ISO27k Guideline On ISMS Audit V2.en - Es

Toolkit ISO27k
ISMS Directriz de Auditoría

Versión 2, 2017
Genérica, orientación pragmática para la auditoría

del sistema de gestión de seguridad de la
información ISO27k de una organización, cubriendo
boththe sistema de gestión yLA controles de
seguridad de la información.
Una plantilla para el uso de auditoría interna por

los auditores de TI, escrito por y para los
profesionales.
Complementa el ISO27k (/ IEC 27000 de la serie

ISO) las normas internacionales sobre seguridad de
Toolkit ISO27k ISMS auditoría directriz v2
Sistema de Gestión de Seguridad de la Información

Guía de auditoría
Elaborado por los profesionales de la Foro ISO27k
La versión 2 de agosto de 2017
Contenido
1. Introducción 5
2. Alcance y propósito de esta guía 5
3. referencias 5
4. Términos y definiciones 6
5. Principios de la auditoría 7
6. gestión de auditoría 8
6.1 La gestión del programa de auditoría ISMS 8
6.2 Administración de una auditoría ISMS 8
7. El proceso de auditoría 9
7.1 Evaluación del alcance y encuesta pre-auditoría 9
7.2 Auditoría de planificación y preparación 10
trabajo de campo 7.3 Auditoría 10
análisis 7.4 Auditoría 11
7,5 informes de auditoría 11
cierre 7.6 Auditoría 13
8. Competencia y evaluación de auditores 13
competencia 8.1 Auditor 13
8.2 Demostración de la competencia del auditor 14
9. Control de documentos 15
9.1 Autores 15
9.2 Historia 15
9.3 Evaluación 15
9.4 Derechos de autor 15
Copyright © Foro ISO27k, 2017 1 |P á g i n a

Apéndice A - seguridad de la información genérica lista de comprobación dieciséis

Introducción dieciséis
A.5. las políticas de seguridad de la información 17
A.6. Organización de la seguridad de la información 17
A.6.1 organización interna 17
A.6.2 dispositivos móviles y el teletrabajo 19
A.7. la seguridad de los recursos humanos 19
A.7.1 Antes de empleo 19
A.7.2 Durante el empleo 19
Terminación A.7.3 y cambio de empleo 20
A.8. Gestión de activos 20
Responsabilidad A.8.1 para los activos 20
Clasificación de la información A.8.2 22
A.8.3 manejo de medios 22
El control de acceso A.9 23
A.9.1 requisitos comerciales de control de acceso 23
gestión de acceso del usuario A.9.2 23
A.9.3 responsabilidades de los usuarios 24
Sistema A.9.4 y control de acceso de aplicaciones 25
A.10. Criptografía 25
10.1 Controles criptográficos 25
A.11. La seguridad física y ambiental 26
Las áreas seguras A.11.1 26
Equipo A.11.2 27
A.12. seguridad de las operaciones 29
Procedimientos operacionales A.12.1 y responsabilidades 29
Protección contra el malware A.12.2 30
A.12.3 de copia de seguridad 31
Registro y monitoreo A.12.4 31
A.12.5 control del software operativo 32
A.12.6 Gestión técnica vulnerabilidad 32
consideraciones de auditoría de sistemas de información A.12.7 32
A.13. seguridad de las comunicaciones 33
A.13.1 gestión de la seguridad de la red 33
La transferencia de información A.13.2 33
A.14. Sistema de adquisición, desarrollo y mantenimiento 34

A.14.1 requisitos de seguridad de los sistemas de información 34
A.14.2 Seguridad en los procesos de desarrollo y soporte 34
Los datos de prueba A.14.3 36
A.15. relaciones con los proveedores 36
Seguridad de la información A.15.1 en relaciones con los proveedores 36
la gestión de la prestación de servicios del proveedor A.15.2 37
A.16. gestión de incidentes de seguridad de información 37
A.16.1 Gestión de incidentes de seguridad de la información y mejoras 37
A.17. la gestión de la continuidad del negocio (según ISO 22301) 39
A.17.1 continuidad de negocios 39
Las redundancias A.17.2 39
A.18. Conformidad 40
El cumplimiento de los requisitos legales A.18.1 y contractuales 40
Información A.18.2 revisiones de seguridad 41
Apéndice B - Gestión de ISMS Genérico lista de control de auditoría del sistema 42

Introducción 42
B.4. Contexto de la organización 43
B.4.1 La comprensión de la organización y su contexto 43
B.4.2 La comprensión de las necesidades y expectativas de las partes interesadas 43
Sistema de Gestión de Seguridad de la Información B.4.4 43
B.5. Liderazgo 44
B.5.1 liderazgo y compromiso 44
política B.5.2 44
B.5.3 organización funciones, responsabilidades y autoridades 45
B.6. Planificación 45
B.6.1 acciones para hacer frente a los riesgos y oportunidades 45
los objetivos de seguridad de información B.6.2 y la planificación para alcanzarlos 46
B.7. Apoyo 46
Recursos B.7.1 46
B.7.2 Competencia 46
conciencia B.7.3 47
Comunicación B.7.4 47
B.7.5 Información documentada 47
B.8. Operación 48
la planificación y el control operacional B.8.1 48

evaluación de riesgos seguridad de la información B.8.2 48
tratamiento del riesgo seguridad de la información B.8.3 48
B.9. Evaluación del desempeño 49
Monitoreo B.9.1, medición, análisis y evaluación 49
B.9.2 auditoría interna 49
Revisión por la dirección B.9.3 50
B.10. Mejora 50
B.10.1 No conformidad y acciones correctivas 50
La mejora continua B.10.2 51

1. Introducción
Esta directriz de auditoría del Sistema de Gestión de Seguridad es mantenida por los miembros de la Foro
ISO27k a ISO27001security.com, Una comunidad internacional de los profesionales que están utilizando
activamente la norma ISO / IEC 27000-familia de normas de SGSI conocidos coloquialmente como
"ISO27k".
Escribimos este inicialmente en 2008 para contribuir al desarrollo de la norma ISO / IEC 27007,
proporcionando lo que nosotros, como ejecutores de ISMS experimentados y los auditores de TI / ISMS,
que se cree que el contenido de mérito. Un objetivo secundario era proporcionar una orientación
pragmática y útil para quienes participan en la auditoría SGSI.
Desde entonces, la norma ISO / IEC 27007 ha sido publicada. Otras normas ISO27k se han revisado, así, por
lo que la guía se actualizó a fondo en 2017.
El cuerpo principal de esta guía se refiere al propósito y el proceso de auditoría. Apéndice A es una lista de
control (un conjunto genérico de las pruebas de auditoría) para auditar los controles de seguridad de la
información siendo gestionado por el SGSI. Apéndice B es una lista de verificación para la auditoría del
sistema de gestión propio.
2. Alcance y propósito de esta guía

Esta guía proporciona consejos generales para la revisión de los auditores de TI SGSI en contra de la
normas ISO27k, principalmente ISO / IEC 27001:2013 (la norma de certificación que especifica el sistema
de gestión) y ISO / IEC 27002:2013 (el código de la práctica de recomendar una serie de controles de
seguridad de la información).
Esta guía está especialmente dirigido a aquellos que realizan auditorías internasNotas del SGSIexplicativas,
y de gestión
evaluaciones - no las auditorías de certificación formal. La orientación debe serconsejos
interpretado o adaptarse
y advertencias se a
las situaciones específicas. Las auditorías son normalmente basado en el riesgo, proporcionando
encuentran dispersas en una
prioridad natural para el trabajo de auditoría ISMS que refleja los requerimientos del negocio
la guía en los para el riesgo
cuadros de
de la información y la gestión de la seguridad. texto.
3. referencias
Por favor refiérase a:
 ISO / IEC 27000: 2016Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de
seguridad de información - Información general y vocabulario. Esta norma libre proporciona una visión
general de ISO27k y define formalmente muchos términos técnicos utilizados en las normas.
 ISO / IEC 27001: 2013 Tecnología de la información - Técnicas de seguridad - requisitos del sistema de
gestión de seguridad de la información. Esta es la especificación formal de un SGSI contra la cual las
organizaciones pueden ser certificados compatible. Sección 6 introduce la necesidad de 'SGSI
Auditorías internas' y establece brevemente los principales requisitos para los procedimientos de
auditoría. Sección 7 también identifica la necesidad de revisiones periódicas de gestión (al menos
anuales) del SGSI. Aparte de los controles enumerados en el anexo A, estos son requisitos obligatorios
para las organizaciones certificadas. Incluso si la organización implementa un conjunto alternativo de

control, los controles elegidos deben ser verificados contra los enumerados en el anexo A de la
relevancia e integridad.
 ISO / IEC 27002: 2013 Tecnología de la información - Técnicas de seguridad - Código de prácticas para
los controles de seguridad de la información. Se expande sustancialmente en la norma ISO / IEC 27001
Anexo A.
 ISO / IEC 27003: 2017 Tecnología de la información - Técnicas de seguridad - la información del
sistema de gestión de seguridad - Orientación. Además, una guía práctica sobre el diseño e
implementación de un SGSI viables.
 ISO / IEC 27004: 2016Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la
información - Seguimiento, medición, análisis y evaluación. Orientación sobre la selección / desarrollo
y uso de métricas para gestionar el riesgo de la información y seguridad de forma racional y
proporcional.
 ISO / IEC 27006: 2015 Tecnología de la información - Técnicas de seguridad - Requisitos para los
organismos que realizan la auditoría y certificación de sistemas de gestión de seguridad de la
información. criterios formales de acreditación para los organismos de certificación que realizan
auditorías de cumplimiento estricto según la norma ISO / IEC 27001.
 ISO / IEC 27007: 2011Tecnología de la información - Técnicas de seguridad - Directrices para los
sistemas de gestión de seguridad de la información de auditoría. Una guía para los organismos
acreditados de certificación, los auditores internos, auditores externos del partido / terceros y otras
personas que llevan a cabo la auditoría de cumplimiento de las piezas del sistema de gestión de SGSI
según la norma ISO / IEC 27001.
 ISO / IEC TR 27008: 2011Tecnología de la información - Técnicas de seguridad - Directrices para los
auditores sobre los controles de seguridad de la información. Guías para auditores internos y otros
auditoría o revisión de los aspectos de seguridad de información de SGSI.
 ISO / IEC 27017: 2015Tecnología de la información - Técnicas de seguridad - Código de prácticas para
los controles de seguridad de la información en base a la norma ISO / IEC 27002 para los servicios en la
nube. Cubre los controles de seguridad de información para la computación en nube.
 Otras normas relacionadas y ISO27k . Esta suite creciente de las normas relacionadas con el ISMS
ofrece una gran cantidad de consejos sobre riesgos de la información y la seguridad, la seguridad
cibernética, seguridad en la nube, continuidad de negocio (por ejemplo, ISO 22301) y otros temas.
 ISO / IEC 17021-1: 2015 Evaluación de la conformidad - Requisitos para los organismos que realizan la
auditoría y certificación de sistemas de gestión - Parte 1: Requisitos. Orientación sobre las auditorías
de cumplimiento por los organismos de certificación (auditorías “tercero”).
 ISO 19011: 2011 Directrices para los sistemas de gestión de auditoría. Orientación sobre las auditorías
internas ( “primera parte”) y auditorías de proveedores ( “segunda parte”).
 los Preguntas TI Auditoría tiene consejos generales sobre la realización de las auditorías de TI, las
cualificaciones y las competencias del auditor, proceso de auditoría, etc.
 ISACA ofrece orientación profesional y apoyo a los profesionales de auditoría de TI.
 los Instituto de Auditor Internos apoya los auditores internos de todo tipo.
4. Términos y definiciones
La mayoría de ISMS relacionados con los términos utilizados en esta guía y en las normas relacionadas se
definen en la norma ISO / IEC 27000 e ISO 19011. específico de TI y ISMS se definen los términos
relacionados con la auditoría aquí para mayor claridad, ya que se interpretan y se utilizan en esta guía:

 Auditoría- el proceso por el cual un sujeto de auditoría se revisa de forma independiente e informó
acerca de una o más competentes auditores en nombre de los interesados. Auditoría es un proceso
sistemático, independiente, formal, estructurado y documentado para obtener evidencia de auditoría
y pruebas objetivamente para determinar el grado en que se cumplen los criterios de auditoría;
 auditoría lista - un cuestionario estructurado o plan de trabajo para guiar a los auditores en probar el
tema de auditoría;
 Los criterios de auditoría- se utiliza como referencia para la auditoría. Puede incluir requisitos u
objetivos que el SGSI debe cumplir (por ejemplo, el cumplimiento de las normas pertinentes ISO27k,
políticas y procedimientos corporativos, leyes y regulaciones, obligaciones contractuales, etc.) y los
problemas o anti-metas que el SGSI debe evitar (por ejemplo, las ineficiencias tales como excesiva
costes de las empresas y actividades inapropiadas, innecesarios o ineficaces);
 Pruebas de auditoría - verificable, información basada en hechos obtenida de la zona objeto de la
auditoría como la documentación escrita (por ejemplo, políticas, impresiones de computadora,
formularios completos, informes), notas de entrevistas o grabaciones y otras observaciones (por
ejemplo, fotografías de cuestiones de seguridad física);
 hallazgo de auditoría - Resumen del auditor / descripción y análisis de un riesgo de la información
inadecuada mitigado;
 observación de los auditores (También llamado oportunidad de mejora) - consejos que lleva menos
peso que una recomendación de la auditoría, como una sugerencia que - si se ignoran - puede
conducir a una no conformidad o algún otro impacto en el negocio (por ejemplo, sub-óptima procesos
o sistemas);
 plan de auditoría o programa - un plan de proyecto para una auditoría que pone a cabo las principales
actividades de auditoría y su calendario;
 recomendación de la auditoría - una acción correctiva que se propone abordar las conclusiones de
una o más identificado auditoría, que debe ser tratado antes de la certificación o recertificación del
SGSI;
 informe de auditoría- un informe oficial a la gestión de la documentación de los resultados y
conclusiones de la auditoría. Por lo general, un documento escrito, sino también pueden implicar una
presentación y discusión;
 El riesgo de auditoría - la posibilidad de una auditoría para dejar de cumplir sus objetivos, por ejemplo
mediante el uso de información poco fiable, incompleta o inexacta, o en su defecto para hacer frente a
problemas significativos en profundidad suficiente;
 calendario de auditorías - un diario de auditorías planificadas;
 Alcance de la auditoría o sujeto - La organización / s, o partes de una organización, que están siendo
auditados;
 prueba de auditoría - una verificación llevada a cabo por el auditor para verificar si un control es
eficaz, eficiente y adecuada para mitigar uno o más información riesgos;
 papeles de trabajo de auditoría - información escrita y recopilada por el auditor de grabar sus
exámenes, los resultados y el análisis del SGSI, tales como listas de verificación completadas;
 Auditoría de cumplimiento - un tipo de auditoría diseñado específicamente para evaluar el grado en
que los auditores satisface sujetos afirmaron requisitos;
 auditoría ISMS - una auditoría centrada en un Sistema de Gestión de Seguridad de la Información;
 auditoría basado en riesgos - una auditoría planificada y llevada a cabo sobre la base de una
evaluación de riesgos - específicamente los riesgos de información en el contexto ISO27k, además de
la auditoría y otros riesgos, como la salud y la seguridad;

 trabajadores - un término deliberadamente vago incluye a los empleados a tiempo completo y parte
de la organización (personal y los directores), además de los contratistas, consultores, asesores,
mantenimiento y soporte técnicos, temps, pasantes / estudiantes y otras personas que trabajan
directamente en, por y / o bajo el control de la organización.
5. Principios de la auditoría
ISO 19011 sección 4 cubre los principios de la auditoría en general,Laincluyendo importantes
independencia principios
es tanto sobre el
genéricos de auditoría, por ejemplo, una evaluación independiente deestado
los criterios
del auditor de la mentede
acordados, además
los principios más específicos dirigidos a las auditorías de sistemascomode gestión.
las En relaciones
todos los asuntos
de
relacionados con la auditoría, el auditor debe ser independiente tanto en actitud
dependencia: como en apariencia.
objetivo,La
función de auditoría o el equipo deben ser independientes de la zona opensamiento
actividad que está
racional, revisados
siendo crítico
para permitir llevar a cabo el objetivo de la asignación de auditoría. permite al auditor cuenta de las
cosas que otros no, o ignoran.
6. gestión de auditoría
6.1 La gestión del programa de auditoría ISMS

La gestión de un programa de auditorías ISMS consiste en la planificación, control y seguimiento /
supervisión que, a través de actividades tales como:
 Priorización, planificación y delinear el alcance de las auditorías de SGSI individuales dentro del
programa de trabajo global de auditoría, tal vez la combinación de todo el ámbito auditorías ISMS
superficial con auditorías más centrado fuertemente ir a mayor profundidad en las áreas de especial
interés (por ejemplo, problemas de larga data o riesgos significativos);
 La asignación de recursos adecuados para llevar a cabo auditorías planeado y aprobado (por ejemplo,
asegurar que los auditores ISMS están capacitados, competentes y motivados para hacer el trabajo a
un nivel de calidad requerido);
 Organizar o coordinar las auditorías de SGSI en organizaciones multi-sitio, incluyendo las
multinacionales y las estructuras de grupo '', donde las comparaciones entre el SGSI en
funcionamiento dentro de las unidades de negocios individuales pueden ayudar a compartir y
promover las buenas prácticas;
 La auditoría del SGSI de las segundas partes, tales como proveedores y socios comerciales (nota: ISO /
IEC 27001 de una segunda parte de un organismo de certificación acreditado puede o no puede
proporcionar la seguridad suficiente en todos los ámbitos de interés, por ejemplo, puede haber
importantes riesgos de la información o las implicaciones de cumplimiento derivados de los servicios
de información proporcionados, o incidentes e inquietudes pueden indicar problemas que merecen la
exploración).
6.2 Administración de una auditoría ISMS

Cada auditoría ISMS se gestiona todo el proceso se muestra en la sección 7. Las actividades de gestión de
auditoría incluyen:
 Conseguir el apoyo de la administración para llevar a cabo el SGSI de auditoría tal como se propone en
líneas generales, con su acuerdo, en principio, y la autoridad para proceder a la determinación del

alcance y la planificación detallada (que puede conducir a un paso más allá de autorización, una vez
finalizado);
 Supervisar, orientar, motivar y apoyar a los auditores, lo que garantiza que siguen prácticas aceptadas
de auditoría, la realización de revisiones de archivos y proyectos de corrección informes;
 La revisión y conclusiones sin fundamento o notables desafiantes por ejemplo, el papel de abogado del
diablo para explorar la evidencia, la profundidad del análisis y la naturaleza de los problemas;
proponer explicaciones alternativas y recomendaciones potenciales; ayudando a los auditores evalúan
los riesgos en el contexto de los negocios;
 Tratar con los problemas que ponen en peligro la asignación de auditoría tales como problemas
interpersonales, falta de compromiso, retrasos, la renuencia o negativa a suministrar información
esencial etc (problemas pueden ser elevadas o se intensificaron por cualquier persona involucrada en
el proceso);
 Servir de enlace con la dirección, quizá proporcionando actualizaciones provisionales y establecer
expectativas para la fase de presentación de informes de auditoría.
7. El proceso de auditoría
Mientras que los nombres y datos de fase varían, las tareas de auditoría típicamente siguen una secuencia
lógica a lo largo de estas líneas:
Iteración es común, por ejemplo donde el análisis o la presentación de

informes requiere evidencia adicional, más el trabajo de campo se puede
realizar.
7.1 Evaluación del alcance y encuesta pre-auditoría

Durante esta fase, los auditores ISMS determinan las principales zona / s de enfoque de la auditoría y las
áreas que son explícitamente fuera de su alcance, normalmente basadas en una evaluación basada en el
riesgo inicial más discusión con los que encargó la auditoría ISMS.
Las fuentes de información incluyen: investigación general sobre la industria y la organización, además de
las normas ISO27k y buenas prácticas de seguridad, auditoría ISMS anterior y los informes de revisión por
la dirección (y otros cuando sea pertinente), y los documentos ISMS tales como la Declaración de
aplicabilidad, Plan de Tratamiento de Riesgos y políticas ISMS.
ISMS auditores deben asegurar que el alcance de la auditoría 'tiene sentido' en relación con la
organización. Normalmente debe coincidir con el alcance del SGSI. Por ejemplo, las grandes organizaciones
con múltiples divisiones o unidades de negocio pueden tener de ISMS separadas, una que todo lo abarca
ISMS, o alguna combinación de toda la empresa de ISMS locales y centralizadas. Si el ISMS cubre toda la
organización, los auditores pueden necesitar revisar el SGSI en funcionamiento en todo - o al menos una
muestra representativa de - lugares de negocios, tales como la sede y una selección de discretas unidades
de negocio, departamentos, etc., de los sitios su elección.
Los auditores deben prestar especial atención a los riesgos de información y controles de seguridad
Esto debería ser más fácil cuando
asociados a canales de información a otras entidades (organizaciones, unidades de negocio, etc.) que se
las entidades de fuera de alcance
encuentran fuera del alcance del SGSI, por ejemplo, la comprobación de la adecuación de las cláusulas
mismos han sido certificados
relacionadas con la seguridad de la información en el nivel de servicio acuerdos o contratos con
según ISO / IEC 27001.
proveedores de servicios de TI.
Durante la encuesta previa a la auditoría, los auditores ISMS identificar e idealmente hacen contacto con
las principales partes interesadas en el SGSI, como el CISO, riesgos de la información y la gerente de
seguridad / s y figuras influyentes, como el CIO y CEO, además de otros profesionales como la seguridad
arquitectos y administradores de seguridad; TI, recursos humanos, instalaciones y profesionales de la
seguridad física; ISMS desarrolladores e implementadores ... tal vez tomando la oportunidad de solicitar la
documentación pertinente, etc., que serán revisados durante la auditoría.
Gestión normalmente designa a una o varias de auditoría “escoltas” - personas que son responsables de
asegurar que los auditores pueden moverse libremente sobre la organización y rápidamente encontrar a
las personas, información, etc. necesarios para llevar a cabo su trabajo, actuando como guías, los
facilitadores y los puntos de gestión de enlace .
El resultado principal de esta fase es un ISMS alcance de la auditoría, la carta, la carta de compromiso o
similares, acordado entre los auditores y la gestión de clientes. También se obtienen listas de contactos y
otros documentos preliminares y los archivos de auditoría se abren para contener la documentación
(papeles de trabajo de auditoría, pruebas, notas, comentarios, informes preliminares y finales, etc.) que
surjan de la auditoría.
7.2 Auditoría de planificación y preparación

