Preguntas de La Lista de Verificación de Auditoría Interna: Controles IsMS

<Nombre corto> Preguntas de auditoría interna - Controles de riesgos del SGSI (ISO
27001:2013 Anexo A)
Cuestión de auditoría Pruebas de auditoría
A.5 Políticas de seguridad de la información
A.5.1 Dirección de la seguridad de la información
A.5.1.1 Políticas de seguridad de la información

1. ¿Existen políticas de seguridad?
2. ¿Están todas las políticas aprobadas por la dirección?
3. ¿Se comunican adecuadamente las políticas al
personal?
A.5.1.2 Revisión de las políticas de seguridad de la información

1. ¿Se revisan las políticas de seguridad?
2. ¿Se realizan las revisiones a intervalos regulares?
3. ¿Se realizan revisiones cuando cambian las
circunstancias?
A.6 Organización de la seguridad de la información
A.6.1 Organización interna
A.6.1.1 Funciones y responsabilidades en materia de seguridad

de la información
¿Están claramente identificadas y definidas las
responsabilidades para la protección de activos
individuales, y para llevar a cabo procesos de seguridad
específicos, y se comunican a las partes pertinentes?
Página 1 de 30 04-11-16
27001:2013 Anexo A)
A.6.1.2 Segregación de funciones

¿Están separadas las funciones y responsabilidades para
reducir las posibilidades de modificación no autorizada o
uso indebido de la información o los servicios?
A.6.1.3 Contacto con las autoridades

1. ¿Existe un procedimiento que documente cuándo y
quién puede ponerse en contacto con las autoridades
pertinentes (fuerzas del orden, etc.)?
2. ¿Existe un proceso que detalle cómo y cuándo se
requiere el contacto?
3. ¿Existe un proceso para los contactos rutinarios y el
intercambio de información?
Contacto con grupos de interés

A.6.1.4 ¿Las personas relevantes de la organización son
miembros activos de los grupos de interés?
Seguridad de la información en la gestión de proyectos

A.6.1.5 ¿Se someten los proyectos a algún tipo de evaluación de
la seguridad de la información cuando procede?
A.6.2 Dispositivos móviles y teletrabajo
A.6.2.1 Política de dispositivos móviles

1. ¿Existe una política de dispositivos móviles?
Página 2 de 30 04-11-16
27001:2013 Anexo A)
2. ¿Cuenta la política con la aprobación de la alta

dirección?
3. ¿Se abordan en el documento normativo los riesgos
adicionales derivados del uso de dispositivos móviles
(por ejemplo, robo de activos, uso de puntos de
acceso inalámbricos abiertos, etc.)?
Teletrabajo
1. ¿Existe una política de teletrabajo?
2. ¿Cuenta con la aprobación de la alta dirección?
A.6.2.2 3. ¿Existe un proceso establecido para que los
trabajadores a distancia puedan acceder?
4. ¿Reciben los teletrabajadores asesoramiento y
equipos para proteger sus bienes?
A.7 Seguridad de los recursos humanos
A.7.1 Antes del empleo
A.7.1.1 Proyección
1. ¿Se verifican los antecedentes de todos los nuevos
empleados antes de contratarlos?
2. ¿Estos controles están aprobados por la autoridad de
gestión competente?
3. ¿Cumplen los controles las leyes, reglamentos y
Página 3 de 30 04-11-16
27001:2013 Anexo A)
normas éticas pertinentes?

4. ¿El nivel de controles exigido está respaldado por
evaluaciones de riesgos empresariales?
A.7.1. Condiciones de empleo

2 1. ¿Se pide a todo el personal, contratistas y terceros
usuarios que firmen acuerdos de confidencialidad y
no divulgación?
2. ¿Cubren específicamente los contratos de trabajo o
de servicios la necesidad de proteger la información
empresarial?
A.7.2 Durante el empleo
A.7.2. Responsabilidades de gestión

1 1. ¿Los directivos (a todos los niveles) lideran las
cuestiones de seguridad en la empresa?
2. ¿El comportamiento de la dirección proporciona
liderazgo a todo el personal, contratistas y terceros
usuarios para aplicar la seguridad de acuerdo con
las políticas y procedimientos establecidos?
Concienciación, educación y formación en seguridad de

