verificar si se determinan las competencias necesarias para el personal Hoja de Vida, experiencia en
Revisión de
2 7.2a que hace trabajos relacionados la SGSI trabajos relacionados con
Documentos
implementación de SGSI

Certificados o actas de
capacitación en SGSI
implementadas por el equipo
Asegurar que estas personas sean competentes basados en una Revisión de implementador del SGSI,
3 7.2b
educación, capacitación o experiencia adecuada documentos Grabaciones de sesiones de
capacitación, comunicados,
cartillas de capacitación e
información
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Registros de asistencia,
Validar que se ha capacita el personal según las necesidades para
4 7.2.c Revisión de Registros Certificados de Capacitaciones,
adquirir las competencias necesarias
cronograma de capacitaciones

Certificados de aprobación,
Revisión de
Verificar si se conserva documentación como evidencia de la registros de aprobación, hojas de
5 7.2d documentos, Registros
competencia vida que incluyas estos soportes
o medios digitales
de capacitaciones recibidas

Entrevista directamente Confirmación que la política es

Verificar si el personal de la compañía conoce la política de seguridad de
6 7.3a al personal de la conocida y comprendida por el
la información
compañía (3) personal entrevistado

Conocer los aportes de cada

Entrevista directamente persona a los objetivos del SGS,
Validar si el personal es consciente de su aporte al logro de los objetivos
7 7.3b al personal de la así como validar que los objetivos
de SGSI?
compañía (3) de SGSI son conocidos y
entendidos.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
Verificar si el personal es consciente de lo que puede implicar las no
Entrevistar Claridad por parte del
conformidades a los requisitos de seguridad de la
directamente al entrevistado de las consecuencias
8 7.3c información?
personal de la que acarrea una no conformidad
compañía (3) al SGSI

Documentos donde se haya

Se han determinado que comunicar por medio de las comunicación Revisión de determinado el manejo de
9 7.4a
internas y externas de SGSI documentosI comunicaciones y sea claro que
se comunicara (internas/externas)

Proceso (flujograma) definido

Verificar si hay un proceso definido referente al proceso de Revisión de
10 7.4b para el manejo integral de
comunicación del SGSI Documentos
comunicaciones internas/externas

Documento parte del proceso

Verificar si dentro del proceso de comunicación está definido quienes Revisión de donde se defina claramente a
11 7.4.c
serán los receptores de estas comunicaciones del sistema de SGSI Documentos quienes van dirigidas este tipo de
comunicaciones

Documento parte del proceso

Verificar si dentro del proceso de comunicación está definido quién o Revisión de
12 7.4d donde se defina claramente a
quiénes pueden emitir comunicaciones Internas/Externas del SGSI Documentos
quien o quienes pueden emitir
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
comunicaciones Internas/externas
del SGSI
Documento parte del proceso
Verificar si dentro del proceso de comunicación está definido a que donde se defina claramente a
Revisión de
13 7.4e procesos se verán afectados con las comunicaciones Internas/Externas quien o quienes pueden emitir
Documentos
del SGSI comunicaciones Internas/externas
del SGSI

Revisión de
Verificar que se cuenta con la información documentada necesaria para Registros, listado maestro de
14 7.5.1a Documentos o
el SGSI documentos.
Registros

Registros que evidencian el

Verificar la identificación de la documentación necesaria para la proceso de identificación los
15 7.5.1b Revisión de registros
efectividad del SGSI definida por la Organización documentos, Plan maestro de
documentos
Documentos del SGSI que
cumplan con un identificador
Revisión de
16 7.5.2a Verificar la identificación y descripción de la documentación acorde a la organización de los
documentos
documentos del SGSI - Listado
Maestro de Documentos
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Documento que permita identificar

17 7.5.2b Verificar el formato de la información documentada del SGSI Revisión de registros
el formato utilizado

Revisión de Documentos, registros con

18 7.5.2c Verificar las revisiones y aprobaciones de los documentos del SGSI
documentos identificación de revision, version

Entrevista y revisión de Plan de control y disposición de la

19 7.5.3a Verificar el control de la documentación así como su disposición
documentos documentación.

Repositorio físico o digital donde

Verificar las medidas de protección, uso inapropiado, o pérdida de Observación de resida la información del SGSI,
20 7.5.3.b
integridad de la documentación del SGSI condiciones métodos de acceso y condiciones
de
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Comunicados, actas de recibido y

Verificar el proceso de distribución, acceso, recuperación y uso de la Observación de
21 7.5.3c aceptación, solicitud de
documentación del SGSI actividades
documentos y disposición

Verificar almacenamiento y conservación, incluida la conservación de la Observación de Repositorio de información

22 7.5.3d
legibilidad de la documentación del SGSI condiciones ( archivo) físico o digital.