El alcance ISMS acordadas se descompone en mayor detalle, típicamente mediante la generación de una
lista de control de auditoría ISMS (consulte los apéndices para dos ejemplos detallados pero genéricos).
La sincronización global y los recursos de la auditoría es negociados y acordados por la gestión tanto de la
organización que está siendo auditada y los auditores ISMS, en la forma de un plan de auditoría o el
horario. técnicas de planificación de proyecto convencionales (tales como gráficos de Gantt que muestra
fases, duraciones, hitos, etc.) son útiles.
Los planes de auditoría identifican y ponen límites amplios alrededor de las fases restantes de la auditoría
(por ejemplo, escalas de tiempo). Es común en esta etapa para hacerLas listas preliminares
reservas de control enpara
estaladirectriz
reunión
no están destinados a ser utilizados
formal / discusión informe de auditoría, debido al final de la auditoría para permitir a los participantes de
alto nivel para programar su asistencia. sin la debida consideración y
modificación. Esto es simplemente
Planes de auditoría a menudo también incluyen “puntos de control”una - oportunidades
guía. específicas
Los para los
auditores
auditores para proporcionar actualizaciones provisionales informales a sus contactos
normalmente generan de gestión,
listas de
incluyendo la notificación previa de cualquier observado inconsistencias o no conformidades potenciales,
control personalizados que reflejan
etc. Estos también son oportunidades para plantear cualquier preocupación
el alcancesobre el escaso
y la escala acceso del
específicos a la
información o las personas y para la gestión de plantear cualquierSGSI preocupación por que
en particular la naturaleza
esté siendo del
trabajo de auditoría. Mientras que los auditores son necesariamenteauditada,
independientes, deben establecer
teniendo en cuenta los un
nivel de confianza y un ambiente de trabajo cooperativo con el finrequisitos
de participar suficienteque
pertinentes y obtener
ya sonla
información necesaria para auditar el SGSI. enfoque profesional, competencia
evidentese integridad
en estasonetapacruciales.
(por
ejemplo, las leyes relacionadas con
Copyright © Foro ISO27k, 2017 seguridad de la 10 información,
|P á g i n a
reglamentos y normas que se
conocen comúnmente en la
Por último, el momento de importantes elementos de trabajo de auditoría se puede determinar, en
particular con el fin de dar prioridad a los aspectos que se cree que representan los mayores riesgos para la
organización si los ISMS se encuentran para ser insuficiente.
El resultado de esta fase es la (personalizado) lista de control de auditoría y un plan de auditoría acordado
con la dirección.
trabajo de campo 7.3 Auditoría

Esta es generalmente la fase más larga de una auditoría Aunque la notificación también puede ser muy
largo.
Durante el trabajo de campo de auditoría, evidencia de auditoría es recogida pordeel control
listas auditor de
/ s de trabajo
auditoría
metódicamente a través de la lista de comprobación, por ejemplo, entrevistas al personal,
pueden gerentes y otros
ser modificados aún
interesados que se relacionan con el SGSI, la revisión de documentos de ISMS, las impresiones y los
más durante el transcurso de datos
(incluyendo registros de las actividades de ISMS como la seguridad las revisiones
auditorías por de registros),
ejemplo, si lasla
observación de los procesos de ISMS en acción y comprobar las configuraciones
áreas de seguridad del sistema,
previamente
etc. las pruebas de auditoría se realizan para evaluar y validar los datosUnderappreciated
ya que se recoge. papelesde de
trabajo de auditoría se preparan, la documentación de las pruebas realizadas, las pruebas
preocupación obtenidas
salen y los
a la luz, o
resultados iniciales. si es apropiado cambiar el
La primera parte del trabajo de campo por lo general implica una revisión deénfasis o el nivel de Eldetalle,
la documentación. auditor
lee y hace notas sobre la documentación relacionada o que provengan como
de losresultado
ISMS (tales decomolala
Declaración de aplicabilidad, Plan de tratamiento del riesgo, la política deinformación
ISMS etc.). Elobtenida. Inclusola
auditor genera
el alcance de la auditoría
documentación de auditoría comprende la evidencia de auditoría y notas en forma de listas de verificación
realizadas y los documentos de trabajo. puede ser modificado,
siempre que el cambio está
Los resultados de la revisión de la documentación a menudo indican la necesidad de pruebas de auditoría
justificado y aprobado por la
específicos para determinar hasta qué punto el ISMS tal como se aplica actualmente sigue la
dirección.
documentación, así como las pruebas del nivel general de cumplimiento y pruebas de idoneidad de la
documentación en relación con la norma ISO / IEC 27001. típica pruebas de auditoría se muestran en la
Apéndice A y apéndice B. Los resultados de las pruebas de auditoría se registran normalmente por los
auditores en las listas de comprobación, junto con las pruebas, notas y otros documentos en el archivo de
auditoría.
pruebas de conformidad técnicas pueden ser necesarias para verificar que los sistemas de TI están
configurados de acuerdo con las políticas de seguridad de la información, normas y directrices de la
organización. Las herramientas automatizadas de comprobación de configuración y evaluación de la
vulnerabilidad pueden acelerar la velocidad a la que se realizan los controles de conformidad técnicos pero
potencialmente introducir sus propios problemas de seguridad que deben tenerse en cuenta *.
El resultado de esta fase es una acumulación de papeles de trabajo de auditoría y pruebas en los archivos
de auditoría.
análisis 7.4 Auditoría

La evidencia de auditoría acumulado se solucionó y presentada, revisadaidentifica
A veces análisis y analizada
lasenlagunas
relaciónen
conlalos
riesgos de la información y los objetivos o requisitos, tales como los
evidencia o de la norma
indica ISO / IEC 27001
la necesidad y 27002 u
de pruebas
otras normas y referencias, y el alcance y los objetivos de de
adicionales auditoría. Losenresultados
auditoría, preliminares,
cuyo caso aún más el
conclusiones y recomendaciones se pueden redactar trabajo de campo se puede realizar acuestiones
en esta etapa, en relación con las menos
significativas identificadas. programado tiempo y se han agotado los recursos.
Sin embargo, dando prioridad a las actividades de
auditoría de riesgo implica que las áreas más
Copyright © Foro ISO27k, 2017 importantes deberían haber sido cubiertos
11 |Pya.
ágina
7,5 informes de auditoría

Reporting es una parte importante del proceso de auditoría, y un sub-proceso complicado por sí mismo.
Un informe de auditoría ISMS típico contiene los siguientes elementos, algunos de los cuales se puede
dividir en apéndices o documentos separados:
 Título e introducción de nombres de la organización y se aclara el alcance, objetivos, período de
cobertura y la naturaleza, oportunidad y alcance del trabajo de auditoría realizado.
 Un resumen ejecutivo que indica las principales conclusiones de auditoría, un breve análisis y
comentarios, y una conclusión general, por lo general a lo largo de las líneas de “nos encontramos con
el ISMS que cumplen con la norma ISO / IEC 27001 y digno de certificación” o “Aparte de
[preocupaciones significativas], estamos impresionados con la cobertura y la eficacia de los controles
de seguridad de la información dentro de los ISMS “.
 El informe enumera destinada a cabo receptores específicos (ya que los contenidos puedan ser
confidenciales) y contiene instrucciones sobre la clasificación o la circulación de documentos
apropiados.
 Un resumen de las credenciales, etc. métodos de auditoría de los auditores individuales y miembros
del equipo;
 Conclusiones detalladas de auditoría y análisis, a veces con extractos de la evidencia que apoya en los
archivos de auditoría donde esto ayuda a la comprensión.
 Las conclusiones y recomendaciones de la auditoría, tal vez presentados inicialmente como propuestas
tentativas que se discutirán con la dirección y finalmente incorporadas como los planes de acción
acordados en función de las prácticas locales.
 Una declaración formal por los auditores de las reservas, las calificaciones, limitaciones al alcance u
otras advertencias con respecto a la auditoría.
informes de auditoría es
 Dependiendo de las prácticas normales de auditoría, la administración quizás lapuede
única ser
áreainvitado
donde laa
proporcionar un breve comentario o respuesta formal, la aceptación deindependencia
los resultados de la auditoríadey
formal
el compromiso con las acciones acordadas. auditoría es la clave. Se espera
que
Es importante que exista una base fáctica suficiente que significa, evidencia los auditores
apropiada 'decir lo para
de auditoría que
soportar los hallazgos reportados. procesos de aseguramiento de la calidadhay de que decir'. Sin se
comprobación embargo,
debería
teniendo en cuenta el
garantizar que 'se informa de todo lo notificable y todo lo reportado es de notificación obligatoria', objetivo
normalmente basado en una revisión del archivo de auditoría por un auditor de superior
mejorar con
el SGSI y progreso
experiencia. La
redacción del proyecto de informe de auditoría se comprueba para asegurar de lala legibilidad,
organización, vale la
evitando la
pena expresar
ambigüedad y declaraciones sin fundamento. Una vez aprobado por la gestión de auditoría para lalas cosas con
circulación, el proyecto de informe de auditoría se presenta generalmente mucho cuidado ... que tiene
y discutido con lala
administración. Otros ciclos de revisión y revisión del informe pueden tenerexperiencia,
lugar hastaelquetacto y el
se finalice.
Finalización normalmente implica la gestión de comprometerse con el plan de tiempo.
acción.
La evaluación del auditor de la importancia de los problemas o deficiencias identificadas durante la
auditoría es el principal determinante de un 'pase' o el resultado 'fallar'. resultados de la auditoría se
clasifican habitualmente en función de su importancia o gravedad, y (al menos en relación con las
auditorías de certificación) informaron de la siguiente manera:
Las no-conformidad Informe (NCR):una no conformidad que afecta sustancialmente la capacidad
Los principales son los deNCRlos
ISMS para lograr sus objetivos. Conformidades pueden clasificarse comoshow-tapones:
importante en lasensiguientes
las
circunstancias: auditorías de certificación, es
 Si existe una importante duda de que el control efectivo procesoprobable está enquesu resulte
lugar, oenque
una la
confidencialidad, integridad y disponibilidad de la información cumple con los requisitos
negativa a expedir especificados;
o renovar
o un certificado de
cumplimiento a menos que
los problemas identificados
se resuelven con la
satisfacción de los auditores.
 Un número de no conformidades menores asociados con el mismo requisito o tema son síntomas
indicativos de una falla más profunda y sustancial en el sistema de gestión de gobierno (por ejemplo,
pobres).
Menor NCR:una no conformidad que no afecta sustancialmente la capacidad del SGSI para lograr sus
objetivos. 'Sustancialidad' es una cuestión subjetiva que el auditor determinar, teniendo en cuenta factores
tales como:
 El grado de desviación de las recomendaciones de las normas ISO27k, o de las buenas prácticas
generalmente aceptadas en este ámbito;
 Si la no conformidad es deliberada / intencional, o simplemente un descuido;
 La duración de la no conformidad - un tema complejo ya que a veces esta problemas de larga data
valen escalada de atención de la administración, sin embargo, la organización puede haber hecho
frente con bastante éxito con la no conformidad que cubra el período;
 La cantidad de riesgos de la información a la organización (por mucho, el factor más importante).
Observación o oportunidad de mejora: Una exposición de hechos sobre la base de y sustentado en
pruebas objetivas, la identificación de un fallo o una deficiencia potencial en el SGSI, que, si no se resuelve,
el auditor cree que puede conducir a la no conformidad en el futuro.
De acuerdo con la convención y las circunstancias, el auditor puede Incluso
ofrecer si
recomendaciones
ellos no aparecen formales
en loso
informales, orientación y asesoramiento (por ejemplo, la promoción informes
de buenas de prácticas y otras mejoras)
auditoría formales,
pero ninguna solución específica tiene por qué ser necesariamente recomendaciones, Si
proporcionado. un hallazgo de
observaciones y
auditoría se expresa de manera efectiva y la cuestión es discreta, la resolución a menudo será
consejos que normalmente debenevidente por
sí mismo. En última instancia, gracias a auditar independencia, es responsabilidad
ser registrados de laen
administración
el archivo -deno
de auditoría - para hacer frente a los problemas, actuando en los mejores intereses
auditoría. de la organización
Los hallazgos pueden sery
teniendo en cuenta otras prioridades y objetivos de negocio. La administración
manejados como losqué riesgos
debe decidir hacer y
cuándo hacerlo, en todo caso. En resumen, las auditorías son meramente consultivo. tal vez provocó
identificados,
trabajo
La salida de esta fase es un informe de auditoría ISMS completado, de seguimiento
firmado, en el futuro,
fechado y distribuidos de
acuerdo con los términos de la carta compromiso de auditoría. la vigilancia o recertificación
auditorías y gestión interna de
revisión.
cierre 7.6 Auditoría
Además de indexación, referencias cruzadas y, literalmente, el cierre de los archivos de auditoría, el cierre
implica poner en orden los cabos sueltos, la preparación de notas para futuras ISMS u otros adultos, y
quizás seguimiento para comprobar que las acciones acordadas son de hecho completaron más o -Menos a
tiempo y como se especifica.
8. Competencia y evaluación de auditores

competencia 8.1 Auditor
Los siguientes requisitos se aplican al equipo de auditoría en su conjunto, o al auditor si se trabaja solo. En
cada una de las siguientes áreas de conocimiento y experiencia, al menos un miembro del equipo de
auditoría debe asumir la responsabilidad principal dentro del equipo:
 La gestión del equipo, la planificación de la auditoría, y la garantía de calidad de la auditoría procesos;
 principios de auditoría, métodos y procesos;
 sistemas de gestión en general y ISMS en particular;

 obligaciones legales, reglamentarios y contractuales pertinentes aplicables a la organización que está
siendo auditada;
 amenazas relacionadas con la información, vulnerabilidades e incidentes, en particular en relación con
la organización que está siendo auditada y organizaciones comparables, por ejemplo, una apreciación
del riesgo de varios tipos de incidentes de seguridad de la información que afectan a diferentes formas
de información, su gravedad y los efectos potenciales, los controles suelen utilizado para mitigar los
riesgos, además de otras opciones de tratamiento del riesgo, como los seguros cibernética;
 ISMS Técnicas de medición (métrica seguridad de la información);
 ISMS normas pertinentes, las mejores prácticas de la industria, las políticas y procedimientos de
protección;
 la gestión de la continuidad del negocio, incluyendo la evaluación de impacto en el negocio, gestión de
incidencias, la capacidad de recuperación, recuperación y contingencia aspectos;
 La aplicación de tecnología de la información para las empresas y, por tanto, la relevancia y la
necesidad de la seguridad cibernética; y
 riesgos de la información de gestión de principios, métodos y procesos.
El equipo de auditoría debe ser competente para describir las preocupaciones de vuelta a los elementos
pertinentes de los ISMS, lo que implica que los auditores tengan experiencia adecuada de trabajo y la
experiencia práctica a través de los elementos señalados anteriormente. Esto no quiere decir que cada
auditor necesita la gama completa de experiencia y competencia en todos los aspectos de seguridad de la
información, pero el equipo de auditoría en su conjunto debe tener una gama suficientemente amplia de
experiencias y competencias suficientemente profunda como para cubrir todo el alcance del SGSI siendo
auditado.
Con respecto a las auditorías de SGSI, en concreto, los auditores necesitan estar al tanto de:
 El campo: esta es un área dinámica con cambios frecuentes en los riesgos de la información (es decir,
las amenazas, vulnerabilidades y / o impactos), controles de seguridad y el medio ambiente
cibernético en general. Por tanto, es importante que los auditores ISMS mantienen su conocimiento
de los países emergentes y las amenazas actuales, vulnerabilidades explotadas de forma activa, y la
naturaleza cambiante de los incidentes y los impactos dentro del contexto empresarial de la
organización.
 Los cambios en ISO27k y otras normas, directrices, etc .: aparte de nuevos y actualizados estándares
en el 27000 de la serie ISO / IEC, hay cambios frecuentes en otras normas potencialmente relevantes
(por ejemplo, la serie SP800 NIST), directrices y avisos (por ejemplo, de ISACA ).
 cambios legales y reglamentarios: GDPR (Reglamento general de protección de datos de la UE) es un
ejemplo típico de un próximo cambio significativo a las leyes y prácticas de privacidad, con
implicaciones globales de negocios.
 Negocios y cambios en la organización: por ejemplo, cambios en las actividades de negocio, procesos,
las prioridades y las relaciones.
 La tecnología cambia: por ejemplo, un nuevo hardware, software y firmware; nuevos paradigmas tales
como la IO (Internet of Things), BYOD (Bring Your Own Device) y el cloud computing.
8.2 Demostración de la competencia del auditor

Los auditores deben ser capaces de demostrar sus conocimientos y experiencia, por ejemplo, a través de:
 Sosteniendo reconocido y las calificaciones pertinentes tales como CISA;
 El registro como un auditor con un cuerpo profesional reconocido como
La ISACA;
auditoría es una actividad
altamente privilegiada que
Copyright © Foro ISO27k, 2017 depende de la confianza
14 |P á gy i el
na
respeto de los auditados, que
debe ser ganado por
 Realización de cursos de formación ISMS reconocidos como “encargados de la ejecución” y “auditor
líder”;
 Hasta a la fecha de los registros de formación continua;
 Registros que confirman la auditorías en los que han participado (en particular los ismos y las
auditorías de TI), y sus roles; y / o
 demostración práctica a los auditores más experimentados en el transcurso de las auditorías de SGSI;
 La obtención de la confianza y el respeto de sus colegas.
9. Control de documentos
9.1 Autores
Los siguientes miembros de la Foro ISO27kactualiza esta directriz en 2017: Bhushan Kaluvakolan; Richard
Regalado;Gary Hinson y Pratibha Agrawal.
Las siguientes personas contribuyeron a la versión original de 2012 de la guía: Alchap; Javier Cao
Avellaneda; Anton Aylward; Pritam Bankar; Benítez Jesús; Lee Evans; Gary Hinson; Khawaja Faisal Javed;
Lakshminarayanan; ; Rocky Lam; Prasad Pendse; Renato Aquilino Pujol; Bala Ramanan; Marappan Ramiah;
Richard Regalado; Mninikhaya Qwabaza (Khaya); Kim Sassaman; Mooney Sherman; John Sur; Jasmina
Trajkovski; Rob Whitcher y otros.
9.2 Historia
de marzo de 2008 - Primera versión de la guía presentada al comité de la ISO / IEC JTC 1 / SC27 a través de
Normas de Nueva Zelanda, y publicado como parte de los libres Toolkit ISO27k.
Julio-Agosto 2017 - Todo el documento actualizado, por primera vez por un esfuerzo de colaboración en
equipo a través de Google Docs y luego finalizó en MS Word, y reeditado en el Toolkit ISO27k.
9.3 Evaluación
Comentarios, preguntas y (especialmente!) Sugerencias de mejora son bienvenidos, ya sea a través de la
Foro ISO27k o directamente a Gary Hinson (Gary@isect.com).
9.4 Derechos de autor

Esta guía es copyright © 2017, Foro ISO27k, algunos derechos reservados. Que está
disponible bajo los Creative Commons Reconocimiento-No comercial-Compartir bajo la
misma licencia 3.0. Usted es bienvenido a reproducir, distribuir, utilizar y crear trabajos
derivados de esta condición de que (a) no se vende o se incorpora en un producto comercial, (b) que se
atribuye correctamente a laForo ISO27k a
www.ISO27001security.com, (C) si es compartido,
trabajos derivados son compartidos en las mismas condiciones
que el presente.
Siendo una comunidad global amable y

generosa de los profesionales ~ 3.500 ISMS,
la Foro ISO27k es una excelente fuente de
más asesoramiento, apoyo y orientación.
ISO27001security.com ofrece información
sobre las normas ISO27k, una Preguntas
Toolkit ISO27k
Apéndice A - seguridad de la información genérica lista de

comprobación
Introducción
La siguiente lista de pruebas de auditoría es genérico. Refleja y se refiere principalmente a los consejos de
la norma ISO / IEC 27002 en los controles de seguridad de la información sin tener en cuenta los requisitos
de control específicos que una organización individual puede tener en relación con sus riesgos de
información identificadas a través de los procesos de evaluación y gestión del riesgo.
Esta es una guía genérica para ayudar a revisar los controles de seguridad
Hemos de la organización,modificado
sobre todo
contra las recomendaciones de la norma ISO / IEC 27001 Anexodeliberadamente,
A, ISO / IEC 27002 extendida
y otras normas o
ISO27k. No puede proporcionar una guía específica sobre los riesgos y los controles aplicables
elaborado con el asesoramiento en a cada
situación en particular y por lo tanto debe ser personalizada e interpretada
la norma ISOpor/ los
IEC auditores de TI con
27002 en diversas
experiencia en función del contexto. Por ejemplo, el análisis de riesgo
áreas, debasada
la organización puede yhaber
en el trabajo la
determinado que ciertos objetivos de control de las normas no son auditoría
aplicablesde y por
experiencia profesionalser
lo tanto puede no
necesaria los controles correspondientes, mientras que en otras áreas
conde los en
SGSI objetivos
diversasdeorganizaciones
control pueden
ser más rigurosa que se sugiere en la norma y controles adicionales pueden ser
e industrias querequerido.
toman enElserio
planlade
tratamiento de riesgos y Declaración de aplicabilidad deben proporcionar más detalles sobre
seguridad de la información esto.
Las pruebas de auditoría indicados a continuación son sólo avisos (pruebas de auditoría
o recordatorios de por ejemplo,
los principales
aspectos que competentes, cualificados y experimentados auditoresque de TI hemos
se suele incorporado
comprobar. Noencubren
la
todos los aspectos de riesgo de la información, seguridad y áreas relacionadas. Ellos no están destinados a
ser preguntado en forma literal o facturado fuera poco a poco. No son adecuados para su uso por parte de
auditores experimentados que trabajan sin supervisión.
La lista de verificación no está destinado a ser utilizado sin la debida consideración y modificación. ISMS
auditores normalmente generan listas de control personalizados que reflejan el alcance y la escala
específicos del ISMS particulares objeto de la auditoría, teniendo en cuenta los requisitos de seguridad de
la información que ya son evidentes en esta etapa (por ejemplo, seguridad de la información pertinentes
leyes, reglamentos y normas que se sabe que se aplican a organizaciones similares en la industria).
Además, la lista de control de auditoría puede ser modificada durante el transcurso de la auditoría si las
áreas previamente Underappreciated de preocupación salen a la luz. Por último, la lista debería reflejar las
prácticas normales de trabajo de los auditores, por ejemplo, columnas de notas de auditoría, las
referencias a la evidencia de auditoría en el archivo, FODA / plagas análisis de los resultados, etc.
Desde ISMS completado auditoría listas de control, archivos, notas y pruebas contienen información
sensible relativa a las disposiciones de riesgo de la información y seguridad de la organización, deben ser
asegurados adecuadamente para asegurar su confidencialidad e integridad.