A.7.2. la información
Página 4 de 30 04-11-16
27001:2013 Anexo A)
2 ¿Recibe todo el personal, contratistas y terceros

usuarios una formación periódica de concienciación en
materia de seguridad adecuada a su papel y función
dentro de la organización?
Proceso disciplinario
A.7.2. 1. ¿Existe un proceso disciplinario formal que pueda
3 aplicarse al personal que haya cometido una
violación de la seguridad de la información?
2. ¿Se comunica esto a todo el personal?
A.7.3 Cese y cambio de empleo
A.7.3. Cese o cambio de responsabilidades laborales

1 1. ¿Existe un proceso formal documentado para el cese
o el cambio de funciones?
2. ¿Se comunican al empleado o contratista las
obligaciones de seguridad de la información
posteriores a la contratación?
3. ¿Puede la organización exigir el cumplimiento de los
deberes posteriores a la contratación?
A.8 Gestión de activos
A.8.1 Responsabilidad de los activos
A.8.1. Inventario de activos
Página 5 de 30 04-11-16
27001:2013 Anexo A)
1 1. ¿Existe un inventario de todos los activos asociados

a la información y al tratamiento de la información?
2. ¿Es exacto el inventario y se mantiene actualizado?
A.8.1. Propiedad de los activos

2 ¿Todos los activos de información tienen un propietario
claramente definido que conoce sus responsabilidades?
A.8.1. Uso aceptable de los activos

3 1. ¿Existe una política de uso aceptable para cada
clase / tipo de activo de información?
2. ¿Se informa a los usuarios de esta política antes de
su uso?
A.8.1. Devolución de activos

4 ¿Existe un proceso que garantice que todo el personal
y los usuarios externos devuelven los activos de la
organización al término de su relación laboral, contrato
o acuerdo?
A.8.2 Clasificación de la información
A.8.2. Clasificación de la información

1 1. ¿Existe una política de clasificación de la
información?
2. ¿Existe un proceso que permita clasificar
Página 6 de 30 04-11-16
27001:2013 Anexo A)
adecuadamente toda la información?
A.8.2. Etiquetado de la información

2 ¿Existe un proceso o procedimiento para garantizar que
la clasificación de la información está debidamente
marcada en cada activo?
A.8.2. Gestión de activos

3 1. ¿Existe un procedimiento para tratar cada
clasificación de la información?
2. ¿Se informa de este procedimiento a los usuarios de
los activos de información?
A.8.3 Tratamiento de los medios de comunicación
A.8.3.1 Gestión de soportes extraíbles Actualizar S-002 para :

1. ¿Existe una política que regule los soportes - e-drive, intercambio de archivos
extraíbles? - Política de privacidad para bloquear CD, USB
2. ¿Existe un proceso que regule la gestión de los - excepto en AD para los usuarios que tengan autorización para
soportes extraíbles? utilizar los siguientes adhesivos
3. ¿Se comunican la(s) política(s) y el(los) proceso(s) a
todo el personal que utiliza soportes extraíbles?
A.8.3.2 Eliminación de soportes
Página 7 de 30 04-11-16
27001:2013 Anexo A)
¿Existe un procedimiento formal que regule la

eliminación de los soportes extraíbles?
A.8.3.3 Transferencia de soportes físicos

1. ¿Existe una política y un proceso documentados que
detallen cómo deben transportarse los soportes
físicos?
2. ¿Están protegidos los medios de transporte contra el
acceso no autorizado, el uso indebido o la
corrupción?
A.9 Control de acceso
A.9.1 Requisitos empresariales para el control de acceso
A.9.1.1 Política de control de acceso

1. ¿Existe una política de control de acceso
documentada?
2. ¿Se basa la política en las necesidades de la
empresa?
3. ¿Se comunica adecuadamente la política?
A.9.1.2 Acceso a redes y servicios de red Usuario,pass pentru aplicatii

¿Existen controles para garantizar que los usuarios sólo OpenVPN con certificado SSL
tienen acceso a los recursos de red para los que han Politici AD, pentru filesharing
sido especialmente autorizados y que son necesarios
Página 8 de 30 04-11-16
27001:2013 Anexo A)
para el desempeño de sus funciones?
A.9.2 Gestión de acceso de usuarios
A.9.2.1 Alta y baja de usuarios AD, correo, imprimanta