Documento, proceso, formato que

Observación de
23 7.5.3e Verificar el control de cambios realizado a la documentación del SGSI evidencie el control de cambios y
actividades
versión del mismo.

Verificar el proceso retención y disposición de la documentación del Revisión de Plan de retención y disposición de
24 7.5.3f
SGSI documentos la documentación del SGSI

Procedimiento de selección de
Revisión de
Revisar si la organización verifica antes de la selección del personal personal
25 A.7.1.1 documentos
referencias, antecedentes, certificaciones académicas y laborales Certificaciones académicas,
Revisión de registros
laborales, consultas de
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
antecedentes, referencia personal
Verificar si los trabajadores firman acuerdos de confidencialidad y se Contratos Acuerdos de
26 A.7.1.2 incluyen cláusulas de responsabilidades y derechos de protección de Revisión de registros confidencialidad y Protección de
datos en los acuerdos contractuales Datos firmadas
Roles y responsabilidades
documentadas.
Comunicación a los trabajadores
Revisión de Documento (correo, capacitación, oficio, listas
Verificar si la organización tiene documentado y comunica los Roles y
27 A.7.2.1 Revisión de registros de asistencia).
responsabilidades de los empleados y contratistas
Entrevista Conocimiento de los empleados
de sus responsabilidades y roles
según la política de seguridad de
la información establecida
Verificar si la organización tiene documentados procedimientos de Procedimientos de seguridad de
seguridad de la información y si los comunican junto con las políticas. información documentados
Revisión de
Programa de toma de conciencia
28 A.7.2.2 documentos
Comunicación a los empleados
Comprobar si se sensibilizan los empleados y contratistas en seguridad Revisión de registros
(correo, oficio, listas de
de la información asistencias a capacitaciones)
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
Claridad de los trabajadores de
las sanciones por violación de la
Verificar con los trabajadores cual es el proceso disciplinario cuando se seguridad de la información
ha incurrido a una violación de la Seguridad de la información, como se Documento donde se defina el
Entrevista
29 A.7.2.3 determina la sanción.
Verificar si se han presentado procesos disciplinarios, solicite los
Revisión de registros proceso disciplinario y las
registros. sanciones por violacion de la SI
Registros de los procesos
disciplinarios que se han realizado
Verificar en los acuerdos de confidencialidad con empleados o
contratistas que se establezca que después de terminada la relación Acuerdos de confidencialidad con
30 A.7.3.1 Revisión de registros
laboral o contrato los acuerdos seguirán vigentes por un periodo de la vigencia establecida
tiempo.

Documentos que corroboren las

Verificar que ante un incidente de seguridad de la información estén Revisión de
responsabilidades de los
31 A.16.1.1 claras las responsabilidades y procedimientos con el objetivo de documentos
empleados ante vulneraciones de
responder de la mejor manera. Entrevistas
seguridad de la información.

Revisión de Documentos y/o informes donde

Comprobar que los incidentes de seguridad de la información se documentos se compruebe la forma en que se
32 A.16.1.2 comuniquen de manera apropiada. Revisión de registros. comunican problemas de
Entrevistas. seguridad de la información.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Información de los empleados

Corroborar que los empleados cumplan con el requerimiento de informar
Entrevistas. sobre cómo se comunican las
33 A.16.1.3 sobre cualquier debilidad que detecten en los sistemas que utilicen.
debilidades detectadas.

Información objetiva sobre los

Comprobar cómo evalúa la compañía los eventos de seguridad de la
Entrevistas. criterios de clasificación de
34 A.16.1.4 información y cómo se clasifican
incidentes de seguridad.

Documentos e información que

Entrevistas.
Verificar la documentación y los procedimientos a realizar ante validen o no el conocimiento del
Revisión de
35 A.16.1.5 incidentes de seguridad de la información. proceso de atención de incidentes
documentos
de seguridad de la información.