Toolkit ISO27k
A.5. las políticas de seguridad de la información

A.5.1 dirección de Gestión de Seguridad de la Información
A.5.1.1 Políticas de seguridad de la información: revisar las políticas de la organización
Numerosos controles depara el riesgo
seguridad dede
la la
información, seguridad y áreas relacionadas (por ejemplo, la privacidad,
informaciónlaimplican
continuidad del negocio,
políticas, por lo el
cumplimiento, la gobernabilidad, la gestión de riesgos, recursos humanos, seguridad física y
tanto, las políticas aparecen muchas / o Zona,
gestión del cambio, gestión de configuración, gestión de incidencias, registro,
veces en clasificación,
esta lista desarrollodede
con las pruebas
sistemas y adquisición ...). ¿Hay una clara evidencia de un auditoría
marco / estructura
que reflejan/ jerarquía general
diferentes
sensiblemente diseñado y administrado? Son las políticas razonablemente
contextos y objetivos. A.5.1.1 toma unalos
completo, que cubre todos
riesgos relevantes de información y áreas de control? ¿Cómovisión se autorizan
general delastodo
políticas, comunicados,
el conjunto de la
entendidos y aceptados? Son todos los trabajadores y en su casopolítica.
sus empleadores requieren formalmente
a cumplir? ¿Existen acuerdos de aplicación y el cumplimiento de refuerzo adecuados? Revisar las políticas,
normas, procedimientos, directrices, etc., para mantener la coherencia con: buenas prácticas (como
ISO27k, NIST SP800 y otras normas, avisos y directrices pertinentes); obligaciones legales, reglamentarios y
contractuales aplicables; las estrategias corporativas y otras políticas. ¿Hay adecuadas referencias
cruzadas, tanto internos como externos? Son las políticas bien escritos es decir, legible, razonable y viable?
¿Se incorporan controles adecuados y suficientes? ¿Cubren todos los activos de información esenciales,
sistemas, servicios, etc.? El grado de madurez es la organización en esta área? Buscar problemas (lagunas,
solapamientos, incoherencias / conflictos, la mala calidad de la escritura, fuera de la fecha de políticas / no
aprobados, se perdió revisión plazos, etc.) y las oportunidades de mejora.
A.5.1.2 Revisión de las políticas de seguridad de la información:evaluar el proceso para la revisión de
seguridad de la información y las políticas relacionadas. Disponibilidad de una muestra de las políticas de
detalles tales como: título de la política; alcance y la aplicabilidad; estado (por ejemplo el proyecto,
autorizado, sustituida, retirado); los nombres de los autores y propietarios responsables; números de
versión; fechas de publicación; que ellos (por ejemplo, Comité de Seguridad o un órgano equivalente)
aprobó; el historial del documento / fecha del último y el siguiente comentario; arreglos de cumplimiento
asociados. ¿Todas las políticas tienen un formato y un estilo coherente? ¿Son todos los actuales, después
de haber completado todas las críticas de vencimiento (incluyendo retroalimentación de los exámenes de
la gestión y auditorías ISMS) y si ha apropiado re-autorizada y distribuida? Una verificación cruzada de
pruebas de aprobación / autorización para una pequeña muestra. Buscar problemas y oportunidades de
mejora.
A.6. Organización de la seguridad de la información
A.6.1 organización interna

A.6.1.1 Información de roles y responsabilidades de seguridad:comprobar el riesgo de la información
general y la gobernanza de la seguridad y la estructura de gestión. Se riesgos de la información y la
seguridad con suficiente énfasis (¿hay una 'fuerza motriz'?) Y apoyo a la gestión? ¿Hay un foro de alto nivel
para discutir la gestión de riesgos de información y políticas de seguridad, riesgos y problemas? Se roles y
responsabilidades claramente definidas y asignadas a las personas debidamente capacitado? ¿Cada
función tiene la responsabilidad específica con respecto al riesgo de la información y la seguridad, la
autoridad competente y que son competentes (cualificado) para el papel? ¿Hay suficiente presupuesto
para actividades de seguridad y riesgos de la información? ¿Existe coordinación dentro de la organización
entre las unidades de negocio y HQ? Son los flujos de información (por ejemplo, la presentación de

Toolkit ISO27k
informes de incidentes) que operan efectivamente en la práctica? ¿Hay conciencia y apoyo adecuados para
el riesgo de la información y la estructura de seguridad y acuerdos de gobierno?
A.6.1.2 La segregación de funciones:comprobar que las tareas operativas o tareas que son de vital
importancia para la seguridad de la información han sido identificadas, en particular las realizadas por
riesgos de la información y de los profesionales de seguridad, más personal de TI con privilegios elevados
en los principales sistemas de información (servidores, dispositivos de red, bases de datos, aplicaciones,
etc.). Sobre la base de la evaluación de riesgos, son los derechos segregados entre los roles o individuos en
su caso por ejemplo, para reducir la posibilidad de incompetencia, negligencia y actividades inapropiadas?
Idealmente una matriz de tipo RACI debe mantenerse la identificación para cada tarea / deber clave que es
responsable, consecuente, consultados o mantenerse informado, especificando por ejemplo, que:
 La red y la administración del sistema deben estar separadas de administración de la seguridad;
 Un solicitante de acceso no debe ser capaz de aprobar su / sus propias peticiones, o ser capaz de crear
sus propias / sus credenciales de acceso;
 la reconciliación derechos de acceso no debe hacerse únicamente por los administradores del sistema;
 Los desarrolladores de aplicaciones y los probadores no deben tener acceso a la rutina de los entornos
de producción;
 Cambiar los solicitantes no deben tener la autoridad para aprobar sus propias peticiones;
 Descripciones de reglas de firewall no se debe hacer solamente por los administradores de red;
 los registros de seguridad, informes de incidentes, alarmas y alertas no deben ser utilizados y
revisados únicamente por los profesionales de TI;
 Las auditorías deben ser realizadas por auditores competentes e independientes.
¿Existe una póliza con la separación de funciones? ¿Cómo se toman las decisiones con respecto a dicha
segregación llegó a? ¿Quién tiene la autoridad para tomar tales decisiones? Son funciones segregadas
revisados periódicamente, cuando las situaciones y los riesgos cambian, o cuando ocurren incidentes?
Donde la segregación es impracticable o no factible (por ejemplo, una organización pequeña), se emplean
controles de compensación (por ejemplo adicional de registro o la gestión de la supervisión)? Se llevó a
cabo un seguimiento periódico de las actividades y las pistas de auditoría? ¿Hay supervisión de la gestión
adecuada, especialmente para los aspectos críticos (por ejemplo, sin experiencia, estresado o no confiable
trabajadores que hacen poco familiar, complejo y / o particularmente importante trabajo de seguridad)?
A.6.1.3 Contacto con las autoridades:¿hay disponible una lista de datos de contacto de las autoridades y
los órganos reguladores o de otro tipo que pudieran necesitar ser contactado en caso de consultas,
incidencias y emergencias por ejemplo, la policía, servicios de emergencia y personal de mantenimiento /
soporte para climatización, energía, suministro de agua, telecomunicaciones servicios, etc.? Compruebe
que es responsable de contactar a las autoridades y en qué momento de un incidente / evento es este
contacto y cómo? Comprobar si se ha hecho esto antes y si el contacto informal y regular, se mantiene con
estas autoridades para que los dos lados (la empresa y dichas autoridades) no son sorprendidos en
momentos de emergencia. El contraste con la salida de la evaluación del riesgo si datos de contacto de las
autoridades de los riesgos significativos identificados están disponibles. Es la actual lista y correcta? ¿Existe
un proceso de mantenimiento? (Véase también el cumplimiento registrarse en A.18.1.1).
A.6.1.4 El contacto con los grupos de interés:¿hay contacto regular o ad hoc, con grupos especiales de
interés, foros y listas de correo profesionales en riesgo de la información y la seguridad, tales como los
capítulos locales de ISACA, ISC2, ISSA, ISO27k Foro etc.? Se compartió información sobre las nuevas
amenazas, nuevas tecnologías de seguridad, buenas prácticas de seguridad, alertas tempranas de alertas y
avisos, las vulnerabilidades recién descubiertas y la disponibilidad de parches, etc?
Seguridad de la información A.6.1.5 en la gestión de proyectos:revisar el riesgo de la información y los
aspectos de seguridad del gobierno y de gestión de proyectos métodos de la organización. Se riesgos de la

Toolkit ISO27k
información y requisitos de seguridad identificadas y tratadas en todas las etapas de todos los proyectos,
incluir todos los tipos de proyectos que se refieren a la información, nuevos desarrollos y cambios /
mejoras en los sistemas, aplicaciones y procesos existentes? ¿Cada etapa del proyecto incluye actividades
apropiadas? ¿Los propietarios del sistema / aplicaciones / procesos / riesgo aceptan formalmente los
riesgos residuales (por ejemplo, como parte de la aceptación final)?
A.6.2 dispositivos móviles y el teletrabajo

política de dispositivo móvil A.6.2.1:revisar la política y los controles de seguridad relacionadas con
móviles y usuarios domésticos que trabajan en la empresa y de propiedad expedido por ejemplo,
ordenadores portátiles corporativos, PDAs, teléfonos inteligentes, iPads, tabletas, / otros dispositivos de
almacenamiento USB móvil, VPN, etc. ¿Cómo se mantienen los sistemas portátiles y controladas (por
ejemplo, para asegurarse de que se mantienen hasta la fecha en las definiciones de antivirus y parches de
seguridad)? Confirman que todos los dispositivos portátiles que contienen los controles de acceso
adecuados de datos corporativos y personales emplean sensibles y propietarios, normalmente implica la
instalación de imágenes corporativas a través de soluciones de MDM, soluciones MAM para controlar las
aplicaciones, el cifrado de todo el disco, y las reglas en torno a dicho acceso en caso de que se permite.
6.2.2 El teletrabajo:revisar las políticas, procedimientos, directrices y prácticas relacionadas con el
teletrabajo, trabajo a distancia y portátil. Compruebe que los riesgos de información relacionados con el
teletrabajo se determinan, evaluada y tratada (por ejemplo, controles de seguridad técnica, física y de
procedimiento adecuados). Son los controles de seguridad para el teletrabajo equivalentes a las de los
centros de trabajo de tipo oficina convencionales (las diferencias deben reflejar los respectivos riesgos de
la información). ¿Existen medidas adecuadas para la autenticación de usuarios, seguridad de red, antivirus,
copias de seguridad, parches, el registro de seguridad y vigilancia, el cifrado y la continuidad del negocio?
Si es necesario, ¿cómo la organización tener acceso a dispositivos y medios TIC corporativos o de
propiedad privada para confirmar o configurar su seguridad, etc. investigar los incidentes?
A.7. la seguridad de los recursos humanos
A.7.1 Antes de empleo

Proyección A.7.1.1:¿El proceso de selección previa al empleo tiene en cuenta las leyes y regulaciones de
privacidad y de empleo pertinentes? Se hace esto en la empresa o subcontratado a un tercero? ¿Está el
personal y los contratistas preseleccionados antes del empleo (incluyendo el contacto con las referencias y
una verificación de autorización de seguridad en su caso)? Si esto se hace por los terceros propias partes,
sus procesos han sido revisados y se encontró aceptable? ¿Hay procesos de selección mejoradas para los
trabajadores en puestos de confianza (por ejemplo, sobre todo los que tienen acceso ROOT-equivalentes a
los sistemas sensibles), departamentos / funciones, unidades de negocio o de los sitios? ¿Cómo se logra
todo esto? Debe haber un proceso consistente y repetible documentado que es poseído y mantenido por
HR y la evidencia debe estar disponible por ejemplo, los resultados de dichos controles de antecedentes.
Los atributos de estos controles deben basarse en una evaluación de riesgos y cumplen con estos
requisitos de control, una aceptación del riesgo de aquellos requisitos que no se pueden cumplir debe ser
documentado.
A.7.1.2 Términos y condiciones de trabajo:son las funciones y responsabilidades de seguridad de
información pertinentes adecuadamente definidos en las descripciones de trabajo, cartas de oferta,
contratos de trabajo y de servicio, términos y condiciones de empleo, etc. para el riesgo de información y
profesionales de la seguridad, del sistema de TI / administradores de red, los administradores, los
auditores y los trabajadores en general? Son responsabilidades específicas relacionadas con riesgos de la

Toolkit ISO27k
información y la seguridad identificadas, de acuerdo con la naturaleza de las funciones? Consultar la
confidencialidad adecuado y cláusulas similares (acuerdos de no divulgación). Se llevan registros para
demostrar que los trabajadores comprendidos, reconocidos y aceptados sus obligaciones de seguridad de
la información? Hacer (algunos) obligaciones continúan durante períodos definidos o indefinidos más allá
del fin del empleo?
A.7.2 Durante el empleo

Las responsabilidades de gestión A.7.2.1:revisar la conciencia seguridad de la información, la formación y
arreglos educativos orientados a la gestión y la audiencia de supervisión. ¿Son regular y continua? Es el
contenido y la naturaleza / formato / estilo de la información y las actividades de sensibilización adecuada
a la audiencia? Hacen los gerentes reciben sensibilización y formación adecuada específicamente en sus
riesgos de la información y las funciones y responsabilidades clave relacionados con la seguridad (por
ejemplo, el conocimiento de 'autorización' y 'supervisión' en general, la formación en la forma de definir
los derechos y la opinión de acceso)? Son riesgos de la información, la seguridad y las actividades y los
requisitos (tales como la integridad personal y la confianza) identificados en las descripciones de trabajo
relacionados, y se seleccionan apropiadamente los trabajadores, formada y cualificada? ¿El programa de
inducción se adaptan específicamente para gerentes recién contratados o promovidos proporcionan
información importante y orientación sobre la organización de la información postura de seguridad,
estrategias, políticas, etc.?
conciencia de seguridad de la información A.7.2.2, la educación y la formación:revisar la formación de los
involucrados específicamente en el funcionamiento de los ismos y los controles de seguridad de la
información, y la información general de las actividades de sensibilización de seguridad dirigidas a todos o
determinados grupos de trabajadores. Son competencias necesarias y los requisitos de formación /
sensibilización para los profesionales de la seguridad de la información y otros con funciones y
concienciación
responsabilidades específicas identificadas explícitamente? ¿Hay un programa sobrede inicial
estructurado la
seguridad continua,
(inducción / orientación) y la conciencia normal (continua / continua) seguridad de la información la y
formación para todos los tipos de trabajadores? ¿Existe una estrategia formación
o plany de
la comunicaciones,
educación en
típicamente en relación con folletos y reuniones informativas, carteles,toda la organización,
correos electrónicos,degestión
arriba del
a
aprendizaje en línea, concursos, competiciones, videos, medios de comunicación social (por ejemplo, ylos
abajo, ayuda a construir
blogs) y otros métodos o actividades en una secuencia o serie de temas? mantener
Así como unatemascultura de
específicos,
¿abarca el contenido de los aspectos más generales, tales como riesgosseguridad de la empresa:
de la información, la seguridad la y
tradicional 'conciencia
los conceptos relacionados; compromiso de la dirección y el apoyo; requisitos legales, reglamentarios, de
seguridad
contractuales y de política; responsabilidad personal y las responsabilidades anualde contacto
generales; puntos de
actualizaciones'
y más recursos? Se actualiza el contenido o actualiza para reflejar la información evolución caída
de losde TI
riesgos,
centrada en 'la formación
tales como las nuevas amenazas, vulnerabilidades recién identificados e incidentes recientes o cuasi en
accidentes, y los cambios como nuevas políticas / revisados? ¿Hay pruebas seguridad del usuario
periódicas final para
y ejercicios y
muy por las
comprobar el nivel de conciencia (si es así, comprobar los resultados, incluyendo debajo de lasy buenas
tendencias las áreas
prácticas en esta área.
con problemas o preocupaciones)? ¿Hay acciones de seguimiento para cualquiera que lo hacen mal en este
tipo de pruebas, y / o son los cambios realizados en los materiales de sensibilización y de formación?
A.7.2.3 proceso disciplinario:¿Los procesos disciplinarios atender a los incidentes de seguridad de la
información, violaciones a la privacidad, la piratería, la piratería, el fraude, espionaje industrial, etc por los
trabajadores? Revisar las políticas, procedimientos, directrices, prácticas y registros derivados. ¿Cómo
están los trabajadores informados del proceso, incluidas las expectativas de la organización y de sus
derechos? Se esta cubierto por contratos y convenios, cursos de orientación y de información continua? Ha
sido el proceso disciplinario sido invocado por los incidentes de seguridad de la información (si es así,
revisar los casos recientes, si no, por qué no)?