¿Existe un proceso formal de registro de acceso de
usuarios?
A.9.2.2 Provisión de acceso de usuarios

¿Existe un proceso formal de aprovisionamiento de
acceso de usuarios para asignar derechos de acceso a
todos los tipos de usuarios y servicios?
A.9.2.3 Gestión de derechos de acceso privilegiados

¿Se gestionan y controlan por separado las cuentas de
acceso privilegiado?
A.9.2.4 Gestión de la información secreta de autenticación de AD: complexe, lungime 6 caractere, se schimba la 3 luni
los usuarios
¿Existe un proceso de gestión formal para controlar la
asignación de información secreta de autenticación?
A.9.2.5 Revisión de los derechos de acceso de los usuarios

1. ¿Existe un proceso para que los propietarios de
activos revisen periódicamente los derechos de
acceso a sus activos?
Página 9 de 30 04-11-16
27001:2013 Anexo A)
2. ¿Se verifica este proceso de revisión?
A.9.2.6 Supresión o ajuste de los derechos de acceso

¿Existe un proceso que garantice que los derechos de
acceso de los usuarios se eliminan al finalizar la
relación laboral o el contrato, o se ajustan al cambiar
de función?
A.9.3 Responsabilidades del usuario
A.9.3.1 Uso de información secreta de autenticación

1. ¿Existe un documento normativo sobre las prácticas
de la organización en cuanto al tratamiento de la
información secreta de autenticación?
2. ¿Se comunica esto a todos los usuarios?
A.9.4 Control de acceso a sistemas y aplicaciones
A.9.4.1 Restricción del acceso a la información

¿Está restringido el acceso a la información y a las
funciones del sistema de aplicación de acuerdo con la
política de control de acceso?
A.9.4.2 Procedimientos seguros de inicio de sesión

Cuando la política de control de acceso lo requiere, ¿se
controla el acceso mediante un procedimiento de inicio
de sesión seguro?
Página 10 de 30 04-11-16
27001:2013 Anexo A)
A.9.4.3 Sistema de gestión de contraseñas

1. ¿Son interactivos los sistemas de contraseñas?
2. ¿Se exigen contraseñas complejas?
A.9.4.4 Uso de programas de utilidades privilegiadas

¿Están restringidos y controlados los programas de
utilidades privilegiadas?
A.9.4.5 Control de acceso al código fuente del programa

¿Está protegido el acceso al código fuente del sistema
de control de acceso?
A.10 Criptografía
A.10.1 Controles criptográficos
A.10.1. Política de utilización de controles criptográficos VPN, site-uri: certificado SSL

1 ¿Existe una política sobre el uso de controles Bitlocker para todas las estaciones de trabajo
criptográficos?
A.10.1. Gestión de claves

2 ¿Existe una política que regule todo el ciclo de vida de
las claves criptográficas?
A.11 Seguridad física y medioambiental
Página 11 de 30 04-11-16
27001:2013 Anexo A)
A.11.1 Zonas seguras
A.11.1. Perímetro de seguridad física

1 1. ¿Hay un perímetro de seguridad designado?
2. ¿Las áreas de información sensible o crítica están
segregadas y adecuadamente controladas?
A.11.1. Controles físicos de entrada

2 ¿Disponen las zonas seguras de sistemas de control de
entrada adecuados para garantizar que sólo tiene
acceso el personal autorizado?
A.11.1. Seguridad de oficinas, salas e instalaciones

3 1. ¿Se han diseñado y configurado las oficinas, salas e
instalaciones teniendo en cuenta la seguridad?
2. ¿Existen procesos para mantener la seguridad (por
ejemplo, cierre con llave, mesas despejadas, etc.)?
A.11.1. Protección frente a amenazas externas y

4 medioambientales
¿Se han diseñado medidas de protección física para
evitar catástrofes naturales, ataques malintencionados
o accidentes?
A.11.1. Trabajar en zonas seguras