Documentos e información que

Comprobar que los incidentes de seguridad que se han presentado en la Revisión de
validen o no el conocimiento del
compañía se han solucionado y se han documentado para prevenir documentos
36 A.16.1.6 proceso de atención de incidentes
incidentes futuros. Entrevistas.
de seguridad de la información.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
Documentos que validen la forma
Verificar y comprobar que la compañía tiene definidos procedimientos
Revisión de en la que se recoge la evidencia
para la identificación, adquisición, y conservación de información que
37 A.16.1.7 documentos relacionada a un incidente de
pueda ser utilizada de evidencia.
seguridad de la información.

Documentos que definan la

Verificar que la organización tiene claramente definidos los
Revisión de manera de gestionar la seguridad
requerimientos de seguridad de la información ante situaciones difíciles
38 A.17.1.1 documentos de la información en diferentes
o adversas y su continuidad a pesar de estos.
tipos de situaciones adversas.
Documentos que verifiquen las
Verificar si la organización tiene establecidos protocolos, documentos y Revisión de formas de proceder del sistema
procedimientos para velar por la continuidad del sistema de seguridad documentos de seguridad de la información,
39 A.17.1.2
de la información. Entrevistas. ante situaciones adversas y si
realmente son aplicables.
Documentos y procedimientos
Verificar que los procedimientos aplicados se evalúan periódicamente y Revisión de sobre la manera de gestionar y
A.17.1.3 que esta evaluación sea real y pueda arrojar que el sistema se garantiza documentos evaluar las actividades y que sean
40
la funcionalidad ante situaciones adversas. aplicables a las situaciones
adversas.
Verificar que las instalaciones de procesamiento de información deben Verificar que los procedimientos
Revisión de registros
A.17.2.1 aplicar la redundancia suficiente para garantizar la disponibilidad de la de redundancia para la garantía
41 Observación de
misma. de la disponibilidad de la
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
condiciones información funcionen de manera
satisfactoria.
Normograma
Verificar que estén documentados requisitos legales, reglamentarios, Revisión de Documento donde se indique los
A.18.1.1 estatutarios, que le aplican a la organización y si se definen documentos responsables de identificar los
42
responsables de identificarlos y para su cumplimiento. requisitos y de darles
cumplimiento
Verificar si la organización tiene procedimientos para el cumplimiento de Revisión de
los requisitos contractuales relacionados con los derechos de propiedad documentos Procedimientos para el
A.18.1.2 intelectual, uso de productos de software patentados, derechos de autor cumplimiento de requisitos de
43
Observación de derechos de autor
Validar si está restringido la instalación de software Actividades

Verificar si la entidad tiene establecido el periodo por el cual se deberían

retener los registros según su tipo (contables, logs de auditoría, registros Tablas de retención documental o
de bases de datos, etc) documento donde se especifique
Revisión de
A.18.1.3 el periodo para retener los
44 documentos
registros, el almacenamiento y
Verificar si la entidad tiene directrices del almacenamiento y disposición
disposición
de los registros de información.
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia

Verificar las disposiciones que ha definido la Entidad para cumplir con la Documentos donde se
Revisión de
A.18.1.4 legislación de privacidad de los datos personales (ley estatutaria 1581 establezcan las disposiciones
45 documentos
de 2012 y decreto 1377 que reglamenta la ley de 2013) para protección de datos

Revisión de Documentación de los

A.18.1.5 Verificar los controles criptográficos que utiliza la organización
46 documentos Mecanismos de encriptación

Verificar que se realicen revisiones independientes de la seguridad de la Cronograma de revisiones al

A18.2.1 Revisión de registros
47 información SGSI, informes de auditoria

Revisión periódica del cumplimiento del procesamiento y procedimientos

Informes de seguimiento al SGSI,
de seguridad que estén dentro de su área de responsabilidad, de
A18.2.2 Revisión de Registros Planes de auditoria, resultados de
48 acuerdo a las políticas de seguridad, normas, y otros requisitos de
informes de auditorias
seguridad pertinentes

Resultados de revisiones
Revisión periódica del SGSI en cuanto a su cumplimiento con las Revisión de registros periódicas al SGSI, así como los
49 A18.2.3
políticas y norma de seguridad de la información planes de acción si hay evidencia
 Modelo - Lista de Verificación
Instrucción: Con la información relacionada en la Norma ISO 27001:2013 y según el Numeral asignado por el Tutor por favor realice la lista de
Verificación.

Iniciales DG, WA, Enero 18-

Compañía Servicios y Soluciones Ltda Fecha
Auditor CS 2022

Método de
Evidencia que se espera
No. Requisito Tema por Verificar Recolección de
obtener
Evidencia
de necesidades, Declaración de
aplicabilidad.