Toolkit ISO27k
Terminación A.7.3 y cambio de empleo
Terminación A.7.3.1 o el cambio de las responsabilidades de empleo:revisar las políticas, normas,
procedimientos, directrices y registros asociados relacionados con la seguridad de la información para los
trabajadores que se desplazan lateralmente o verticalmente dentro de la organización (por ejemplo,
ascensos y bajas, cambios de roles, nuevas responsabilidades, nuevas prácticas de trabajo, por ejemplo, el
teletrabajo) o salir (dimisiones, planificada o no planificada terminaciones). Evaluar la información de los
aspectos de riesgo y seguridad, como es la recuperación de los activos de información (documentos, datos,
sistemas), las llaves, la eliminación de los derechos de acceso, seguido confidencialidad de la información
de propiedad y personal, si es necesario, etc.
A.8. Gestión de activos
Responsabilidad A.8.1 para los activos

A.8.1.1 inventario de los activos: revisar cualquier inventario de activos (información), uno que abarque:
 Información digital: Datos de negocios de todo tipo y todos los lugares; IT / datos de soporte (por
ejemplo, bases de datos de configuración); contraseñas y datos biométricos; certificados y claves etc .;
digitales
 información impresa: Sistema y documentación de procesos (que cubre las especificaciones,
arquitectura y diseño, instalación, operación, uso, manejo ...); licencias, acuerdos y contratos;
materiales de sensibilización y formación; la continuidad del negocio de gestión de información, planes
de recuperación de desastres, ejercicios, informes, etc .; otros informes impresos y los registros (por
ejemplo, libros de visitantes, instalaciones de mantenimiento de registros) etc .;
 Software: software del sistema más parches y vulnerabilidades revelaciones; aplicaciones, utilidades
de gestión, bases de datos y middleware, además de otros envasados y software a medida y parches;
medios de instalación original y / o descargas de hachís, verificado; licencias; de depósito en garantía,
etc .;
 Infraestructura: Servidores (físicos y virtuales, dentro y fuera del sitio); dispositivos de red (routers,
conmutadores, equilibradores de carga, dispositivos de VPN, servidores proxy Web); dispositivos de
seguridad (autenticación de servidores, sistemas de control de acceso, puertas de enlace y
cortafuegos, IDS / IPS, SIEM, spam y filtros de malware, la explotación forestal y sistemas de alerta);
dispositivos de comunicación (módems, routers, líneas arrendadas, conexiones a Internet, enlaces de
microondas, puntos de acceso Wi-Fi); cables, paneles de conexión, enchufes y puertos; dispositivos de
usuarios finales (ordenadores de sobremesa y ordenadores portátiles, teléfonos inteligentes, tabletas,
dispositivos BYOD); cosas de la IO; SAN; copias de seguridad de discos y cintas; archivadores, recinto
cerrado con llave, caja de seguridad, etc .;
 proveedores de servicios y los servicios de información: Servidores, redes, almacenamiento y copia
de seguridad, la seguridad, el apoyo de las TIC y otras operaciones y servicios relacionados con la
información; servicios de Internet y de la nube; Reuters, CERT e información similar alimenta;
operaciones de terceros, los servicios de mantenimiento y soporte etc .;
 La seguridad física y la seguridad: Detectores de humo, alarmas y sistemas de extinción de incendios;
el suministro de energía incluyendo UPS y generadores; aire acondicionado además de la vigilancia y
de las alarmas de temperatura; bastidores de servidor, controles de acceso de tarjetas, vallas
perimetrales, alarmas contra intrusos; cajas de seguridad contra incendios dentro y fuera de las
instalaciones; llaves, especialmente llaves maestras etc .;

Toolkit ISO27k
 Relaciones comerciales: Con las partes externas, por ejemplo, proveedores, socios, clientes, asesores,
reguladores y autoridades, propietarios y otras partes interesadas, en particular las destinadas a la
transmisión de información;
 Gente: En particular, los individuos de cualquier crítica (más o menos irremplazables) o de otra manera
valiosas con un conocimiento único, experiencia, habilidades, experiencia o contactos, a menudo la
realización de las funciones vitales.
¿Quién posee el inventario? Revisar la gestión asociada, administración y uso. ¿Cómo se mantiene el
inventario en un tiempo razonablemente completa, precisa y hasta la fecha a pesar de la condición de
equipos / personal se mueve, nuevos sistemas, los negocios y los cambios de TI, etc. (por ejemplo, un
proceso de registro para nuevos sistemas)? ¿Es lo suficientemente detallado y apropiadamente
estructurado? Mira a los dos procesos de gestión de inventario automatizados y manuales (por ejemplo,
códigos de barras, etiquetas de seguridad, registros de compras, números / MAC / Emei de serie, stock de
verificación / informes de auditoría, análisis de red, enlaces a otras bases de datos).
A.8.1.2 La propiedad de los activos:comprobar que todos los activos de información críticos tienen dueños
responsables apropiadas, y que sus obligaciones (por ejemplo, análisis y tratamiento de la información
asociada riesgos) están claramente definidos para todo el ciclo de vida de la información. Comprobar cómo
la propiedad se asigna poco después de activos críticos son creados o adquiridos. Compruebe si hay
evidencia de este proceso ocurre de manera continua. Todos los activos deben estar debidamente
etiquetados y etiquetas de activos y propietarios citan debidamente en el registro de activos. Verificar la
propiedad de la organización / control de los activos (por ejemplo, si los activos arrendados, ¿cuáles son las
obligaciones de ambas partes si hay información de los incidentes de seguridad que les afectan?).
A.8.1.3 El uso aceptable de los activos:¿existe una política de uso aceptable de los recursos tecnológicos,
tales como correo electrónico, mensajería instantánea, FTP, etc. responsabilidades de los usuarios? ¿Cubre
el comportamiento del usuario en Internet y las redes sociales. Está permitido un uso personal de los
activos de la empresa? En caso afirmativo, en qué medida y cómo se supervisa / asegurado? Son
aconsejables y desaconsejables y lo que constituye un uso indebido llamada en cualquier documento? Se
hace circular esta en toda la empresa? Comprobar si un mensaje de advertencia apropiada o banner de
inicio de sesión se presentan a los usuarios que deben reconocer a continuar con el proceso de inicio de
sesión. Verificar si los procedimientos de supervisión han sido aprobados por un asesor legal. ¿El uso de la
criptografía de cumplir con todas las leyes, acuerdos / contratos y regulaciones pertinentes?
A.8.1.4 retorno de los activos:¿cómo es esto logró para todos los motores laterales y para aquellos que
han renunciado o terminado. Es este un procedimiento automatizado o manual? Si el manual, ¿Cómo se
garantiza que no hay desviaciones? Son todos los que dejan el mandato de entregar toda la empresa
emitida activos antes de finalmente salir, y cómo se abordan todos los bienes que faltan?
Clasificación de la información A.8.2

Clasificación A.8.2.1 de la información:revisar las políticas, normas, procedimientos, directrices y registros
asociados relativos a la clasificación de la información. Se clasificación impulsado por las obligaciones del
gobierno o de la defensa? Se basa en la clasificación de los requisitos de disponibilidad confidencialidad,
integridad y / o? Son los siguientes aspectos llamados en la política / procedimiento con respecto a la
información clasificada: método de etiquetado, transferencia, almacenamiento, manipulación medios
extraíbles, disposición de los medios electrónicos y físicos, la divulgación, compartir, intercambiar con
terceros, etc.? Son marcas apropiadas utilizadas en los activos basados en la clasificación de la información
que contienen? También es necesaria la clasificación de documentos, formularios, informes, pantallas,
medios de copia de seguridad, mensajes de correo electrónico, transferencia de archivos, etc. forman
parte del personal al tanto de los requisitos de seguridad correspondientes para el manejo de materiales

Toolkit ISO27k
sensibles (por ejemplo, no hay datos que está clasificado como 'secreto' que se genere, procesada o
almacenada en cualquier sistema conectado a la principal red LAN / WAN o Internet de la empresa)?
A.8.2.2 Etiquetado de información:¿existe un procedimiento de etiquetado de información en ambas
formas físicas y electrónicas? ¿Está en sintonía con la política de clasificación de la información? ¿Cómo se
garantiza el correcto etiquetado? (Cómo) Qué vínculo con el mecanismo de control de acceso, por ejemplo
DRM? ¿Cómo se garantiza que sólo aquellos con permisos de acceso autorizados acceder a la información
de la clasificación relevante? Y cómo se ha comprobado que no existe un acceso no autorizado? ¿Los
propietarios de activos revisan los niveles de clasificación en intervalos predefinidos o en las instancias de
cualquier cambio significativo? Compruebe que los trabajadores saben lo que las etiquetas de media.
A.8.2.3 Manejo de activos: más a A.8.2.1, comprobar con respecto a la información clasificada que
pertenezca o recibida de fuentes externas: se asignan sus niveles de clasificación de manera adecuada a los
propios niveles de clasificación de la organización?
A.8.3 manejo de medios

Gestión A.8.3.1 de medios extraíbles:revisar la política relevante, procedimientos, normas, prácticas y
registros, en relación con los riesgos de la información. ¿Hay un registro de activos, actualizada y completa
para cintas extraíbles, paquetes de discos, CDs / DVDs, memorias USB y otros medios extraíbles? Se medios
extraíbles debidamente etiquetados, cuando sea necesario (por ejemplo, clasificación y número de serie) y
se contabilicen de un registro de activos? Son los medios de comunicación de archivos duplicados y
verificados antes de la eliminación de datos de origen? Se verifican periódicamente cintas de archivo y
volver a tensar según las especificaciones del fabricante (normalmente cada año)? ¿Hay controles
apropiados para mantener la confidencialidad de los datos almacenados (por ejemplo, el cifrado cuando
sea necesario, el acceso limitado a las cintas y discos, arreglos de mensajería seguras para el transporte de
los medios de comunicación de alto riesgo)? Se almacenan todos los medios de comunicación en un
ambiente seguro y protegido según las especificaciones del fabricante? ¿Hay autorizaciones para todos los
medios que necesitan ser trasladado de un lugar a otro y se representaron en cada etapa?
Eliminación A.8.3.2 de los medios de comunicación:más a A.8.3.1, cómo están dispuestos los medios de
(en la empresa o subcontratado a un tercero - en cuyo caso se ha seleccionado el tercero después de la
debida diligencia y no es un contrato adecuado en su lugar con la seguridad aplicable y requisitos de
garantía)? ¿Hay una política específica, los requisitos contractuales, legales o reglamentarias para la
disposición de los medios de comunicación? ¿Hay aprobaciones documentados en todas las etapas para la
disposición de los medios de comunicación? Son datos que todavía tienen que ser retenido copiado a otros
medios y verificados antes de que tal disposición? Son datos especialmente sensibles segura eliminan
antes de la eliminación de medios (por ejemplo, mediante el borrado criptográfico, de desmagnetización
y / o destrucción física)? Se retuvo pruebas documentales de la destrucción de los medios de
comunicación, y cuál es su período de retención, etc. períodos de revisión? ¿Los arreglos incluyen medios
incrustados dentro del equipo (por ejemplo, dispositivos multifunción)?
A.8.3.3 transferencia de medios físicos:revisar la política y el procedimiento para el control A.8.3.1. Para
los medios transportados a otros lugares (por ejemplo, copias de seguridad almacenadas fuera del sitio),
comprobar si un transporte fiable o servicio de mensajería está siendo utilizado para el propósito.
Compruebe que identifica a una persona calificada contenidos de los medios de comunicación antes de su
transferencia y si los contenidos son encriptados o no. Compruebe que dicha transferencia se registra en
cada etapa (entregar a custodios de tránsito, dejando el centro de la instalación inicial / datos, al llegar al
destino, colocado en almacenamiento, etc.). Compruebe que se transporta según las especificaciones del
fabricante, la protección adecuada aplicada durante la transferencia, el registro de los tiempos de
transferencia y recepción en el destino.

Toolkit ISO27k
El control de acceso A.9
A.9.1 requisitos comerciales de control de acceso

política de control de acceso A.9.1.1:leer todas las políticas de control de acceso y de gestión,
procedimientos, directrices, prácticas y registros asociados. ¿Son consistentes con la política de
clasificación, procedimientos carpinteros / mudanzas / leavers etc.? ¿Hay adecuada segregación de
funciones? Es el acceso inicial a la red / sistema limitado para los nuevos trabajadores para empezar (por
ejemplo, correo electrónico y sólo intranet), el posterior acceso a las aplicaciones de negocio de acuerdo a
las necesidades específicas de negocio que se concede sobre la base de un flujo de trabajo definido, que
incluye las aprobaciones en los niveles adecuados?
A.9.1.2 El acceso a las redes y servicios de red:revisar la política de servicios de red (puede ser parte de
una política general de control de acceso). Además de los requisitos estándar de control de acceso a las
redes, cómo son VPN y accesos móviles autorizados, controlados y supervisados? Es la autenticación de
factores múltiples en lugar de redes, sistemas y aplicaciones críticas,Dado que
especialmente los controles
para los usuarios
preventivos son
privilegiados? ¿Cómo se controlan las redes de acceso no autorizado, del uso o de actividadeslimitados y los
piratas revisados y informáticos
sospechosas / anómalos? Están los controles de seguridad de red regularmente probados (por
ejemplo, pruebas de penetración)? Qué mide la organización y el informe competentes se esfuerzan
de identificación por y
de incidentes
los tiempos de respuesta? ocultar sus actividades, la
detección temprana y respuesta
rápida es generalmente
gestión de acceso del usuario A.9.2 considerado un crítico de
El registro de usuarios A.9.2.1 y cancelación de la matrícula:comprobar control.
si hay cobertura en la política y los
procedimientos de control de acceso. ¿Hay ID de usuario único para cada usuario, generados en base a un
flujo de trabajo de petición de aprobaciones y registros apropiados? Comprobar que las identificaciones de
usuario de los egresados están desactivadas inmediatamente basa en un flujo de trabajo. ¿Existen vínculos
efectivos entre la Administración de Seguridad y HR, más adquisiciones para la pronta notificación cuando
los trabajadores se van o seguir adelante? ¿Existe una revisión periódica / auditoría para identificar y
suspender los ID de usuario redundantes? Son identificadores borrados después de confirmar que ya no
son necesarios en suspensión? ¿Qué impide que los ID de usuario que se reasignados a otros usuarios? Si
el registro y la cancelación de la matrícula es un proceso manual, compruebe cómo se mantiene un registro
de auditoría. Verificar que el momento de de-registro de una cuenta no es contraproducente para el
negocio (por ejemplo, los clientes pueden enviar información importante a una cuenta de correo
electrónico que se había desactivado recientemente, puede necesitar ser reasignados de una cuenta
redundante para un activo apropiado propiedad de la información empresarial valiosa usuario).
A.9.2.2 aprovisionamiento de acceso del usuario:compruebe que el acceso inicial para todos los usuarios
es básico (por ejemplo, sólo correo electrónico e intranet) y que todo el posterior acceso a los sistemas y
servicios de información se basa en las necesidades del negocio. Compruebe qué manera se garantiza que
todos los accesos que se concede se ajusta a las políticas de control de acceso y la segregación de
funciones. Más allá del acceso básico, no debe haber solicitudes planteadas para todos los accesos
adicionales con las aprobaciones pertinentes en todas las etapas hasta que se haya concedido. Registros de
muestra para pruebas que otorgan derechos de acceso normalmente están limitados en la medida de lo
posible, y que los derechos de acceso son revisados regularmente y en caso necesario revocar de
inmediato (por ejemplo cruz comprobar una pequeña muestra en contra de las cuentas de activos para
determinar si todas las cuentas activas fueron debidamente autorizadas y sólo el se le concedió acceso
autorizado).
Gestión de derechos de acceso A.9.2.3 privilegiados:A raíz de una 9.2.2, prestar especial atención a los
usuarios privilegiados. controles de acceso / Cuenta del Sistema de Revisión para los usuarios de los

Toolkit ISO27k
usuarios privilegiados del sistema, bases de datos, aplicaciones y redes directivos identificaciones de estos
sistemas, administración y la raíz. Comprobar que se han mejorado los controles para reflejar el mayor
potencial para el abuso de privilegios por ejemplo, los procedimientos de autorización de cuenta especiales
y sistemas de vigilancia para detectar y responder a tal abuso. ¿Hay un proceso en operación por más
regulares y frecuentes críticas de cuentas privilegiadas para identificar y desactivar / eliminar cuentas
privilegiadas redundantes y / o reducir los privilegios? Compruebe el procedimiento para la concesión de
dicho acceso elevada y que los identificadores de usuario por separado se generan para la concesión de
privilegios elevados. Se ha establecido una caducidad de duración determinada para los ID de usuarios
privilegiados? Compruebe el proceso para cambiar las contraseñas o suspensión de los ID de usuario tan
pronto como sea posible cuando los usuarios privilegiados dejan o se mueve internamente. Son actividades
de los usuarios privilegiados monitoreados más de cerca en este período?
Gestión A.9.2.4 de la información de autenticación de secreto de los usuarios: controles de identificación
y autenticación revisión de usuario, por ejemplo, las políticas, normas, procedimientos, directrices y
controles técnicos, tales como la longitud mínima de la contraseña, reglas de complejidad, el cambio
forzado de contraseñas en el primer uso, autenticación de múltiples factores, la biometría, las contraseñas
compartidas, etc. Evaluar la mezcla de técnica / controles automatizados y procedimientos manuales,
revisiones por la dirección, etc. ¿alguien revisan de manera rutinaria para las contraseñas débiles y
seguimiento con la seguridad del usuario sensibilización / formación? Son nuevos, sustitutivos o
contraseñas temporales proporcionadas a los usuarios sólo después de confirmar sus identidades? Se
dicha información transmitida por medios seguros? Se generan o contraseñas por defecto suficientemente
fuertes es decir, difícil de adivinar o forzados-bruta? Se requieren receptores de acusar recibo de las
identificaciones y contraseñas? Se contraseñas por defecto de los proveedores cambiaron inmediatamente
después de la instalación de los sistemas o software? Comprobar los procedimientos y herramientas para
la generación de contraseña temporal: ¿son manual, totalmente automatizado o semi-? Se anima a los
usuarios a utilizar el software de contraseña del blindaje adecuado (si es así, ¿es lo suficientemente
seguro)? Confirmar que las contraseñas en los sistemas / dispositivos y aplicaciones se almacenan
puramente en forma encriptada (preferiblemente como hashes saladas).
A.9.2.5 Revisión de los derechos de acceso de usuario:Se revisiones periódicas de los derechos de acceso
de usuario en sistemas y aplicaciones encargaron / solicitado por sus propietarios '' para comprobar si hay
cambios en los roles de usuario, tales como promociones, movimientos internos y / o renuncias? Están los
derechos de acceso y permisos ajustados o re-autorizados en consecuencia? ¿Existe un mecanismo para
asegurar que los comentarios se producen regularmente, a tiempo? Dados los riesgos, son los derechos y
permisos de acceso para los usuarios privilegiados revisados más a fondo y con más frecuencia?
La eliminación A.9.2.6 o el ajuste de los derechos de acceso:comprobar el procedimiento para la
eliminación o ajuste de los derechos de acceso de los empleados, proveedores y contratistas en la
terminación o el cambio de su empleo, contrato o acuerdo. ¿Incluye el acceso físico a las instalaciones y el
acceso lógico a la red? Comprobar si las contraseñas de ID de usuarios conocidos o grupo (conocidos a los
que se van o se mueve internamente) se cambian cuando se producen tales desviaciones o movimientos.
En tales casos, están saliendo / individuos que se mueven retirados de grupos al mismo tiempo que el
cambio de contraseñas? Disponibilidad de una muestra de registros.
A.9.3 responsabilidades de los usuarios

A.9.3.1 Uso de la información de autenticación secreta:comprobar la política sobre la necesidad de
mantener las contraseñas, códigos PIN, etc., confidencial y no divulgar o grabar, cambiándolos
rápidamente si se sospecha de compromiso, y la necesidad de tener diferentes contraseñas para diferentes
sistemas (incluyendo negocios vs. uso personal). ¿Cómo se garantiza todo esto? Explora los riesgos de
información y controles de seguridad relativas a las cuentas compartidas (por ejemplo, son los propietarios

Toolkit ISO27k
de cuentas personalmente responsables de todas las actividades bajo '' sus cuentas, sin importar quién los
utiliza?).
Sistema A.9.4 y control de acceso de aplicaciones

restricción de acceso Información A.9.4.1: más a 9.2.2, revisar los diseños de seguridad y demás
documentación para una muestra de los principales sistemas para determinar si los controles de acceso
adecuados están en su lugar, incluyendo el uso de identidades de usuarios individuales, la autenticación de
usuarios, controles de acceso automatizados, encriptación, etc. ¿Cómo son los derechos de acceso , los
permisos y las reglas asociadas definen, autorizados, asignar, supervisar / revisados, gestionen y retirados?
A.9.4.2 sesión seguro sobre procedimientos:están de inicio de sesión procesos de identificación y
autenticación de usuario / garantizados por ejemplo, utilizando el control-alt-delete secuencia de teclas
para activar una función kernel privilegiada? Son avisos generales de advertencia se muestran durante la
entrada en el sistema de disuadir el acceso no autorizado, pero no información que pueda ayudar a
identificar a un usuario no autorizado y accede al sistema / servicio? ¿Cómo se reivindican identidades de
los usuarios autenticados durante el proceso de inicio de sesión? Se ha implementado la autenticación de
factores múltiples de sistemas / servicios / conexiones remotas críticas a través de redes privadas virtuales,
etc.? ¿La información de inicio de sesión única validada después de finalizar la entrada? Hacer retrasos de
activación de contraseña no válido o cierre patronal, entradas y alertas / alarmas log? Comprobar también
si inicios de sesión correctos se están registrando. Compruebe que las contraseñas nunca se transmiten a
través de redes o enlaces en texto plano.
A.9.4.3 sistema de gestión de contraseña:¿Los sistemas hacen cumplir los requisitos de seguridad de
contraseña establecidas en las políticas y normas de la empresa? ¿Las reglas definen longitud mínima de
contraseña, impiden la reutilización de un número especificado de contraseñas utilizadas anteriormente,
hacer cumplir reglas de complejidad (mayúsculas, minúsculas, números, símbolos, espacios, etc.), el
cambio forzado de contraseñas en primera de conexión, no visualización de contraseñas, ya que son de
transmisión (si es necesario) de las contraseñas en forma cifrada etc. entrada, almacenamiento y?
A.9.4.4 El uso de programas de utilidad privilegiados:que controla los servicios públicos privilegiados?
¿Quién puede acceder a ellos, en qué condiciones y con qué fines? Comprobar si estos individuos se les ha
proporcionado acceso en función de una necesidad de negocio y un proceso de aprobación auditable, y
está cada instancia de su uso conectado? Confirmar que el acceso a los programas de utilidades no se han
hecho a los usuarios de aplicaciones o sistemas en los que se requiere la separación de funciones.
Control de acceso a A.9.4.5 código fuente del programa:comprobar los controles de todo el código fuente
del programa. ¿Se almacena en una o más bibliotecas de programas fuente o repositorios, en entornos
seguros con un acceso adecuado y controles de versión, monitoreo, registro, etc.? ¿Cómo se modifica el
código fuente? ¿Cómo se emite código (desprotegido) y compilado? Se acceder y cambiar los registros
almacenados y revisados? Buscar pruebas.
A.10. Criptografía
10.1 Controles criptográficos

A.10.1.1 Política sobre el uso de controles criptográficos:se requiere el cifrado? Si es así, que los sistemas
de información, redes, aplicaciones, etc. cubre? ¿Existe una póliza con el uso de controles criptográficos,
que cubre lo siguiente:
 Los principios generales o circunstancias bajo las cuales la información debe ser protegida a través de
la criptografía;