5 1. ¿Existen zonas seguras?
Página 12 de 30 04-11-16
27001:2013 Anexo A)
2. Cuando existen, ¿disponen las zonas seguras de

políticas y procesos adecuados?
3. ¿Se aplican y supervisan las políticas y procesos?
A.11.1. Zonas de entrega y carga

6 1. ¿Existen zonas de carga y descarga separadas?
2. ¿Se controla el acceso a estas zonas?
3. ¿El acceso desde las zonas de carga está aislado de
las instalaciones de tratamiento de la información?
A.11.2 Equipamiento
A.11.2. Emplazamiento y protección de los equipos

1 1. ¿Se identifican y tienen en cuenta los riesgos
medioambientales a la hora de seleccionar la
ubicación de los equipos?
2. ¿Se tienen en cuenta los riesgos de acceso no
autorizado / transeúntes a la hora de ubicar los
equipos?
A.11.2. Servicios de apoyo

2 1. ¿Hay un sistema SAI o un generador de reserva?
2. ¿Se han probado en un plazo adecuado?
A.11.2. Seguridad del cableado

3 1. ¿Se han realizado evaluaciones de riesgos sobre la
Página 13 de 30 04-11-16
27001:2013 Anexo A)
ubicación de los cables eléctricos y de

telecomunicaciones?
2. ¿Están ubicados para protegerlos de interferencias,
interceptaciones o daños?
A.11.2. Mantenimiento de los equipos Nu exista dovezi

4 ¿Existe un programa riguroso de mantenimiento de los
equipos?
A.11.2. Retirada de activos

5 1. ¿Existe un proceso que controle cómo se retiran los
activos del sitio?
2. ¿Se aplica este proceso?
3. ¿Se realizan controles aleatorios?
A.11.2. Seguridad de equipos y bienes fuera del recinto

6 1. ¿Existe una política que cubra la seguridad de los
activos fuera de las instalaciones?
2. ¿Se comunica ampliamente esta política?
A.11.2. Eliminación segura o reutilización de los equipos

7 1. ¿Existe una política que regule la reutilización de los
activos de información?
2. Cuando se borran datos, ¿se verifica
adecuadamente antes de reutilizarlos o eliminarlos?
Página 14 de 30 04-11-16
27001:2013 Anexo A)
A.11.2. Equipos de usuario desatendidos

8 1. ¿Dispone la organización de una política de
protección de los equipos desatendidos?
2. ¿Existen controles técnicos para asegurar los
equipos que se han dejado desatendidos por
descuido?
A.11.2. Política de escritorio y pantalla despejados

9 1. ¿Existe una política de mesas y pantallas
despejadas?
2. ¿Se aplica bien?
A.12 Seguridad de las operaciones
A.12.1 Procedimientos operativos y responsabilidades
A.12.1. Procedimientos operativos documentados

1 1. ¿Están bien documentados los procedimientos
operativos?
2. ¿Se ponen los procedimientos a disposición de todos
los usuarios que los necesiten?
A.12.1. Gestión del cambio

2 ¿Existe un proceso controlado de gestión del cambio?
A.12.1. Gestión de la capacidad
Página 15 de 30 04-11-16
27001:2013 Anexo A)
3 ¿Existe un proceso de gestión de la capacidad?
A.12.1. Separación de los entornos de desarrollo, pruebas y

4 operativo
¿Impone la organización la segregación de los entornos
de desarrollo, prueba y operativo?
A.12.2 Protección frente al malware
A.12.2. Controles contra el malware

1 1. ¿Existen procesos para detectar programas
maliciosos?
2. ¿Existen procesos para evitar la propagación de
programas maliciosos?
3. ¿Dispone la organización de un proceso y capacidad
para recuperarse de una infección por malware?
A.12.3 Copia de seguridad
A.12.3. Copia de seguridad de la información

1 1. ¿Existe una política de copias de seguridad
acordada?
2. ¿Cumple la política de copias de seguridad de la
organización con los marcos jurídicos pertinentes?
3. ¿Se realizan copias de seguridad de acuerdo con la
política?
Página 16 de 30 04-11-16
27001:2013 Anexo A)
4. ¿Se comprueban las copias de seguridad?
A.12.4 Registro y control
A.12.4. Registro de eventos

1 ¿Se mantienen y revisan periódicamente los registros
de sucesos adecuados?
A.12.4. Protección de la información de registro