Toolkit ISO27k
 Normas que deben aplicarse para la aplicación efectiva de la criptografía;
 Un proceso basado en el riesgo para determinar y especificar la protección requerida;
 La alineación con los requisitos documentados relativos a los equipos o servicios objeto de contratos
de TI;
 problemas de seguridad relacionados y compensaciones (por ejemplo, los efectos de cifrado en la
inspección de contenido en busca de malware, la divulgación de información, etc.);
 Cumplimiento de las leyes y reglamentos aplicables, tales como restricciones a la exportación (ver
A.18.1.1).
Comprobar cómo todos estos requisitos se cumplen y evaluar los riesgos de la información residuales.
A.10.1.2 Gestión de claves: compruebe que la política de criptografía cubre todo el ciclo de vida de la cuna
a la tumba de gestión de claves, incluyendo:
 Protección de los equipos utilizados para generar, almacenar claves criptográficas y de archivo;
 La generación de claves para los diferentes sistemas y aplicaciones;
 Las fuentes de aleatoriedad, y la evitación de claves débiles;
 Reglas alrededor de cambio / actualización de claves, por ejemplo, la que se autoriza, la emisión, la
comunicación y la instalación de llaves;
 Copias de seguridad o archivado de claves, la recuperación de claves que están pérdida o el daño y la
destrucción de claves;
 Registro y la auditoría de las actividades de gestión de claves;
 Manejo de solicitudes oficiales de acceso a claves criptográficas (por ejemplo, órdenes judiciales).
Comprobar cómo todos estos requisitos se cumplen y evaluar los riesgos de la información residuales.
A.11. La seguridad física y ambiental
Las áreas seguras A.11.1

A.11.1.1 perímetro de seguridad física:dentro del alcance del SGSI, son instalaciones razonablemente
discretos y localizados para minimizar el potencial desastre o coste de contramedidas de protección (por
ejemplo, no adyacente a las zonas propensas a las luchas, en la trayectoria de vuelo junto a un aeropuerto,
etc.)? Compruebe los perímetros de seguridad definidos a sitios, edificios, oficinas, salas informáticas y de
red, armarios de red, archivos, salas de máquinas, aparamenta eléctrica etc., están techo exteriores,
paredes y suelos de construcción sólida? Están todos los puntos de acceso externos adecuadamente
protegidos contra el acceso no autorizado? Es la construcción sólida físicamente por ejemplo, sólido 'losa a
losa' paredes (que se extienden falsos suelos últimos y techos); fuertes, Salud
puertasy seguridad
y ventanas delcon
personal
llave?
pueden
Compruebe si todas las puertas contra incendios en la pared perimetral externa tener prioridad
se alarman, sobre
no se pueden
protegida
abrir desde el exterior, son monitoreados por cámaras, probados periódicamente y quepor ejemplo,
funcionan las
de una
manera 'a prueba de fallos'. Confirman que sólo el personal autorizado puede rutas de salida
entrar en el de emergencia
recinto y cómo
se logra esto. Comprobar los sistemas de detección de intrusos, sus pruebas de y evidencias
seguridadde esta deprueba la
información, 'barras
periódica. Confirman que los controles cumplen con las normas locales o nacionales y las leyes (por de
ejemplo, los códigos de construcción, normas de salud y seguridad). choque' en puertas
cortafuegos de apertura hacia
A.11.1.2 controles de entrada físicos:están los sistemas de control de acceso adecuados empleados (por
el exterior, de anulación de
ejemplo, de proximidad o de tarjeta de-banda magnética, cerraduras de seguridad, de vigilancia CCTV,
bombero.
detección de intrusos) con procedimientos de búsqueda (por ejemplo, emisión / tecla de retorno, cambios
regulares código de acceso, inspecciones fuera de horas por guardias de seguridad, visitantes
rutinariamente acompañados y visitas registradas en el libro de visitantes habitaciones, movimiento de
Toolkit ISO27k
material, etc.)? Compruebe si hay una política de seguridad física que cubre todas las áreas relevantes,
tales como emisión de tarjetas de identificación, gestión de visitantes, la entrada a las áreas definidas del
edificio basado en roles y responsabilidades, el acceso al centro (s) de datos, salas de comunicaciones y
otras áreas críticas, etc. . ¿hay procedimientos que cubren todas estas áreas? Si se requiere autenticación
de múltiples factores (por ejemplo biométrica más el código PIN) para las áreas críticas, comprobar cómo
se implementa esto, el funcionamiento, controla y administra. Compruebe si hay registros de acceso (por
ejemplo, libros de visitantes) en los centros de datos / Procesamiento de habitaciones: hay una pista de
auditoría de sonido de todas las entradas y salidas? Compruebe si hay una auditoría de acceso físico para la
organización, su método y periodicidad.
A.11.1.3 Protección de oficinas, habitaciones e instalaciones:son instalaciones corporativas diseñadas de
manera que todo el acceso (entrada y salida) de las instalaciones se supervisa y controla (por ejemplo
detectores de proximidad, de vigilancia CCTV) físicamente. Asegúrese de que los libros de teléfono
corporativo, guías de direcciones no están fácilmente al alcance de todos y cada uno. Verificar que los
controles de seguridad utilizados para la sujeción oficinas, habitaciones y las instalaciones son
proporcionales a los riesgos para los activos de información almacenada, procesada o usada en dichos
lugares, con controles más estrictos para los activos de alto riesgo, habitaciones, áreas etc.
A.11.1.4 La protección contra amenazas externas y ambientales:revisar los controles de protección contra
el fuego, el humo, inundaciones, rayos, intrusos, etc. vándalos Comprobar el nivel de protección en la
recuperación de desastres, emergencias y sitios remotos también. Ver también A.11.2.
A.11.1.5 El trabajo en las áreas de seguridad:Se oficinas desocupadas, supuestamente TI habitaciones y
otros lugares de trabajo seguras comprobar al final del día, tanto por razones de seguridad y protección?
Son áreas seguras riesgo evaluados con controles adecuados implementados, tales como:
 controles de acceso físico;
 alarmas contra intrusos;
 monitoreo CCTV (comprobar la retención y la frecuencia de revisión);
 Fotográfico, vídeo, audio u otro equipo de grabación (incluyendo cámaras y micrófonos en dispositivos
portátiles) prohibidas; y
 Políticas, procedimientos y directrices.
¿Cómo están los detalles de los procesos de negocio / actividades de propiedad en diversas áreas de la
instalación mantendrá confidencial al personal autorizado?
A.11.1.6 de entrega y carga de las áreas:se reciben las entregas y realizan en un área segura (por ejemplo,
con control de acceso con sólo el personal autorizado tenga acceso)? Se recibe controlada de materiales
por razones de seguridad y de negocio (por ejemplo, un número de orden a juego una orden autorizada)?
Se registraron datos de acuerdo con las adquisiciones, gestión de activos y las políticas de seguridad y
procedimientos?
Equipo A.11.2
A.11.2.1 Equipo localización y protección:es TIC y el equipo relacionado se encuentra en áreas protegidas
de manera adecuada? Son pantallas de ordenador, impresoras y teclados situados o protegidas para evitar
accesos no autorizados? Compruebe los controles para minimizar el riesgo de amenazas físicas y
ambientales, tales como:
 Inundación:instalaciones adecuadamente situadas para minimizar el potencial de inundación (por
ejemplo, por encima de la tabla de agua, no adyacente a los tanques de agua, no hay tuberías de agua
de sobrecarga etc.). Cuando sea apropiado, la protección adicional / secundario instalado y
mantenimiento realizado membranas por ejemplo, a prueba de agua, bandejas de goteo bajo

Toolkit ISO27k
unidades de aire acondicionado, bajo el suelo de detección de agua con alarmas remotas y
procedimientos de incidentes, encuestas regulares o inspecciones de techos, huecos bajo el suelo etc.
busca de signos de fugas de agua / penetración;
 Fuego y humo: instalaciones no inflamables y accesorios, alarmas de incendio, baja emisión de humo
cableado, etc.
 La temperatura, humedad y el poder: Ver A.11.2.2
 Polvo: equipos y acondicionador de aire filtros mantiene (revisados, limpiado, sustituidos) con
regularidad. instalaciones de TIC mantenerse limpios por ejemplo, utilizando especialista “limpieza
profunda", incluyendo piso y techo huecos, bajo pared de cubierta de polvo, bajo el suelo sellado,
cubiertas de polvo / membranas etc. [Nota: limpiadores en áreas sensibles tales como salas de
ordenadores normalmente deben ir acompañados / supervisado , a menos que la limpieza se realiza
únicamente por personal competente, digno de confianza. Limpiadores pueden necesitar ser la
habilitación de seguridad y gestionado de forma proactiva si la organización maneja clasificado u otra
información altamente sensible / valiosa gobierno.]
 Relámpagos, electricidad estática y la seguridadConfirmar que todas las piezas metálicas expuestas es
tierra unido a un punto de tierra de seguridad común, de conformidad con la normativa eléctrica.
Confirmar el uso de pararrayos montados, aisladores de cable, fusibles etc. cuando sea aplicable. Se
prueban estos controles periódicamente y después de los cambios principales?
 Otro: por ejemplo, robo, explosivos, la vibración, la contaminación química, la interferencia de
suministro eléctrico, la interferencia de comunicaciones, la radiación electromagnética y daños
vandalismo / criminal.
A.11.2.2 Apoyando Utilidades - energía eléctrica:comprobar y preguntar instalaciones o ingenieros
eléctricos para explicar los arreglos de energía eléctrica para salas de ordenadores, armarios de red y otros
lugares que albergan los sistemas compartidos o críticos de TI (servidores, PABX, centros de
comunicaciones, sistemas de seguridad, sistemas de seguridad, sistemas de gestión, etc. edificio). ¿Hay
equipo de grado en línea de UPS, filtros, etc. que proporcionan energía de calidad fiable y de alta? ¿Hay
capacidad del SAI adecuado para soportar todo el equipo esencial para un período suficiente (para
montaje en bastidor interno,, la habitación o sistemas del sitio enteros)? ¿Cómo sabemos que todos los
equipos esenciales realmente utiliza un suministro seguro? ¿Hay generadores de capacidad suficiente? Se
UPS y generadores operados, controlados y mantenidos de acuerdo con las especificaciones del fabricante
y probados en carga con regularidad? En su caso, ¿hay redundantes de red (dual-enrutados) se alimenta de
subestaciones o rejillas separadas? ¿Qué pasa cuando se hacen cableado de alimentación, instalaciones y
equipo conmutador de cambio o pruebas: son los sistemas y servicios afectados?
Aire acondicionado:¿hay adecuadamente especificados e instalados aparatos de aire acondicionado de
grado computadora? Se enfriadores / condensadores elegida convenientemente? ¿Hay suficiente
capacidad de A / C para soportar la carga de calor, incluso en un verano caliente? ¿Hay unidades
redundantes / o piezas de portátiles disponibles para mejorar la capacidad de recuperación y permitir el
mantenimiento sin afectar el servicio? ¿Hay sensores de temperatura con lectura remota de exceso de
temperatura alarmas y procedimientos de incidentes? Es operado equipos de aire acondicionado
profesionalmente, probados y mantenidos de acuerdo con las especificaciones del fabricante? ¿Hay
procedimientos de operación y mantenimiento adecuados, incluyendo la limpieza del filtro y se ocupan de
exceso de temperatura o de otro tipo de alarma?
Otro:comprobar si las instalaciones y los servicios públicos de apoyo (por ejemplo, electricidad,
telecomunicaciones, abastecimiento de agua, gas, alcantarillado, ventilación y aire acondicionado) están
siendo inspeccionados y probados periódicamente para garantizar su correcto funcionamiento. Ellos deben
alarmarse por mal funcionamiento, y tal vez por la actividad no autorizada. Comprobar cómo se manejan
las alarmas fuera de hora (por ejemplo, hacer guardias de seguridad tienen indicadores de alarma a

Toolkit ISO27k
distancia / receptores acústicos en sus consolas, con los procedimientos de respuesta adecuados,
formación / ejercicios etc.?).
A.11.2.3 la seguridad de cableado:¿hay protección física apropiada para cables externos, cajas de
empalme, enfriadores de aire acondicionado, platos de microondas, entradas de aire, etc. contra daños
accidentales o interferencia deliberada? Compruebe si los cables de alimentación estén separados de los
cables de comunicaciones para evitar interferencias. Compruebe si el acceso a los paneles de conexión y
salas de cable se controla, con cableado oculto / protegido contra las escuchas uniendo dispositivos no
autorizados, o daño físico. ¿Existen procedimientos adecuados para confirmar todo esto? Verificar que el
cableado de las instalaciones se llevan a cabo de conformidad con las normas de construcción y otras
regulaciones aplicables, normas y políticas.
A.11.2.4 El mantenimiento del equipo:comprobar que sólo el personal cualificado llevar a cabo el
mantenimiento de equipos (infraestructura y los dispositivos de red, ordenadores portátiles, ordenadores
de sobremesa, etc., y todo el equipo de seguridad y utilidad como detectores de humo, dispositivos de
extinción de incendios, climatización, control de acceso, circuito cerrado de televisión, etc.), compruebe
que el equipo está mantenimiento y servicio de acuerdo con las especificaciones de los fabricantes. ¿Hay
hasta a la fecha de los programas de mantenimiento y los registros / informes? Si está asegurado el
equipo, se mantenimiento y otros requisitos del contrato de seguro satisfechas?
La eliminación de los activos A.11.2.5:revisar la política y el procedimiento relativo a la eliminación de los
activos de información (equipos de TIC, medios de almacenamiento y el contenido de información) de los
sitios, edificios, oficinas, archivos y otros lugares. ¿Hay aprobaciones o autorizaciones documentadas en los
niveles apropiados (por ejemplo, equipo o propietarios de la información)? [Cómo] son movimientos
restringido al personal autorizado? Lo que impide que las personas que segregan las unidades USB y otros
dispositivos de almacenamiento pequeña sobre su persona? Compruebe los procedimientos para los
movimientos de seguimiento de activos de alto valor o de alto riesgo. A través del proceso. Disponibilidad
de una muestra de los registros relativos a los movimientos de precisión e integridad.
A.11.2.6 Seguridad de los equipos y activos fuera de las instalaciones:¿hay una 'Política de Uso Aceptable'
o cubriendo orientación equivalente requisitos de seguridad y 'aconsejables y desaconsejables' para todos
los dispositivos móviles o portátiles que se utilizan desde casa o desde ubicaciones remotas? Lo hace con
los requisitos estatales tales como la custodia adecuada y el almacenamiento seguro, física y / o control de
acceso lógico (por ejemplo, armarios con cerradura, cifrado), conexiones seguras (por ejemplo VPNs),
escritorios claras y pantallas claras, la protección de campos electromagnéticos fuertes, copias de
seguridad periódicas, etc. ¿Cómo se logra todo esto y asegura en la práctica? ¿Cómo son los trabajadores
conscientes de sus obligaciones? ¿Se les da el apoyo suficiente para lograr un nivel aceptable de
seguridad?
A.11.2.7 La eliminación segura o re-uso de equipos:revisar las políticas, normas, procedimientos,
directrices y registros asociados relacionados con cómo son reutilizados o desechados de medios de
almacenamiento y equipos de TIC. ¿Cómo impedir que la información almacenada que se da a conocer la
organización, a un nivel de garantía suficiente dados los riesgos de información asociados (por ejemplo,
relativa a la clasificación de datos o sistema)? Si hay una fuerte dependencia de cifrado o borrado seguro,
¿cómo funciona eso y cómo son dispositivos que no son funcionales y medios dispuestos de-? Son
mantenidos registros adecuados de todos los medios que se disponen de, con detalles tales como la
naturaleza del contenido, la forma de disposición y donde confirmación positiva adecuado de eliminación
segura? ¿La política y el proceso de cubrir todos los dispositivos y medios de TIC? La caza de excepciones.
A.11.2.8 equipos de usuario desatendida:Si las sesiones de usuarios activos están suspendidos o
terminados después de un tiempo de inactividad definido, cómo se suspendió aplicaciones / terminadas
para evitar la pérdida o corrupción de datos? Es la definición de tiempo de inactividad adecuado, dados los
riesgos de acceso físico no autorizado a dispositivos activos / ha iniciado la sesión? Si se utilizan pantallas-

Toolkit ISO27k
locks, que son protegidos con contraseña? ¿Esta política se aplica a todos los servidores, ordenadores de
sobremesa, ordenadores portátiles, teléfonos inteligentes y otros dispositivos de TIC? ¿Cómo es
comprobado y cumplir? Son ninguna excepción riesgo evaluados y autorizados por la administración como
excepciones de política?
A.11.2.9 Claro escritorio y la política pantalla clara:revisar las políticas, normas, procedimientos y
directrices en esta área. ¿Qué tan bien está funcionando en la práctica? Paseo por la comprobación de los
activos inseguros de información tales como servidores ha iniciado la sesión sin llave, PCs, ordenadores
portátiles y teléfonos inteligentes, medios de almacenamiento digital insegura (como lápices de memoria
USB) y el papeleo (por ejemplo diarios; contraseñas en notas Post-It, archivos, formularios y notas que
contienen confidencial de la empresa o información personal; Impressos abandonados en las impresoras y
fotocopiadoras; archivadores desbloqueados). ¿Todos los dispositivos informáticos tienen un protector de
pantalla protegido por contraseña o bloqueo que los empleados utilizan cuando alejándose de sus
dispositivos, o que se activa después de un tiempo de inactividad definido? Compruebe los procedimientos
en torno a la utilización de impresoras, fotocopiadoras, escáneres, cámaras y cualquier otro tecnologías de
reproducción.
A.12. seguridad de las operaciones
Procedimientos operacionales A.12.1 y responsabilidades

A.12.1.1 documentados los procedimientos de operación:revisar el estado general de los procedimientos
para las operaciones de TI, sistemas y gestión de redes, gestión de incidencias, la administración de TI de
seguridad, y las operaciones de seguridad física, gestión de cambios, etc. ¿Hay un conjunto completo de los
procedimientos de seguridad en su lugar y cuándo fueron revisados por última vez? Son los procesos
razonablemente seguro y bien controlado? Se incluyen aspectos de seguridad de la información apropiada
(por ejemplo, funciones incompatibles separado de forma que el personal separada, los procedimientos de
notificación de incidentes, control de gestión, etc.)? Son claramente las responsabilidades asignadas a los
roles y por lo tanto a las personas correspondientes, junto con la formación, ejercicios, etc.? Las áreas que
normalmente requieren procedimientos operacionales de gestión y / o documentados incluyen: cambio, la
configuración, la liberación, la capacidad, el rendimiento, problema, incidente, las copias de seguridad y
archivos (incluyendo el almacenamiento y restauración), la manipulación de los medios de comunicación,
los registros y las pistas de auditoría, alarmas y alertas, operativa la seguridad (por ejemplo,
endurecimiento, las evaluaciones de vulnerabilidad, parches, configuración antivirus y actualizaciones, el
cifrado, etc.). Buscar evidencia que confirma que los procedimientos están siendo revisados y mantenidos
de forma rutinaria, autorizados / mandato, circulan y se utilizan. Muestra y evaluar de alto riesgo o
procedimientos problemáticos conocidos más a fondo.
A.12.1.2 Gestión del cambio:revisar las políticas no son de TI de gestión de cambios, procedimientos,
normas, prácticas y registros relacionados. Son cambios planificados y gestionados, los impactos evaluados
(teniendo en cuenta los riesgos de la información y los aspectos de seguridad, además de los impactos de
no cambiar!). Revisar una pequeña muestra de los registros de gestión del cambio, centrarse en los
cambios de alto riesgo. Se cambia debidamente documentada, justificada y autorizada por la
administración? Busque oportunidades de mejora. (Ver también A.14.2.2).
A.12.1.3 Gestión de la capacidad:revisar las políticas de gestión de capacidad, los procedimientos, las
prácticas y los registros asociados. ¿Incluye aspectos tales como: niveles de servicio definidos, el
seguimiento de las métricas relevantes (por ejemplo, fallos de utilización de la CPU del servidor, el espacio
Verificación cruzada contra la
de almacenamiento y de página duro, capacidad de la red, la demanda de potencia y capacidad de aire
Administración de la continuidad
acondicionado, espacio de rack, la utilización y las tasas de estrés para los trabajadores clave), alarmas /
(por ejemplo, las evaluaciones de
alertas en niveles críticos, la planificación hacia adelante (teniendo en cuenta los tiempos de tramitación
impacto de negocio BCM identificar
Copyright © Foro ISO27k, 2017 sistemáticamente información
31 |P á g i ny a
servicios de apoyo que son críticos
para el negocio).
Toolkit ISO27k
de las adquisiciones y la gestión del cambio), etc.? ¿Hay evidencia de un enfoque basado en el riesgo por
ejemplo, una prioridad en asegurar el rendimiento y la disponibilidad de servicios críticos, servidores,
infraestructura, aplicaciones, funciones, etc.?
Separación A.12.1.4 de desarrollo, prueba y entornos operativos:Revisar las políticas, procedimientos,
prácticas, configuraciones de recuperación de desastres registros asociados y arquitecturas que separan o
segregan desarrollo, prueba y entornos TIC operativo (incluido el control / garantía de calidad, pre-
producción, de doble directo / reflejado, equilibrio de carga, conmutación por error y, además de la
asignación de recursos dinámicos en la nube). ¿Cómo se logra la separación a un nivel de aseguramiento
adecuada (según los riesgos)? Compruebe si hay controles adecuados de aislamiento de cada entorno (por
ejemplo, las redes de producción / negocio separados de otras redes que se utilizan para el desarrollo, las
pruebas, la gestión de la seguridad, incluyendo el registro, monitoreo y alerta). Compruebe los controles
de acceso para estos entornos. Confirmar (por una investigación y ensayo de muestras) que los
trabajadores sólo las personas autorizadas tengan acceso a través de los perfiles de usuario de una
diferenciación adecuada a cada uno de estos entornos. ¿Cómo es el software promovido y puesto en
libertad? Revisar la evidencia de aprobación de las solicitudes antes de conceder el acceso, y las revisiones
periódicas de acceso. Compruebe que la gestión del cambio se aplica a la autorización y la migración de
software, datos, metadatos y configuraciones entre los entornos en cualquier dirección (por ejemplo, datos
de producción copian en entornos de desarrollo o pruebas). Considere el riesgo de la información y los
aspectos de seguridad que incluye el cumplimiento (por ejemplo, si implicaciones de privacidad de datos
personales se mueven a entornos menos seguros o fuera de la UE). ¿Quién es responsable de asegurar que
el software nuevo / cambiado no interrumpe la infraestructura, otros sistemas, redes y operaciones etc.?
Protección contra el malware A.12.2