2 ¿Están protegidas las instalaciones de registro contra
la manipulación y el acceso no autorizado?
A.12.4. Registros de administrador y operador

3 ¿Se mantienen, protegen y revisan periódicamente los
registros de los administradores y operadores del
sistema?
A.12.4. Sincronización de relojes ntp

4 ¿Todos los relojes de la organización
A.12.5 Control del software operativo
A.12.5. Instalación de software en sistemas operativos

1 ¿Existe un proceso para controlar la instalación de
software en los sistemas operativos?
A.12.6 Gestión técnica de la vulnerabilidad
Página 17 de 30 04-11-16
27001:2013 Anexo A)
A.12.6. Gestión de las vulnerabilidades técnicas

1 1. ¿Tiene la organización acceso a información
actualizada y oportuna sobre vulnerabilidades
técnicas?
2. ¿Existe un proceso para evaluar los riesgos y
reaccionar ante nuevas vulnerabilidades a medida
que se descubren?
A.12.6. Restricciones a la instalación de software

2 ¿Existen procesos para restringir la forma en que los
usuarios instalan el software?
A.12.7 Consideraciones sobre la auditoría de sistemas de información
Controles de auditoría de los sistemas de información

A.12.7. 1. ¿Están los sistemas de información sujetos a
1 auditoría?
2. ¿Garantiza el proceso de auditoría que se minimiza
la interrupción de la actividad empresarial?
A.13 Seguridad de las comunicaciones
A.13.1 Gestión de la seguridad de las redes
Controles de red Linux cu firewall, pe NAT

A.13.1. ¿Existe un proceso de gestión de la red? Switch-uri, cu VLAN-uri
1
Página 18 de 30 04-11-16
27001:2013 Anexo A)
icinga
Seguridad de los servicios de red Autentificación de servidores y usuarios personales

A.13.1. 1. ¿Implementa la organización un enfoque de gestión La bazele de date, se poate conecta doar pe de un IP anume
2 de riesgos que identifique todos los servicios de red
y acuerdos de servicio?
2. ¿Se exige la seguridad en los acuerdos y contratos
con los proveedores de servicios (internos y
externos)?
3. ¿Son obligatorios los SLA relacionados con la
seguridad?
Segregación en las redes VLAN-uri configurate pe switch-uri

A.13.1. ¿Aplica la topología de red la segregación de redes
3 para diferentes tareas?
A.13.2 Transferencia de información
A.13.2. Políticas y procedimientos de transferencia de

1 información
1. ¿Se rige la transferencia de información por
políticas organizativas?
2. ¿Se han puesto a disposición de todo el personal los
procedimientos para la transferencia de datos? 3.
¿Existen controles técnicos pertinentes para
impedir formas no autorizadas de transferencia de
Página 19 de 30 04-11-16
27001:2013 Anexo A)
datos?
A.13.2. Acuerdos sobre transferencia de información

2 ¿Detallan los contratos con partes externas y los
acuerdos dentro de la organización los requisitos para
asegurar la información empresarial en transferencia?
A.13.2. Mensajería electrónica Zimbra C

3 ¿Cubren las políticas de seguridad la transferencia de
información durante el uso de sistemas de mensajería
electrónica?
A.13.2. Acuerdos de confidencialidad o no divulgación

4 1. ¿Firman el personal, los contratistas y los agentes
acuerdos de confidencialidad o de no divulgación?
2. ¿Están estos acuerdos sujetos a revisión periódica?
3. ¿Se mantienen registros de los acuerdos?
A.14 Adquisición, desarrollo y mantenimiento de sistemas
A.14.1 Requisitos de seguridad de los sistemas de información
A.14.1. Análisis y especificación de los requisitos de seguridad

1 de la información
1. ¿Se especifican los requisitos de seguridad de la
información cuando se introducen nuevos sistemas?
Página 20 de 30 04-11-16
27001:2013 Anexo A)
2. Cuando se mejoran o actualizan los sistemas, ¿se

especifican y abordan los requisitos de seguridad?
A.14.1. Seguridad de los servicios de aplicaciones en redes