A.12.2.1 Controles contra el malware:revisar las políticas de malware, procedimientos, directrices,
prácticas y registros asociados. Comprobar cualquier lista blanca o negro-lista de aplicaciones que pueden
o no pueden ser utilizados en la empresa. ¿Cómo se compila la lista, gestionado y mantenido, y por quién?
Revisar la protección contra malware y los procedimientos de respuesta a incidentes y una muestra de
informes de incidentes de malware. ¿Hay virus controles continuos / frecuentes en todos los dispositivos
relevantes, incluyendo establecimientos propios, portátiles, dispositivos integrados y la IO cosas? Se
reducen al mínimo los niveles de infección (es decir, es la situación en términos generales bajo control)?
¿Cómo se actualiza el software anti-virus, tanto manual como automáticamente? Se malware detectado
por los escáneres informó a un coordinador apropiado? Si la notificación es manual, qué proporción recibe
una notificación (todos, la mayoría, algunos o sólo algunos)? ¿Existe una protección adecuada contra
ransomware, troyanos, gusanos, spyware, rootkits, keyloggers, amenazas avanzadas persistentes etc.?
¿Cómo se gestionan las vulnerabilidades técnicas? ¿Hay en curso una formación adecuada y el
conocimiento que abarca la detección, notificación y resolución de software malicioso para los usuarios,
gestores y especialistas de apoyo? En el caso de un incidente grave, comprobar los controles asociados a
investigar y resolver el incidente, incluyendo la detección rápida de brotes y aislamiento de la red, la
escalada a la gestión, la notificación de las partes afectadas, invocación de mecanismos de continuidad de
negocio, análisis forense, etc.
A.12.3 de copia de seguridad

A.12.3.1 copia de seguridad de la información:revisar las políticas de copia de seguridad, procedimientos,
prácticas y registros asociados. ¿Hay un mandato basado en el riesgo para un registro exacto y completo
de copias de seguridad cuya extensión y frecuencia reflejan los requisitos de negocio? ¿Las estrategias de
copia de seguridad cubren datos y metadatos, el sistema y los programas de aplicación incluidos los
servicios públicos, etc. parámetros de configuración para todos los sistemas, incluyendo servidores,
ordenadores de sobremesa, sistemas de teléfono / red, sistema / sistemas de gestión de red,
Toolkit ISO27k
independiente / sistemas portátiles, sistemas de control, sistemas de seguridad, etc. ? Son los medios de
copia de seguridad protegido físicamente / asegurados por lo menos al mismo nivel que para los datos
operativos? Son copias de seguridad almacenadas en lugares diversos adecuados, la protección contra
catástrofes físicas, incendios, robos, etc.? Se probaron las copias de seguridad con regularidad para
asegurarse de que puede de hecho ser restaurados intacta? Son archivos diseñados expresamente a largo
plazo, diversa, almacenamiento seguro asegurado y restauración (por ejemplo, unidad de almacenamiento
y dispositivos)? Compruebe que los objetivos de tiempo y punto de recuperación definidos se pueden
cumplir. El uso de una pequeña muestra, comprobar si los medios de copia de seguridad que figuran en los
registros existen realmente en el lugar correcto y están debidamente asegurados y etiquetados.
Compruebe los exámenes técnicos y de gestión en esta área, incluyendo las conclusiones y acciones que
surjan. Evaluar los riesgos asociados de información (confidencialidad, integridad y disponibilidad
aspectos).
Registro y monitoreo A.12.4

A.12.4.1 El registro de eventos:opinión registro de eventos políticas, procedimientos, prácticas y registros
asociados. Son todos los sistemas de clave (incluyendo el registro de evento en sí) siendo monitoreado y
registrado de manera consistente y segura? ¿Qué eventos o parámetros están siendo monitoreada (buscar
evidencia de una arquitectura, diseño o base de datos estructurada)? Compruebe si hay registro de los
eventos relevantes para la seguridad, tales como: cambios en los identificadores de usuario, permisos y
controles de acceso; las actividades del sistema privilegiadas; los intentos de acceso exitosos y no exitosos,
incluyendo inicio de sesión y cierre de sesión; identidades de dispositivo y la ubicación, además de
direcciones y protocolos de red; la instalación del software y los cambios en las configuraciones del sistema
(por ejemplo, restablecer el reloj de, ingrese parada / arranque, alarma cancelar); uso de las utilidades y
aplicaciones del sistema; archivos accedidos y el tipo de acceso). Controlar mediante muestreos que los
incidentes de seguridad están debidamente reportados, evaluados y resueltos. ¿Quién es responsable de
revisar y dar seguimiento a los eventos notificados? ¿Por cuánto tiempo se conservan los registros de
sucesos, etc.? ¿Hay un proceso para revisar y responder apropiadamente a las alertas de seguridad de los
vendedores, los CERT, grupos de interés profesionales, fuentes gubernamentales, etc.? Está ejecutando el
proceso general razonablemente bien en la práctica? ¿Cómo puede ser mejorado?
Protección A.12.4.2 de información de registro:en su caso, se registros se almacenan / archivado en un
formato o control mecanismo seguro no editable? Es el acceso a los registros adecuadamente controlado,
autorizado y supervisado? ¿Quién tiene, o podría obtener, leer / escribir / borrar el acceso a los registros
de eventos, y es que su caso? ¿Hay suficiente capacidad de almacenamiento dado el volumen promedio de
los registros que se generan y los requisitos de retención (duración)? Compruebe el estado histórico de
estos requisitos.
A.12.4.3 administrador y operador registros:revisar las políticas, procedimientos, prácticas y registros
asociados en relación con los administradores privilegiados, operadores, etc., incluyendo la seguridad,
SIEM y administradores de servicios externalizados. ¿Cómo se recogen los registros, almacenados y
asegurados, analizaron / supervisar y mantener (por ejemplo archivados para el análisis forense posterior)?
En su caso, no las medidas de seguridad limitan la capacidad de estas personas para interferir con los
troncos o las configuraciones forestales, al menos no sin levantar alarmas de seguridad e incidentes? Tenga
en cuenta los riesgos e identificar cualquier problema o las oportunidades de mejora.
A.12.4.4 sincronización de reloj:revisar las políticas, arquitecturas, los procedimientos, las prácticas, las
directrices y los registros asociados relativos a la sincronización del reloj del sistema y la precisión. ¿Hay un
tiempo de referencia definida (preferiblemente basado en relojes atómicos por ejemplo GPS o NTP a una
referencia de tiempo estrato 1)? ¿El método para sincronizar los relojes con la referencia encuentro de
negocios, la seguridad, los requisitos operacionales, legales, reglamentarios y contractuales? Ha llevado a
la práctica en todo el parque informático incluyendo sistemas de control, tales como circuitos cerrados de
Toolkit ISO27k
televisión, alertando y sistemas de alarma, los mecanismos de control de acceso, auditoría y sistemas de
registro, etc. IO cosas? Compruebe los mecanismos de seguimiento. Lo que en realidad sucede si una
referencia de tiempo no está disponible por alguna razón? Haga que los riesgos de información asociados
sido analizada y tratada de manera adecuada? ¿Cómo se cambia de reloj, etc. segundos bisiestos manejan?
A.12.5 control del software operativo

Instalación A.12.5.1 de software en los sistemas operativos:revisar las políticas, procedimientos, prácticas
y registros asociados en relación con la instalación del software. Compruebe que sólo totalmente probado,
aprobado y software compatible actualmente / mantenido está instalado para su uso en producción. Cazar
cualquier software obsoleto y sobre todo ya no es compatible / mantenido en los sistemas de producción
(firmware, sistemas operativos, middleware, aplicaciones y utilidades). Compruebe que ordenadores de
sobremesa, portátiles, servidores, bases de datos, se configuran para impedir la instalación de software,
excepto por los administradores capacitados y autorizados bajo la autoridad de gestión. Hacer el
seguimiento de los sistemas y las prácticas de seguridad de ningún bandera instalaciones de software no
autorizados, informar de ellos a ellas y grabar en la base de datos de gestión de la configuración,
monitorización / alertar a los sistemas de gestión y etc? Verificación cruzada contra el cambio y la gestión
de configuración, gestión de la seguridad, continuidad del negocio y otras áreas pertinentes, centrándose
en los sistemas de alto riesgo / críticos.
A.12.6 Gestión técnica vulnerabilidad

Gestión A.12.6.1 de vulnerabilidades técnicas:revisar las políticas, procedimientos, prácticas y registros
asociados en materia de gestión (identificación, el riesgo-evaluación y tratamiento) de las vulnerabilidades
técnicas. ¿Cómo descubrir la organización y responder a las vulnerabilidades técnicas en equipos de
sobremesa, servidores, aplicaciones, dispositivos de red y otros componentes? Revisar incidente y cambiar
los registros de control de las pruebas relativas a los parches recientes, los estudios de vulnerabilidad,
pruebas de penetración, etc. ¿Existen procesos adecuados que permitan controlar los inventarios de
sistemas e identificar si las vulnerabilidades descritas son relevantes? Se ha realizado una evaluación de
riesgos integral de los sistemas de TIC? riesgos han sido identificados y se trata adecuadamente,
priorizados de acuerdo con el riesgo? Es la evaluación de riesgos en curso para identificar cambios como
las nuevas amenazas, vulnerabilidades conocidas o sospechadas, y los impactos de negocio en evolución o
consecuencias? Son evaluados parches para la aplicabilidad y los riesgos antes de ser implementado? Son
los procesos de implementación de parches urgentes suficientemente hábil y completa? ¿En qué medida la
organización depende de la gestión automatizada de parches, en efecto, la aceptación de los riesgos
asociados a la implementación de parches no oficiales? Buscar cualquier evidencia de sistemas
importantes que no se han mantenido en los niveles actuales de liberación y / o correcciones contra
vulnerabilidades conocidas.
Restricciones A.12.6.2 sobre la instalación del software:controlar que sólo el personal autorizado con
privilegios del sistema adecuados son capaces de instalar software en los sistemas. Comprobar el número
de categorías de estos privilegios están allí y qué privilegios tiene cada categoría. Comprobar qué tipos de
software de cada una de estas categorías se pueden instalar, en el que los sistemas. ¿Se aplican los
controles a parches, restauraciones de copia de seguridad y descargas en línea, así como la instalación de
sistemas convencionales?
consideraciones de auditoría de sistemas de información A.12.7

Información A.12.7.1 controles de auditoría de sistemas:comprobar que las auditorías de seguridad de la
información son un requisito política. ¿Hay un programa definido y procedimientos para la auditoría?
Verificar si los requisitos de auditoría que involucran los controles de los sistemas operativos están

Toolkit ISO27k
cuidadosamente planificadas y acordadas para reducir al mínimo el riesgo de interrupciones en el proceso
de negocio. Verificar si el alcance de la auditoría se acordó con la dirección apropiada. Verificar que el
acceso a la información de auditoría del sistema de herramientas / software se controla para evitar el uso
indebido y el compromiso. Verificar la segregación de las herramientas de auditoría del sistema de
sistemas operativos y de desarrollo, y que se les proporcione un nivel adecuado de protección.
A.13. seguridad de las comunicaciones
A.13.1 gestión de la seguridad de la red

A.13.1.1 controla la red:comprobar si existe una póliza con redes tanto cableadas e inalámbricas. Es la
gestión de las operaciones de ordenador independiente de las operaciones de red? Compruebe si hay
mecanismos adecuados de protección de la seguridad en las redes. Compruebe para el registro y
seguimiento de la red y sus dispositivos apropiados, la verificación de los procedimientos de autenticación
'' a prueba de fallos para todos los accesos a la red de organizaciones. Ve cómo los puntos de acceso a la
red están protegidos contra el acceso no autorizado? ¿Cómo funciona el sistema de limitar el acceso de las
personas autorizadas a legítimos aplicaciones / servicios? Se usuarios autenticados adecuadamente al
iniciar la sesión (incluyendo marcación de entrada y los usuarios / Web remoto)? ¿Cómo se autentican
nodos de la red? Son dominios de seguridad distintas establecieron utilizando firewalls, VLAN, VPN, etc.?
Confirmar protección de los módems por ejemplo seguras de gestión del sistema privilegiado y puertos de
soporte remoto, sistemas de desafío-respuesta, tecla de bloqueo de salida, etc.
A.13.1.2 Seguridad de los servicios de red: comprobar si hay una política sobre lo siguiente y cómo se
aplican en las operaciones del día a día:
 una gestión segura de los servicios de información;
 El seguimiento de los servicios de red;
 Derecho de auditar como parte del contrato en el caso de los servicios de red gestionados por un
tercero (contratos, SLAs y obligaciones de información de gestión);
 De autenticación en la red, además de los controles de cifrado y de conexión de red;
 La revisión periódica de los parámetros técnicos, revisión de reglas de firewall, IDS / IPS firmas, etc.
A.13.1.3 La segregación en los servicios de red:revisar la política sobre la segregación de la red y
considerar los riesgos. ¿Qué tipos de segregación de la red están en su lugar? Consiste en la separación de
la red basada en la clasificación, los niveles de confianza, dominios (públicos, ordenadores de sobremesa,
servidores, funciones), una combinación o alguna otra cosa? Compruebe cómo se logra la segregación,
supervisado y controlado. ¿Cómo son las redes inalámbricas segregados de las redes de cable? Comprobar
cómo las redes de invitados están separados de las redes corporativas. ¿Existen controles adecuados entre
ellos? Si hay algún extranets con proveedores, etc., ¿cómo están estos asegurados? ¿Es la seguridad
adecuada dados los riesgos y el nivel de riesgo de la empresa?
La transferencia de información A.13.2

A.13.2.1 Información de las políticas y procedimientos de transferencia:comprobar si hay una política
sobre el tema y para los procedimientos de alrededor de transmisión segura de información a través de
correo electrónico, FTP y otras aplicaciones de transferencia de datos y protocolos, Web (por ejemplo,
grupos / foros), Dropbox y servicios en la nube similares, Wi-Fi y Bluetooth, CD / DVD, USB palo,
mensajería, etc. Compruebe cómo las diversas categorías de clasificación (niveles) de información se
requiere para ser asegurado cuando se transfiere. Son controles de acceso adecuada? Dónde, cuándo y
cómo tiene el mandato de criptografía (por ejemplo, el cifrado de enlace, el cifrado de correo electrónico,

Toolkit ISO27k
ZIP cifrados)? Compruebe que la confidencialidad adecuado o arreglos de privacidad (tales como acuerdos
de no divulgación, la identificación y autenticación, fuera de la banda de la divulgación de las claves de
cifrado, no repudio / prueba de recibo) están en su lugar antes del intercambio de información sensible o
valioso. Compruebe los arreglos de sensibilización, capacitación y cumplimiento asociados también.
Acuerdos A.13.2.2 en la transferencia de información:más a A.13.2.1, sobre qué tipos de comunicaciones
se implementan las firmas digitales? Compruebe pasivos y de control en caso de pérdida de datos, la
corrupción, la divulgación etc. identificación Comprobar y la sincronización de los niveles de clasificación de
la información de todas las partes involucradas. ¿Cómo es una cadena de custodia mantiene durante las
transferencias de datos?
A.13.2.3 La mensajería electrónica:verificación de la política de requisitos de control alrededor de correo
electrónico, revisar las políticas y procedimientos para el intercambio de datos, por ejemplo, enlaces de
red de comunicaciones, incluyendo correo electrónico y FTP / SFTP, conexiones de acceso telefónico, etc.
¿Hay controles de seguridad adecuados (por ejemplo, correo electrónico / enlace de encriptación,
autenticación y el no repudio basado en mensaje de clasificación, etc.)? las medidas de seguridad opinión
para Internet, Intranet y sistemas relacionados (tablones de anuncios, etc.).
Confidencialidad A.13.2.4 o no divulgación acuerdos:localizar y comprobar el contenido de dichos
acuerdos. ¿Han sido revisados y aprobados por Legal? ¿Cuándo se revisaron por última vez (periódica o
cambian impulsada)? ¿Han sido aprobada y firmada por las personas apropiadas? ¿Hay sanciones
adecuadas y las acciones esperadas en caso de incumplimiento y / o beneficios para el cumplimiento (por
ejemplo, un bono de desempeño)?
A.14. Sistema de adquisición, desarrollo y mantenimiento
A.14.1 requisitos de seguridad de los sistemas de información

A.14.1.1 análisis de requisitos de seguridad de la información y especificaciones:compruebe las políticas,
procedimientos, directrices, prácticas y registros en esta zona. Son sistemas formales de desarrollo de
métodos utilizados habitualmente para sistemas de alto riesgo, por ejemplo, la seguridad operacional
Business- o de misión crítica? Son el análisis de la información de riesgo, especificación de requisitos
funcionales y técnicos, arquitectura de seguridad / diseño, las pruebas de seguridad y certificación, etc.
actividades obligatorias para todos los nuevos desarrollos y cambios en los sistemas existentes (por
ejemplo, actualizaciones de mantenimiento, sistema operativo / actualizaciones de aplicaciones, cambios
de cifrado, etc.). Se riesgos información que se maneja de una manera similar para los sistemas
comerciales y software, incluyendo a medida, personalizados y productos off-the-shelf?
A.14.1.2 Protección de servicios de aplicaciones en las redes públicas:Si la organización usa o proporciona
aplicaciones basadas en web u otros sistemas de comercio electrónico, revisar los controles de seguridad
de la información correspondientes para el acceso y autenticación de usuarios, integridad de datos y la
disponibilidad del servicio. diseños de seguridad reseña de una pequeña muestra de los sistemas
principales para determinar si los controles tales como la validación de datos de entrada, la validación de
procesamiento, encriptación, autenticación de mensaje, no repudio etc. se emplean adecuadamente.
Compruebe si la utilización forzada de https, por ejemplo, para proteger los datos sensibles de camino
entre el navegador y el servidor Web. sistema de revisión de la documentación de seguridad. Son tales
requisitos cubiertos por la póliza? Si la organización se suscribe a un servicio de 'inteligencia de amenazas',
comprobar qué sitios web públicos están siendo monitoreados. Se amenazas identificadas se documentan
de forma rutinaria, los riesgos evaluados y tratados a través de procedimientos de incidentes y de gestión
del cambio?