2 públicas
Las aplicaciones que envían información a través de
redes públicas, ¿protegen adecuadamente la
información contra actividades fraudulentas, litigios
contractuales, divulgación no autorizada y modificación
no autorizada?
A.14.1. Protección de las transacciones de los servicios de

3 aplicaciones
¿Existen controles para evitar la transmisión
incompleta, el encaminamiento erróneo, la alteración
no autorizada de mensajes, la divulgación no
autorizada, la duplicación no autorizada de mensajes o
los ataques de repetición?
A.14.2 Seguridad en los procesos de desarrollo y asistencia
A.14.2. Política de desarrollo segura

1 1. ¿La organización desarrolla software o sistemas?
2. En caso afirmativo, ¿existen políticas que obliguen a
implantar y evaluar los controles de seguridad?
A.14.2. Procedimientos de control de cambios del sistema
Página 21 de 30 04-11-16
27001:2013 Anexo A)
2 ¿Existe un proceso formal de control de cambios?
A.14.2. Revisión técnica de las aplicaciones tras los cambios

3 de plataforma operativa
¿Existe un proceso que garantice que se lleva a cabo
una revisión técnica cuando se cambian las
plataformas operativas?
A.14.2. Restricciones a los cambios en los paquetes de

4 software
¿Existe una política que establezca cuándo y cómo se
pueden cambiar o modificar los paquetes de software?
A.14.2. Principios de ingeniería de sistemas seguros

5 ¿Dispone la organización de principios documentados
sobre cómo deben diseñarse los sistemas para
garantizar la seguridad?
A.14.2. Entorno de desarrollo seguro

6 1. ¿Se ha establecido un entorno de desarrollo seguro?
2. ¿Todos los proyectos utilizan adecuadamente el
entorno de desarrollo seguro durante el ciclo de vida
de desarrollo del sistema?
A.14.2. Desarrollo externalizado

7 1. Cuando el desarrollo se ha externalizado, ¿se
Página 22 de 30 04-11-16
27001:2013 Anexo A)
supervisa?
2. ¿Se somete el código desarrollado externamente a
una revisión de seguridad antes de su despliegue?
A.14.2. Pruebas de seguridad del sistema

8 Cuando se desarrollan sistemas o aplicaciones, ¿se
comprueba su seguridad como parte del proceso de
desarrollo?
A.14.2. Pruebas de aceptación del sistema

9 ¿Existe un proceso establecido para aceptar nuevos
sistemas/aplicaciones, o actualizaciones, para su uso
en producción?
A.14.3 Datos de la prueba
A.14.3. Protección de los datos de las pruebas

1 1. ¿Existe un proceso para seleccionar los datos de las
pruebas?
2. ¿Se protegen adecuadamente los datos de las
pruebas?
A.15 Relaciones con los proveedores
A.15.1 Seguridad de la información en las relaciones con los proveedores
A.15.1. Política de seguridad de la información para las
Página 23 de 30 04-11-16
27001:2013 Anexo A)
1 relaciones con los proveedores

1. ¿Se incluye la seguridad de la información en los
contratos establecidos con proveedores y
prestadores de servicios?
2. ¿Existe un enfoque de gestión de riesgos en toda la
organización para las relaciones con los
proveedores?
A.15.1. Seguridad en los acuerdos con los proveedores

2 1. ¿Se facilitan a los proveedores requisitos de
seguridad documentados?
2. ¿Se controla y supervisa el acceso de los
proveedores a los activos y la infraestructura de
información?
A.15.1. Cadena de suministro de las tecnologías de la

3 información y la comunicación
¿Incluyen los acuerdos con los proveedores requisitos
para abordar la seguridad de la información dentro de
la cadena de suministro de servicios y productos?
A.15.2 Gestión de la prestación de servicios a proveedores
A.15.2. Seguimiento y revisión de los servicios de los

1 proveedores
¿Se someten los proveedores a revisiones y auditorías
Página 24 de 30 04-11-16
27001:2013 Anexo A)
periódicas?
A.15.2. Gestión de los cambios en los servicios de los

2 proveedores
¿Se someten los cambios en la prestación de servicios
a un proceso de gestión que incluya la evaluación de la
seguridad y los riesgos?
A.16 Gestión de incidentes de seguridad de la información
A.16.1 Gestión de incidentes y mejoras en la seguridad de la información
A.16.1. Responsabilidades y procedimientos

1 ¿Están las responsabilidades de gestión claramente
identificadas y documentadas en los procesos de
gestión de incidentes?
A.16.1. Notificación de incidentes relacionados con la

2 seguridad de la información
1. ¿Existe un proceso para la notificación oportuna de
sucesos relacionados con la seguridad de la
información?
2. ¿Existe un proceso para revisar los incidentes de
seguridad de la información notificados y actuar en
consecuencia?
Página 25 de 30 04-11-16
27001:2013 Anexo A)
A.16.1. Notificación de fallos de seguridad de la información

3 1. ¿Existe un proceso de notificación de los puntos
débiles identificados en materia de seguridad de la
información?
2. ¿Se comunica ampliamente este proceso?
3. ¿Existe un proceso para revisar y abordar los
informes de manera oportuna?
A.16.1. Evaluación de sucesos relacionados con la seguridad

4 de la información y toma de decisiones al respecto
¿Existe un proceso que garantice que los sucesos
relacionados con la seguridad de la información se
evalúan y clasifican adecuadamente?
A.16.1. Respuesta a incidentes de seguridad de la información

5 ¿Existe un proceso de respuesta a incidentes que
refleje la clasificación y gravedad de los incidentes de
seguridad de la información?
A.16.1. Aprender de los incidentes de seguridad de la

6 información
¿Existe un proceso o marco que permita a la
organización aprender de los incidentes de seguridad
de la información y reducir el impacto / probabilidad de
futuros sucesos?
Página 26 de 30 04-11-16
27001:2013 Anexo A)
A.16.1. Recogida de pruebas

7 1. ¿Existe una política de preparación forense?
2. En caso de incidente relacionado con la seguridad
de la información, ¿se recogen los datos pertinentes
de forma que puedan utilizarse como prueba?
A.17 Aspectos de seguridad de la información en la gestión de la continuidad de las actividades
A.17.1 Continuidad de la seguridad de la información
A.17.1. Planificación de la continuidad de la seguridad de la

1 información
¿Se incluye la seguridad de la información en los planes
de continuidad de la organización?
A.17.1. Continuidad de la seguridad de la información

2 ¿La función de seguridad de la información de la
organización tiene procesos documentados,
implantados y mantenidos para mantener la
continuidad del servicio durante una situación adversa?
A.17.1. Verificar, revisar y evaluar la continuidad de la

3 seguridad de la información
¿Se validan y verifican los planes de continuidad a
intervalos regulares?
A.17.2 Despidos
Página 27 de 30 04-11-16
27001:2013 Anexo A)
A.17.2.1 Disponibilidad de instalaciones de tratamiento de la

información
¿Tienen las instalaciones de procesamiento de la
información suficiente redundancia para cumplir los
requisitos de disponibilidad de la organización?
A.18 Conformidad
A.18.1 Cumplimiento de los requisitos legales y contractuales
A.18.1.1 Identificación de la legislación y los requisitos

contractuales aplicables
1. ¿Ha identificado y documentado la organización
todos los requisitos legislativos, reglamentarios o
contractuales pertinentes relacionados con la
seguridad?
2. ¿Está documentado el cumplimiento?
A.18.1.2 Derechos de propiedad intelectual

1. ¿Mantiene la organización un registro de todos los
derechos de propiedad intelectual y del uso de
productos de software patentados?
2. ¿Vigila la organización el uso de software sin
licencia?
Página 28 de 30 04-11-16
27001:2013 Anexo A)
A.18.1.3 Protección de documentos

¿Se protegen los registros de pérdidas, destrucción,
falsificación y acceso no autorizado o divulgación de
acuerdo con los requisitos legislativos, reglamentarios,
contractuales y empresariales?
A.18.1.4 Privacidad y protección de datos personales

1. ¿Se identifican y clasifican adecuadamente los datos
personales?
2. ¿Se protegen los datos personales de acuerdo con la
legislación pertinente?
A.18.1.5 Regulación de los controles criptográficos