Toolkit ISO27k
A.14.1.3 La protección de las transacciones de servicios de aplicación:además a A.14.1.2, comprobar
cómo se consiguen integridad de la transacción, la confidencialidad, la disponibilidad y la prevención de la
mis-enrutamiento. Se realizan las transacciones y se almacenan en un ambiente interno seguro (no abierto
a Internet!)? ¿Cumplen todos los requisitos legales, reglamentarios y de cumplimiento jurisdiccionales?
A.14.2 Seguridad en los procesos de desarrollo y soporte

A.14.2.1 política de desarrollo Secure:¿existe una política de desarrollo seguro que cubre las arquitecturas
de seguridad, servicios y software? Son entornos de desarrollo y los registros de seguro con control de
acceso, seguridad y vigilancia del cambio, etc.? Hacen los métodos de desarrollo incluyen directrices de
codificación segura? Confirmar que los desarrolladores tienen un conocimiento adecuado sobre las
prácticas de codificación segura y son capaces de utilizar las técnicas de programación segura en casos de
reutilización de código en las que no pueden ser plenamente conocidos estándares de desarrollo. Estos
controles se van a realizar, incluso si el desarrollo se subcontrata a terceros.
Sistema A.14.2.2 procedimientos de control de cambios:revisar las políticas de TI de gestión de cambio de
sistema, procedimientos, normas, prácticas y registros relacionados. ¿Es que incluyen la planificación y las
pruebas de los cambios, las evaluaciones de impacto (incluyendo riesgos de la información y los aspectos
de seguridad, además de los impactos de no cambiar!), Controles de verificación de instalación y los
procedimientos de repliegue / back-out / reversión (probado!), Tanto estándar ( producción y no
producción) y los cambios de emergencia, etc.? ¿Cubren cambios significativos en la informática y de
telecomunicaciones (hardware), sistema de llave y los parámetros de seguridad, sistema y software de
aplicación, firmware, etc.? Revisar una pequeña muestra de los registros de gestión de cambio de sistema,
centrándose en los cambios del sistema de alto riesgo. Son cambios en el sistema debidamente
documentado, justificados y autorizados por la administración? Busque oportunidades de mejora. (Ver
también A.12.1.2).
A.14.2.3 Revisión técnica de aplicaciones después de operar cambios en la plataforma:evaluar si los
cambios en los sistemas (por ejemplo, actualizaciones de mantenimiento, sistema operativo /
actualizaciones de aplicaciones y parches, cambios de cifrado, etc.) revisiones de seguridad del gatillo /
evaluaciones de riesgos y, si es necesario, re-certificación de los sistemas. Confirme que esto se ha hecho
sobre una muestra de sistemas.
Restricciones A.14.2.4 sobre cambios en los paquetes de software:comprobar si se han realizado cambios
en los paquetes de software, lo que confirma que los originales controles integrados no han sido
comprometidos. Se obtuvo consentimiento y la participación de proveedores? ¿Continúa el soporte del
proveedor? Fue la posibilidad de obtener actualizaciones del programa estándar de los proveedores
exploró? Se comprueba la compatibilidad con otro software en uso?
A.14.2.5 principios de ingeniería Sistema seguro:confirman que los principios de la ingeniería de sistemas
seguros han sido documentados e incorporados dentro de los gobierno de proyectos marco / métodos.
Compruebe aspectos de seguridad del proceso de SDLC que debería tener secciones y pasos para verificar
si hay controles de seguridad, comprobar para su aprobación de la alta dirección para todos los proyectos
para seguir el proceso de SDLC seguro, compruebe si desarrolladores y programadores están capacitados
en el desarrollo de software seguro, verificar la evidencia de los controles de fase / / puerta de peaje de
fase que incluyen los controles de seguridad y aprobaciones para todos los proyectos de desarrollo y de
mejora.
A.14.2.6 entorno de desarrollo seguro:revisar los controles de aislamiento desarrollo de entornos de
prueba y de producción. ¿Cómo se desarrolla el software, probado y puesto en libertad? ¿Quién es
responsable de asegurar que el software nuevo / cambiado no interrumpe otras operaciones? Confirmar si
la verificación de antecedentes se han realizado de los desarrolladores y que están obligados a cumplir con
el acuerdo de confidencialidad. ¿Cuáles son las regulaciones aplicables y los requisitos de cumplimiento

Toolkit ISO27k
que afectan al desarrollo? ¿Cómo se obtienen los datos de prueba y protegidos contra la divulgación y
donde se almacenan? Compruebe si hay pruebas o medidas de seguridad que incluyen controles y
aprobaciones de código de software antes de ser liberado.
A.14.2.7 desarrollo externalizados: además a A.14.2.6, verificar:
 acuerdos de licencia, propiedad del código y de los derechos de propiedad intelectual relacionados
con el contenido de contratación externa;
 requisitos contractuales para prácticas de diseño, codificación y pruebas seguras, por ejemplo,
métodos de desarrollo de seguros; protección de las especificaciones, diseños, datos de prueba, casos
de prueba y resultados de pruebas;
 Fideicomiso arreglos por ejemplo, acceso al código fuente si el código ejecutable necesita ser
modificado pero el proveedor ya no está disponible o capaz;
 seguridad de las aplicaciones de pruebas de controles y los resultados de las pruebas;
 evaluación de la vulnerabilidad y mitigación.
Sistema de pruebas de seguridad A.14.2.8:comprobar si hay una prueba cuidadosa y procedimiento de
verificación para todos los sistemas nuevos y actualizados, que incluyen un programa detallado de
actividades, entradas de prueba y salidas bajo un rango de condiciones. Compruebe acuerdos de licencia,
propiedad del código y de los derechos de propiedad intelectual relacionados con el contenido de
contratación externa.
A.14.2.9 pruebas de aceptación del sistema:cómo son las pruebas de aceptación (incluidos los aspectos de
seguridad de TI) completados antes de la introducción de nuevos sistemas en la red? Evaluar en conjunción
con A.14.1.1, A.14.1.2 y A.14.2.1. Está poniendo a prueba automatizado, manual o ambos? Indicar análisis
de replicar entornos operativos realistas y situaciones? Se defectos relacionados con la seguridad
remediados antes que el producto se certifican / pasado? ¿Hay pruebas de aceptación del usuario antes de
su liberación al entorno operativo? Comprobar si los sistemas de información redundante de alta
disponibilidad o, mecanismos de conmutación por error, los arreglos de recuperación de desastres, etc se
ponen a prueba con regularidad para asegurarse de que funcionan según lo previsto. Se controles de
resiliencia y recuperación actualizan para reflejar los nuevos sistemas, cambiado y jubilados?
Los datos de prueba A.14.3

Protección A.14.3.1 de datos de prueba:confirmar que los sistemas de pruebas tienen un control de
acceso adecuado. Verificar los datos que se utiliza para la prueba y cómo se protege. Si se utiliza
( 'producción') de datos operativos para la prueba, confirmar que no es un proceso de aprobación
apropiado para el uso de estos datos antes de que se adquiere para las pruebas (especialmente si contiene
información personal o de otros contenidos sensibles), comprobar si esos datos son adecuadamente
enmascarado antes de su uso, y que se borra inmediatamente después de la prueba. Debe haber registros
de auditoría cuando se está copiando los datos operacionales para las pruebas y éstas deben ser
archivados.
A.15. relaciones con los proveedores
Seguridad de la información A.15.1 en relaciones con los proveedores

la política de seguridad de la información A.15.1.1 de relaciones con los proveedores:revisar las políticas,
los procesos, las prácticas y los registros relacionados con la gestión de relaciones con los proveedores que
implican subcontratados de TI y en la nube, logística, servicios públicos, recursos humanos, médicos,

Toolkit ISO27k
servicios financieros, legales y de otro tipo con implicaciones de riesgo significativo de información, de
seguridad o de cumplimiento. En su caso, qué contratos y acuerdos abordan adecuadamente:
 arreglos de gestión de relaciones, incluyendo el riesgo de la información y los aspectos de seguridad, la
métrica, el rendimiento, problemas, rutas de escalada etc .;
 Información / propiedad intelectual y obligaciones / limitaciones que surjan;
 Rendición de cuentas y responsabilidades relacionadas con riesgos de la información y la seguridad;
 , requisitos reglamentarios y políticos legales, tales como cumplimiento certificado con la norma ISO /
IEC 27001;
 Identificación y protección frente a los riesgos de la información utilizando los controles físicos y
lógicos / técnicas de procedimiento / manual y legales / comercial (algunos de los cuales podrá ser
señalada por ejemplo, la gestión de riesgos en colaboración);
 El manejo de eventos, incidentes y desastres incluida la evaluación, clasificación, priorización, la
notificación, la escalada, la gestión de la respuesta y los aspectos de continuidad de negocio;
 habilitación de seguridad de los empleados, además de la sensibilización, formación, etc. (por
cualquiera de las partes o ambas);
 A la derecha de [Seguridad] auditoría de la organización y / o mecanismos de denuncia?
Cualquiera de las partes está obligada por contrato a cumplir con [algunos de] del otro riesgo de la
información, la seguridad o las políticas relacionadas, además de su propia, y cómo se abordan los
conflictos? Son los proveedores de servicios externos rutinariamente monitoreados y (si procede)
auditados para el cumplimiento de los requisitos de seguridad, o sólo en respuesta a incidentes o
problemas identificados? ¿Cómo se produce algún cambio en la información asociada riesgos identificados
y se les da? Evaluar la evidencia disponible.
A.15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores: en su caso, la verificación de los
contratos formales o acuerdos con los proveedores que cubren lo siguiente:
 gestión de las relaciones incluyendo riesgos de la información y la gestión de la seguridad, la
coordinación, la presentación de informes, métricas, etc .;
 Integral y acuerdo de confidencialidad o cláusulas vinculantes;
 Descripción de la información que se maneja, métodos de acceso a la información;
 esquema de clasificación de la información que se debe seguir;
 política aplicable, de inscripción y requisitos de cumplimiento normativo, además de cualquier
obligación de aplicar controles específicos (por ejemplo, controles de acceso, revisiones de
desempeño, monitoreo, reporte de auditoría);
 Pronta seguridad de la información de notificación de incidentes / escalada y la colaboración durante
la gestión de incidencias y resolución;
 aspectos de continuidad de negocio, tales como resolución sin culpa, todo lo posible, las fuentes
alternativas, el fideicomiso;
 La subcontratación y las restricciones sobre las relaciones con los proveedores, clientes, otros socios y
competidores;
 El personal y los aspectos de recursos humanos por ejemplo, el manejo de los problemas de
rendimiento o preocupaciones de confianza, sin la caza furtiva de nuestra mejor gente!
Compruebe que los aspectos de seguridad y cumplimiento asociados están cubiertos durante las reuniones
de gestión de relaciones periódica etc.
Información A.15.1.3 y cadena de suministro tecnología de la comunicación:más a A.15.1.1 y A.15.1.2,
comprobar cómo el riesgo de la información y las prácticas de seguridad se propagan a lo largo de la

Toolkit ISO27k
cadena de suministro, especialmente cuando se subcontratan partes. ¿Cómo son los requisitos de
seguridad de los productos adquiridos (bienes y servicios) validados? ¿Cómo se logra la capacidad de
recuperación donde los productos o servicios críticos son suministrados por los demás? Puede rastrearse
su origen, si es necesario (por ejemplo, sistemas embebidos y firmware)?
la gestión de la prestación de servicios del proveedor A.15.2

Monitoreo A.15.2.1 y revisión de los servicios del proveedor:cómo se supervisan los servicios y quién es
responsable de esta actividad? Se llevaron a cabo las reuniones de revisión del servicio, con qué frecuencia
y con qué público? Compruebe relacionados con la seguridad informes, presentaciones y métricas
revisadas y de las decisiones tomadas en esas reuniones. Los riesgos de información, incidentes, políticas,
cumplimiento, revisión de la gestión e informes de auditoría etc. discutidos durante estas reuniones? Hay
penalización o bonificación cláusulas del contrato relativas a riesgos de la información y los requisitos de
seguridad, y qué tan bien están funcionando en la práctica?
A.15.2.2 Gestión de cambios en los servicios del proveedor:¿qué ocurre si hay cambios en los servicios
relacionados con la información proporcionadas, como los servicios adicionales o cambios en la forma en
que se prestan los servicios contratados? Además, si las políticas de seguridad de la organización, normas o
leyes y reglamentos cambian, y los proveedores deben cumplir con las mismas. ¿Cómo se manejan este
tipo de situaciones en la práctica? Busque ejemplos.
A.16. gestión de incidentes de seguridad de información
A.16.1 Gestión de incidentes de seguridad de la información y mejoras

Responsabilidades y procedimientos A.16.1.1: revisar las políticas, procedimientos, guías, etc. en la
cobertura de gestión de incidencias:
 la planificación de respuesta a incidentes y los preparativos;
 nominado punto / s de contacto para la notificación de incidentes, seguimiento y retroalimentación
(por ejemplo, el estado de cambios);
 Monitoreo / detección y notificación de eventos de seguridad de la información;
 Analizar, evaluar y en su caso la asignación de eventos para la resolución de las agencias, los equipos
de respuesta a incidentes, etc .;
 rutas de traslado, incluyendo las respuestas de emergencia, la continuidad invocación negocios, etc .;
 métodos de recogida de pruebas forenses digital donde necesitaba previstas;
 reuniones periódicas y / o posterior al evento de revisión de seguridad y procesos de aprendizaje / de
mejora, etc.
Disponibilidad de una muestra de registros derivados de notificación de incidentes, registro, clasificación,
asignación a las agencias de resolución, la mitigación, la confirmación de cierre, puntos de aprendizaje, etc.
Busque los problemas y oportunidades de mejora.
A.16.1.2 informar sobre los eventos de seguridad de la información:cómo son eventos de información de
seguridad (más incidentes, cuasi accidentes y debilidades) informó por ejemplo, llamada de teléfono,
correo electrónico o SMS de texto a Ayuda / Service Desk; informes aplicación o la forma en la intranet
incidente; en el informe de seguridad de la información persona / gerente de línea, etc.? Son los
trabajadores conscientes de la necesidad de informar con prontitud, y hacen lo hacen de manera rutinaria,
de hecho, (comprobar los parámetros!)? Lo que sucede con estos informes? Trace la información y el flujo
de trabajo utilizando los registros pertinentes, incidentes archivados etc. comparación de lo que ocurrió

Toolkit ISO27k
realmente en contra de las políticas, procedimientos y directrices. Hablar con las personas que han
informado recientemente de eventos para explorar la experiencia y los resultados de sus perspectivas.
A.16.1.3 Información debilidades de seguridad de la información:más a A.16.1.2, comprobar que los
trabajadores tienen el mandato (y fomentan a través de la sensibilización y la formación, y permitieron a
través de los mecanismos de información) para reportar cualquier tipo de acontecimiento inusual, como
los sistemas y aplicaciones de registro en o desconectarse de forma automática, los tiempos de espera de
sesión no programadas, phishing o de spam correos electrónicos, o cualquier otra ocurrencia detecta o se
sospecha e inusual. ¿Las políticas prohíben explícitamente a los trabajadores de 'comprobación', 'explorar',
'validar' o 'confirmando' vulnerabilidades a menos que estén expresamente autorizados para hacerlo?
Evaluación de A.16.1.4 y las decisiones sobre los eventos de seguridad de información: comprobar lo que
se espera de todos los empleados en cuanto a informar sobre los eventos de seguridad de la información y
los incidentes se refiere. ¿Cuáles son exactamente lo que esperaban que informar? ¿Son espera reportar
todos y cada evento o simplemente únicos tipos específicos de eventos? ¿A quién se reportan? ¿Cómo se
evalúan estos eventos para decidir si califican como incidentes? ¿Hay una escala de clasificación? ¿Hay un
proceso de clasificación y / o escalada para dar prioridad a los incidentes graves? ¿En qué se basa?
Respuesta a incidentes de seguridad A.16.1.5 información:comprobar lo que se toman acciones una vez
identificado y priorizado un incidente. ¿Cómo se evidencia recogidos, almacenados y se evalúa? ¿Hay una
matriz de escalamiento para usar cuando sea necesario? ¿Hay medios para comunicar información de este
tipo de incidentes a organizaciones internas y externas en una necesidad-a-saber / informar base?
Compruebe acciones tomadas para resolver y finalmente cerrar el incidente y registrar su ocurrencia.
A.16.1.6 Aprender de los incidentes de seguridad de la información:comprobar el mecanismo de
evaluación / investigación para identificar incidentes de impacto recurrentes o altas. ¿Cómo está la
información obtenida de la evaluación de los incidentes de seguridad de la información usar
ventajosamente para prevenir la recurrencia e implementar oportunidades de mejora? Además, está
presente utiliza con fines de sensibilización y formación? Compruebe partes posteriores de los procesos
para la gestión de incidentes de seguridad hasta el cierre. ¿Tiene la organización un proceso de gestión de
incidencias relativamente maduro en su lugar? ¿Está aprendiendo de forma proactiva los incidentes, la
mejora del conocimiento de riesgos y controles de seguridad en consecuencia? Compruebe los registros
relativos a los incidentes recientes de pruebas.
A.16.1.7 El acopio de pruebas:recolección de evidencia forense digital es una habilidad especializada.
Comprobar si esto se hace de manera competente en la empresa o por terceros especializados y
capacitados en esta área. Si retenido en-casa, confirmar que no están capacitados, personal competente,
de confianza con las herramientas adecuadas y los procesos definidos para el papel (por ejemplo, la cadena
de evidencia mantienen rigurosamente, la evidencia asegurado en el almacenamiento, el análisis en las
copias forense-sonido utilizando forense grado herramientas y técnicas). Quien decide emprender la
medicina forense, y en lo que la autoridad y la base? ¿Cómo son las cuestiones relativas a la jurisdicción,
las diferentes normas forenses y los requisitos legales asociados (por ejemplo, convulsiones,
almacenamiento, análisis y presentación de pruebas) se maneja?
A.17. la gestión de la continuidad del negocio (según ISO 22301)
A.17.1 continuidad de negocios

Esta sección refleja la continuidad del
A.17.1.1 planificación de continuidad de negocio:¿cómo determina la organización de sus requisitos de
negocio en general, no sólo la
continuidad de negocio? Revisar los asociados políticas, procedimientos, normas, directrices, prácticas y
continuidad de las operaciones de
registros (por ejemplo, planes de continuidad de negocio). Determinar si adecuadas '' de alta disponibilidad
seguridad de la información y los
diseños se emplean para los sistemas de TI, redes, etc apoyo a los procesos críticos de negocio. Verificar si
controles en la norma ISO / IEC 27002
Copyright © Foro ISO27k, 2017
sección 17. Por favor refiérase
41 |P á ag i la
na
norma ISO 22301 y otras orientaciones.
Toolkit ISO27k
los involucrados entienden los riesgos que enfrenta la organización, identificar correctamente los procesos
críticos de negocio y los activos asociados, identificar los posibles impactos de incidentes, y un mandato
preventivo adecuado, controles de detección y correctivas. Evaluar los planes de continuidad de negocio,
ejercicios de continuidad / pruebas etc. mediante el muestreo y la revisión de la documentación de
procesos, informes, etc. Verificar que los acontecimientos susceptibles de interrumpir los procesos de
negocio serán identificados y evaluados con prontitud, lo que provocó las actividades de desastres de tipo
de recuperación.
A.17.1.2 información Implementación de la continuidad de seguridad:verificar que los planes adecuados
están en su lugar para mantener las operaciones comerciales o restaurarlos en plazos definidos después de
la interrupción o el fracaso. ¿Los planes toman en cuenta la identificación y el acuerdo de las
responsabilidades, la identificación de pérdida aceptable, la implementación de los procedimientos de
recuperación y restauración, documentación de procedimientos y pruebas / ejercicios regulares?
Compruebe que no hay un único marco coherente para la planificación de la continuidad del negocio.
Verificar si el marco se asegura de que todos los planes son consistentes e identificar prioridades para
pruebas y mantenimiento. Determinar si los planes de continuidad de negocio y el proceso de
planificación, tomada en su conjunto, son adecuadas para satisfacer los requisitos de seguridad de la
información identificados. Verificar si los planes de continuidad de negocio se ejercitan regularmente / a
prueba para asegurarse de que están siendo actualizados y eficaces. Verificar si los miembros del / de
gestión de incidencias crisis y equipos de recuperación y otro personal relevante son conscientes de los
planes y son claras en sus roles y responsabilidades personales. Compruebe que los controles de seguridad
en sitios de recuperación de desastres y lugares alternativos mitigar adecuadamente los riesgos
correspondientes de información (por ejemplo, los controles son sustancialmente equivalentes a los de los
sitios operacionales primarias?).
A.17.1.3 Verify, revisión y evaluar la información de seguridad de continuidad:comprobar que las
políticas y procedimientos de continuidad de negocio incluyen métodos de prueba y la frecuencia y la
evidencia de las pruebas reales y sus resultados. Comprobar si la validez y eficacia de las medidas de
continuidad de seguridad de la información han sido revisados durante la ejecución BC & DR, tienen las
deficiencias sido identificados, han ellos (y cómo) han remediado y repetir la prueba hasta que los
resultados son satisfactorios?
Las redundancias A.17.2

A.17.2.1 disponibilidad de las instalaciones de procesamiento de información:comprobar cómo se
identifican los requisitos de disponibilidad de servicios de TIC y satisfecho. Verificar la resistencia, la
capacidad y los arreglos de rendimiento, incluida la vigilancia y ajustes (por ejemplo, el equilibrio de carga
dinámica). Examinar los registros de incidencias en busca de pistas acerca de los servicios poco fiables,
equipos, instalaciones, servidores, aplicaciones, enlaces, funciones, organizaciones, etc. Compruebe que
los sitios de los principales controles de seguridad de información se implementan y funcionales en la
recuperación de desastres / repliegue. Si los controles en DR /-back caen sitios son menos estrictos que los
que están en sitios primarios, son los riesgos adicionales siendo tratados apropiadamente (por ejemplo,
controles de compensación tales como aumento de la supervisión, y la aceptación de riesgo para el
período limitado de DR invocación)?