¿Están protegidos los controles criptográficos de
conformidad con todos los acuerdos, legislación y
reglamentos pertinentes?
A.18.2 Revisiones de la seguridad de la información
A.18.2.1 Revisión independiente de la seguridad de la

información
1. ¿Se somete el enfoque de la organización en materia
de gestión de la seguridad de la información a
revisiones periódicas independientes?
2. ¿Se somete la aplicación de los controles de
seguridad a revisiones periódicas independientes?
Página 29 de 30 04-11-16
27001:2013 Anexo A)
A.18.2.2 Cumplimiento de las políticas y normas de seguridad

1. ¿Instruye la organización a los directivos para que
revisen periódicamente el cumplimiento de la
política y los procedimientos dentro de su área de
responsabilidad?
2. ¿Se mantienen registros de estas revisiones?
A.18.2.3 Revisión de la conformidad técnica

¿Realiza la organización periódicamente revisiones de
conformidad técnica de sus sistemas de información?
Página 30 de 30 04-11-16

Preguntas de La Lista de Verificación de Auditoría Interna: Controles IsMS

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Preguntas de La Lista de Verificación de Auditoría Interna: Controles IsMS

Cargado por

Copyright:

Formatos disponibles

<Nombre corto> Preguntas de auditoría interna - Controles de riesgos del SGSI (ISO

A.5 Políticas de seguridad de la información

A.5.1 Dirección de la seguridad de la información

A.5.1.1 Políticas de seguridad de la información

A.5.1.2 Revisión de las políticas de seguridad de la información

A.6 Organización de la seguridad de la información

A.6.1 Organización interna

A.6.1.1 Funciones y responsabilidades en materia de seguridad

A.6.1.2 Segregación de funciones

A.6.1.3 Contacto con las autoridades

Contacto con grupos de interés

Seguridad de la información en la gestión de proyectos

A.6.2 Dispositivos móviles y teletrabajo

A.6.2.1 Política de dispositivos móviles

2. ¿Cuenta la política con la aprobación de la alta

A.7 Seguridad de los recursos humanos

A.7.1 Antes del empleo

normas éticas pertinentes?

A.7.1. Condiciones de empleo

A.7.2 Durante el empleo

A.7.2. Responsabilidades de gestión

Concienciación, educación y formación en seguridad de

2 ¿Recibe todo el personal, contratistas y terceros

A.7.3 Cese y cambio de empleo

A.7.3. Cese o cambio de responsabilidades laborales

A.8 Gestión de activos

A.8.1 Responsabilidad de los activos

A.8.1. Inventario de activos

1 1. ¿Existe un inventario de todos los activos asociados

A.8.1. Propiedad de los activos

A.8.1. Uso aceptable de los activos

A.8.1. Devolución de activos

A.8.2 Clasificación de la información

A.8.2. Clasificación de la información

adecuadamente toda la información?

A.8.2. Etiquetado de la información

A.8.2. Gestión de activos

A.8.3 Tratamiento de los medios de comunicación

A.8.3.1 Gestión de soportes extraíbles Actualizar S-002 para :

A.8.3.2 Eliminación de soportes

¿Existe un procedimiento formal que regule la

A.8.3.3 Transferencia de soportes físicos

A.9 Control de acceso

A.9.1 Requisitos empresariales para el control de acceso

A.9.1.1 Política de control de acceso

A.9.1.2 Acceso a redes y servicios de red Usuario,pass pentru aplicatii

para el desempeño de sus funciones?

A.9.2 Gestión de acceso de usuarios

A.9.2.1 Alta y baja de usuarios AD, correo, imprimanta

A.9.2.2 Provisión de acceso de usuarios

A.9.2.3 Gestión de derechos de acceso privilegiados

A.9.2.5 Revisión de los derechos de acceso de los usuarios

2. ¿Se verifica este proceso de revisión?

A.9.2.6 Supresión o ajuste de los derechos de acceso

A.9.3 Responsabilidades del usuario

A.9.3.1 Uso de información secreta de autenticación

A.9.4 Control de acceso a sistemas y aplicaciones

A.9.4.1 Restricción del acceso a la información

A.9.4.2 Procedimientos seguros de inicio de sesión

A.9.4.3 Sistema de gestión de contraseñas

A.9.4.4 Uso de programas de utilidades privilegiadas

A.9.4.5 Control de acceso al código fuente del programa