Toolkit ISO27k
A.18. Conformidad
El cumplimiento de los requisitos legales A.18.1 y contractuales

A.18.1.1 Identificación de la legislación aplicable y los requisitos contractuales:¿existe una política sobre
el tema (probablemente no es específica de riesgos de la información, seguridad y áreas relacionadas, pero
que cubre el cumplimiento en general)? ¿Hay alguna forma de registro o base de datos mantenida
cumplimiento, enumerando todas las obligaciones y expectativas de los requisitos legales, reglamentarios
y contractuales aplicables, cada uno con propietarios responsables? ¿Quién posee, mantiene, utiliza y
controla el registro? Son los requisitos de cumplimiento identificados y registrados de forma sistemática,
tanto inicialmente como cualquier cambio posterior? ¿Cómo se logra el cumplimiento y la seguridad de
decir qué actividades se llevan a cabo para cumplir con los requisitos y asegurarse de que se cumplen?
Para una muestra de los requisitos de cumplimiento relacionados con la seguridad de la información (por
ejemplo, la privacidad actúa, propiedad intelectual, PCI DSS, SOX, HIPAA, los secretos oficiales y las
cláusulas en los contratos, acuerdos y normas), determinar si los controles de seguridad de la información
correspondientes están en su lugar. Comprobar, por ejemplo, que los controles adecuados están en su
lugar para cumplir con los requisitos de:
 Privacidad - pronto incluyendo GDPR;
 Salud y la seguridad (la mayoría de los trabajadores son valiosos activos de información!);
 El uso de materiales con derechos de autor, tales como software con licencia (ver A.18.1.2);
 Protección de importancia financiera, fiscal y de otros registros comerciales contra pérdida,
destrucción y falsificación (por ejemplo, el fraude);
 controles por ejemplo exportación criptografía.
Derechos de propiedad intelectual: A.18.1.2confirman que las políticas y procedimientos están en su lugar
sobre el cumplimiento de los requisitos / obligaciones asociadas tanto por la organización y por segunda
partes (por ejemplo, titulares de licencias de patentes corporativas y contenido de los derechos de autor).
Comprobar los métodos permitidos de adquisición y el uso de materiales con derechos de autor, tales
como licencias de software. ¿Existen políticas y procedimientos relacionados con la adquisición, el uso y
licencias de propiedad intelectual, gestión de licencias, revisiones de cumplimiento, etc.?
Protección A.18.1.3 de registros:comprobar si hay una política de gestión de registros que cubre los
requisitos de control, tales como la clasificación, categorización, los tipos de registro, los períodos de
retención, medios de almacenamiento permisible en los que se almacenan etc. Compruebe también para
las claves de cifrado y firmas digitales relacionados de tales registros, que también deben estar
almacenada de forma segura. Determinar la importancia de los registros de la organización están
protegidos contra pérdida, destrucción y falsificación, acceso no autorizado y la liberación de conformidad
con los requisitos legales, reglamentarios, contractuales y de negocios. Compruebe si las disposiciones de
almacenamiento / archivos tienen en cuenta la posibilidad de deterioro de los soportes (controlado por
ejemplo, condiciones de almacenamiento, comprobaciones de integridad de periódicos y / o la
transferencia al medio fresco)? Comprobar si los medios de almacenamiento de larga duración apropiada
se utiliza para el almacenamiento a largo plazo.
A.18.1.4 de privacidad y protección de datos personales:revisar las políticas y procedimientos en esta
área. Comprobar si éstas se han difundido adecuadamente a todo el personal que manipule PII. Confirmar
que es el responsable de privacidad de la empresa y si él / ella es consciente de lo que los atributos de la
PII son recogidos y procesados / almacenado por la organización de los empleados, contratistas orgánicos y
otro personal de terceros? Confirmar si el PII ser recogido está en línea con los requisitos legales y
reglamentarias, cuando los activos de información en los que se almacena información de identificación
personal, se procesa y se han identificado los canales para su comunicación, ¿cuáles son los controles de

Toolkit ISO27k
acceso alrededor de dicha información de identificación personal, ¿cuál es el nivel de acceso y roles (de
personal) que tienen acceso a estos activos, etc.
A.18.1.5 Reglamento de controles criptográficos:verificar que el uso de la organización de la criptografía
está en conformidad con todas las leyes, acuerdos / contratos y regulaciones pertinentes. Compruebe si
hay una política sobre el tema y si la organización está involucrado en ninguna actividad de importación /
exportación de material relacionado criptográfico y / o información de cifrado, y ya se realicen en
cumplimiento de los requisitos legales y reglamentarios. Compruebe que la política requiere la
organización para cumplir con los mandatos legales nacionales con referencia a la divulgación de las claves
de cifrado.
Información A.18.2 revisiones de seguridad

A.18.2.1 Revisión independiente de la seguridad de la información:Se riesgos de la información de la
organización y las medidas de seguridad revisados para determinar su idoneidad en función de sus
objetivos por los auditores internos o externos independientes? Son los requisitos de auditoría que
involucran los controles de los sistemas operativos cuidadosamente planeado, autorizado, realizados y
controlados para minimizar los riesgos para el negocio? Son objetivos de la auditoría y alcances acordados
y autorizados por la dirección adecuada? ¿El acceso a la información de auditoría del sistema de
herramientas / software controla adecuadamente para evitar el mal uso y comprometer? Son
herramientas de auditoría del sistema prohíbe a los protegidos o en los sistemas corporativos, fuera de
auditoría autorizada? Se registraron los hallazgos de auditoría y actuaron sucesivamente, y se conservan
los registros de auditoría segura para futuras referencias?
El cumplimiento A.18.2.2 con las políticas y normas de seguridad:¿cómo los gerentes y supervisores
aseguran que todos los procedimientos de seguridad dentro de su área de responsabilidad se llevan a cabo
correctamente en el cumplimiento de las políticas de seguridad, normas, etc.? ¿Hay revisiones periódicas
del cumplimiento de la seguridad dentro de su área de responsabilidad?
A.18.2.3 Revisión técnica cumplimiento:son sistemas informáticos y redes revisados regularmente / la
Las herramientas
prueba del cumplimiento de los requisitos técnicos de seguridad definidos porautomatizadas
ejemplo, a travésde auditoría
de análisis
de vulnerabilidades de red y pruebas de penetración? Compruebe las correspondientespotentes
de seguridad del sistema son políticas,
utilidades, pero no son apropiados
procedimientos, métodos, herramientas y registros. Son las pruebas realizadas por profesionales en todos los
ambientes.
debidamente cualificados, competentes y dignos de confianza? Quelos
Revisar potencialmente puede socavar
riesgos de la información y los
controles relativos a la misma prueba (por ejemplo, las obligaciones legalmente vinculante enintroducción
la seguridad del sistema, tal vez la los contratos
de las vulnerabilidades
si se utilizan las organizaciones externas; supervisión adecuada, técnicas
supervisión proactiva adicionales,
/ intensa la
y registro
detallado de las actividades). ¿Cómo se reportan losextracción de información
resultados, analizados yaltamente
utilizados? sensible
Dada ysu
sensibilidad, cómo se aseguran resultados? Revisar los registros de los resultados, análisis, priorización, olas
afectando el rendimiento del sistema
decisiones de tratamiento del riesgo, solicitudes de disponibilidad.
cambio, etc., paraAdemás, los auditores
confirmar que las utilizando
acciones
dichas herramientas deben ser competentes
apropiadas son, de hecho, están adoptando medidas para abordar los problemas identificados. Referencia de
usar y obtener datos significativos
cruzada con esteno conformidad y acciones correctivas en B.10.1. Esté atento a los problemas de largade ellos: un
data, publicados en varias ocasiones que, evidentemente,“pase” de una
no se están herramienta de evaluación de la
resolviendo.
vulnerabilidad automatizado no significa
necesariamente que un sistema esté libre de
vulnerabilidades y es por lo tanto seguro. Una
herramienta de revisión de seguridad de base
de datos configurado incorrectamente, o
utilizado con ineptitud puede derribar a un
sistema de producción. Estas herramientas sólo
deben introducirse usando procesos de gestión
de cambios convencionales de la organización,
incluyendo la evaluación de riesgos previa a la
ejecución y las pruebas de seguridad, en su
Copyright © Foro ISO27k, 2017 caso. 44 |P á g i n a
Toolkit ISO27k
Apéndice B - Gestión de ISMS Genérico lista de control de

auditoría del sistema
Introducción
La siguiente lista ISMS de auditoría del sistema de gestión comprendeEsta un conjunto
lista de genérico de auditoría
control de pruebas de
auditoría. Está estructurado en línea con y refleja los requisitos de la norma
no está ISO / destinado
IEC 27001 para
paratodoslaslos
SGSI sin tener en cuenta los requisitos específicos que una organización auditoríasindividual
de podría tener (por
certificación.
ejemplo, obligaciones legales, reglamentarios y contractuales relativas en particular
auditores los procesos
de certificación estánde
seguridad riesgos de la información y, actividades o controles). obligados a seguir sus procesos de
auditoría en un textoformalmente
Mientras que las auditorías de certificación del SGSI se centran exclusivamente expreso de la
norma, esta lista está destinada principalmente para guiar, o para documentados
ser adaptado yy utilizado
acreditados,
por los
utilizando
auditores internos competentes, realice las auditorías internas del SGSI. su sepropio
También listas para
puede utilizar de
exámenes de la gestión interna de los ISMS incluyendo las evaluaciones verificacióndey pruebas de auditoría
pre-certificación para
en relación
determinar si el SGSI está en un estado apto para ser auditado formalmente. con esto,
Dicho el grado en que el y
las auditorías
revisiones internas de gestión a lo largo de estas líneas deben ayudar ISMS acumple con los a requisitos
la organización preparar y
especificados
finalizar la documentación necesaria que los auditores de certificación en que
es probable la norma
deseeISO / IEC
revisar.
Laslistas
extensas pruebas
de control de de auditoría se sugieren a continuación en forma de preguntas y cheques están
auditoría
concebidos
interna se como
pueden avisos o recordatorios de los aspectos principales que deben controlarse por
modificar
competentes,
adicionalmente durante experimentados
cualificados y el auditores de TI. No cubren todos los aspectos de la norma ISO
/ IEC
curso27001.
de laNoauditoría
se pretende que se le pregunte pie de la letra y sencillamente con-off, ya sea en su
si las
totalidad o por partes.
áreas nuevas No son adecuados para su uso por parte de auditores experimentados que trabajan
o previamente
sinnosupervisión.
apreciadas de
preocupación
Esta lista no estásalen a la luz.a Aser utilizado sin la debida consideración y modificación. Se prevé que los
destinado
diferencia
usuarios de un se
normalmente estricto
generarán listas de control personalizados que reflejan el alcance y la escala
cumplimiento de
específicos del ISMS particulares las objeto de la auditoría, y las pruebas de auditoría que surjan, teniendo en
auditorías,
cuenta auditoríasde
los requisitos internas
seguridad de la información que ya son evidentes en esta etapa (como la
pueden profundizar
información en los
relevante para la seguridad leyes, reglamentos y normas que se sabe que se aplican a
temas relacionados que
organizaciones similares en la industria).
surgen a medida que avanza
Por último, las listas de comprobación deben apoyar las prácticas normales de trabajo de los auditores, por
de auditoría, dentro de los
ejemplo en un formato de tabla con columnas adicionales para el auditor para grabar notas y comentarios,
la evaluación inicial (por ejemplo FODA / insectos / PESTEL), las referencias a la evidencia de auditoría en el
archivo, métricas de madurez etc. Una vez completado, la lista de comprobación de auditoría une la
evidencia de auditoría y hallazgos recopilada y analizada durante las fases de trabajo de campo y análisis a
través de al informe de auditoría.
Desde ISMS completado auditoría listas de control, archivos, notas y pruebas contienen información
sensible relativa a las disposiciones de riesgo de la información y seguridad de la organización, deben ser
asegurados adecuadamente para asegurar su confidencialidad e integridad.

Toolkit ISO27k
B.4. Contexto de la organización
B.4.1 La comprensión de la organización y su contexto

la organización ha identificado una serie de problemas internos y externos que son relevantes tanto para
los propósitos de la organización y para el SGSI? ¿Qué tan bien están los descritos en el alcance del SGSI?
Cómo relevantes e importantes son? ¿Hay una fuerte impresión de que la información es un activo
empresarial, riesgos de la información es un asunto de negocios, seguridad de la información es
compatible con el negocio en la consecución de sus objetivos, y por lo tanto el SGSI es una estructura de
gestión empresarial propicio valioso?
B.4.2 La comprensión de las necesidades y expectativas de las partes interesadas

Considere cuidadosamente el alcance del SGSI y los documentos relacionados. Ha identificado la
Si el alcance del SGSI sólo cubre parte
organización interesados externos o partes fuera del alcance del SGSI con un interés en los riesgos de
de la organización, el resto es
información de la organización y las medidas de seguridad? Compruebe que todas las partes interesadas
probablemente una 'parte interesada'
pertinentes han sido identificados y considerados debidamente por ejemplo, los proveedores;
con las necesidades y expectativas
Compañeros de negocio; clientes actuales y potenciales; los trabajadores; gobiernos, autoridades y
relacionadas con el SGSI.
reguladores; propietarios; asesores profesionales; los colaboradores y auditores; Tomadores de
decisiones; las comunidades locales y la sociedad en general. Compruebe que sus requisitos de riesgo y
seguridad de la información han determinado y se tienen en cuenta en el SGSI, además de la propia de la
organización, por ejemplo:
 ISO / IEC 27001 certificación de SGSI de la organización por un organismo de certificación acreditado;
 leyes y reglamentos aplicables, por ejemplo, las leyes de privacidad, finanzas e impuestos; secretos
oficiales y de libertad de información;
 obligaciones contractuales, responsabilidades y limitaciones por ejemplo, licencias de propiedad
intelectual;
 Seguridad (en particular la confidencialidad, sino también la integridad y disponibilidad) de
información personal y confidencial y propietaria; Hay puntos en común
entre los conductores
 Fiabilidad, rendimiento y capacidad de los servicios de información y deinternosinformación por ejemplo,
y externos de
proveedores de servicios de nube de Internet y; la información se alimenta;riesgos de la información
 Identificar, responder y reportar incidentes o fallos de seguridad de la información;
y la seguridad, ya que la
 Activación y limitar los riesgos de información asociados con diversas información es un
actividades de activo y
negocios
operaciones de TI, el apoyo a los objetivos de negocio tales como el gobierno,vital para su negocio.
la rentabilidad y la
continuidad; Esta sección destaca la
 El mantenimiento de una infraestructura y servicios operativa apto para perspectiva
el propósitoexterna.
(por ejemplo,
sistemas de mantenimiento y soporte de software);
 Ganando seguridad de que la organización es competente, eficiente e identificar y tratar los riesgos de
información de manera eficaz.
Sistema de Gestión de Seguridad de la Información B.4.4

Compilar y comprobar la documentación y otras pruebas relativas a la creación,
Compruebe implementación,
esta lista detallada de
mantenimiento y mejora continua del SGSI incluidos los documentos obligatorios ISMS
la documentación y registrosy
obligatoria
derivados de los procesos de gestión, métricas y tendencias que demuestra
recomendadala mejora,
Del resultados de
libre Toolkit
exámenes de la gestión y las decisiones tomadas en dichas revisiones, ISO27k.
etc. . ha autorizado la gestión de la

Toolkit ISO27k
implementación y operación del ISMS, por ejemplo a través de un memorándum formal, la aprobación del
proyecto, carta de apoyo de la CEO, etc.? Fue esta una mera formalidad o hay evidencia de que la gestión
realmente entiende y apoya el ISMS?
B.5. Liderazgo
B.5.1 liderazgo y compromiso

Evaluar el grado en que dirige y apoya el SGSI basado en la evidencia, como la gestión de la organización:
 Debates, entrevistas, reuniones, etc., con la gestión en y alrededor de este tema;
 Memorandos, correos electrónicos, presentaciones, informes, etc. a través del cual expresa su apoyo a
la gestión y el compromiso con el SGSI y la aceptación de los objetivos y planes de implementación del
SGSI;
 La asignación de recursos y la priorización de las actividades asociadas con el diseño y la construcción,
implantación, operación y mantenimiento de los ISMS adecuados (que va más allá del apoyo vocal, es
la organización de forma proactiva invertir en ella?);
 Claro dirección de la gestión en su caso, tales como los criterios de aceptación del riesgo, el apetito de
riesgo / tolerancia relativa a riesgos de la información;
 interés a nivel de gestión y participación en las actividades de ISMS, tales como reuniones, talleres,
grupos de enfoque, el desarrollo y aprobación de políticas, actividades de sensibilización y cursos de
formación, revisiones y auditorías;
 respuestas rápidas y positivas de la administración a los desafíos, problemas y preocupaciones,
incidentes, recomendaciones, pruebas y ejercicios, revisión por la dirección y los informes de
auditoría, etc .;
 Los indicios de que los trabajadores en general comprenden la importancia del SGSI y voluntariamente
aceptar sus roles dentro de ella (lo que implica una cultura de seguridad corporativa).
política B.5.2
Revisar el conjunto de la política de seguridad de la informaciónEstay sección
la documentación
se refiere a relacionada
los aspectos (por
de
ejemplo, declaración de la misión y el alcance del SGSI). Compruebe que:
gobierno corporativo: las políticas
 Explícitamente apoya y permite a los propósitos y objetivos de negocio
deben de la organización,
ser impulsados y el mandatoendeel
contexto de riesgos de la información, la seguridad y los la requisitos relacionados
dirección. El contenido(por
de ejemplo,
la políticael
cumplimiento, la protección, la seguridad y la continuidad delde
negocio);
riesgos de la información y de
 Especifica los objetivos de riesgo información de alto nivel seguridad se especifica
y de seguridad, tantoeninterna
la norma
como
ISO / IEC 27002 sección 5.1.1.
externamente impulsada o impuesta, y afirma claramente el compromiso de la organización para
satisfacerlas;
 Es suficientemente formal y explícita a ponerse de pie en los procesos judiciales o disciplinarias, sin
embargo, fácil de leer y lo suficientemente pragmático como para ser útiles en la práctica (aunque el
apoyo de procedimientos, guías, etc.);
 Es compatible con la mejora continua del SGSI, lo que refleja la evolución de los riesgos de la
información y de la situación del negocio, y la madurez; Las pólizas individuales, procedimientos,
 Está aprobado, autorizado y / o mandato como un conjunto etc., puedeny razonablemente
coherente ser autorizados y dede
completo
“arriba” (alto) por ejemplo la gestión de planchar, CEO, Comité Ejecutivo o el Comité de Seguridad; la
propiedad en los niveles inferiores, pero
estructura general necesita un liderazgo
 Se comunica ampliamente dentro de la organización, incluyendo cada
explícito de unodirección
la alta dentro dely elámbito de y
mandato
directamente implicados en el SGSI; por ejemplo a través de una estrategia
general de empresa o de la política de
riesgos de la información y la seguridad.
Toolkit ISO27k
 Es decir, en su caso (posiblemente bajo contratos de confidencialidad o en forma de resumen) a
disposición de otras partes interesadas.
B.5.3 organización funciones, responsabilidades y autoridades

Compruebe si los roles riesgo de la información y específicos de seguridad se asignan, y responsabilidades
relacionadas, responsabilidades y autoridades están definidas y Lasonresponsabilidad
comunicadas por ejemplo,
es un enfoqueen las
de
descripciones de puestos y las funciones y responsabilidades documentos que especifican
control valiosa. las actividades
Sosteniendo la gente
clave, las competencias y cualificaciones necesarias, etc., son laspersonalmente
responsabilidades y autoridades
responsables de clave
sus
(por ejemplo, el cumplimiento , métricas, autorizaciones, revisiones y auditorías)
decisiones, asignados
acciones e de manera
inacciones
apropiada? ¿Hay personas adecuadas y competentes en puestos clave? refuerza sus obligaciones, por ejemplo,
Revisar el riesgo de la información y la estructura de gestión de para protegerEn la
la seguridad. información
comparación conenotras
su
cuidado.
actividades y funciones de negocio, es el riesgo de la información y la seguridad dado suficiente énfasis y
apoyo a la gestión? ¿Hay evidencia de un poderoso 'motor' a nivel de alta dirección como un comité de
gestión o foro para discutir riesgos de la información y políticas de seguridad, riesgos y problemas, y tomar
decisiones clave? ¿Hay suficiente presupuesto para actividades de seguridad y riesgos de la información?
Son riesgos de la información y las actividades relacionadas con la seguridad con eficacia coordinada y
alineada entre las distintas unidades de negocio, departamentos, funciones, equipos, personas y partes
externas con intereses en esta área? Son los flujos de información (por ejemplo, la notificación de
incidentes y la escalada) que funcionan efectivamente en la práctica?
B.6. Planificación
B.6.1 acciones para hacer frente a los riesgos y oportunidades

B.6.1.1 general
Comprobar si los problemas internos y externos, así como los requisitos de las partes interesadas, se
consideran mientras que la planificación para el SGSI y los riesgos relacionados y se consideran
oportunidades (véase también 4.1 y 4.2). ¿Hay un documentado [información] proceso de gestión de
riesgos para identificar, evaluar / valorar (de acuerdo a las probabilidades y los impactos estimados) y
tratar los riesgos de información? Son los criterios para decidir sobre las opciones de tratamiento del
riesgo claros, incluyendo los pros y los contras de los diferentes enfoques y el apetito de riesgo / niveles de
tolerancia?
evaluación de riesgos de seguridad Información B.6.1.2

Determinar y revisar la organización de la elección / s de evaluación de riesgos de la información Método /
s, ya sea a medida o métodos generalmente aceptados. Son los resultados de las evaluaciones de riesgo
comparables y reproducibles? Busque ejemplos de resultados anómalos o contrarias a la intuición para
determinar la forma en que fueron abordados y resueltos. Fue el método de evaluación de riesgos
actualizada como resultado? Compruebe que se describen escenarios de riesgo '' para cada riesgo, ''
niveles de riesgo se asignan basándose en la medición cualitativa o cuantitativa, son nombrados ''
propietarios de los riesgos, y los riesgos son priorizados para el tratamiento? Tienen cambios recientes (por
ejemplo, nuevos sistemas de TI / actualizados, procesos de negocio y relaciones) sido convenientemente
riesgo evaluado? Son el plan de tratamiento del riesgo, Declaración de aplicabilidad, políticas y
procedimientos, etc. siendo utilizado de forma proactiva como herramientas de gestión de riesgos de la
información?

Toolkit ISO27k
tratamiento del riesgo seguridad de la información B.6.1.3
Revisar RTP de la organización. Son los tratamientos adecuados que se precisan para todos los riesgos de
información identificadas es decir, evitar los riesgos de no incurrir en actividades de riesgo; la reducción de
riesgos a través de controles adecuados; compartir riesgos con terceros, como compañías de seguros; o
aceptar los riesgos que caen dentro de tolerancia al riesgo de gestión? Compruebe que los propietarios de
riesgo han aprobado la RTP y aceptado los riesgos residuales. Busque lagunas, superposiciones y otras
anomalías (por ejemplo, tratamientos aparentemente inapropiado o ineficaz). Compruebe cómo el RTP se
relaciona con la Declaración de aplicabilidad se especifique lo siguiente para los controles recomendados
en la norma ISO / IEC 27001 Anexo A y u otras normas, catálogos de control / etc .:
 Si es aplicable (incluya la justificación si no); ISO / IEC 27002 puede ser
 Tanto si se deriva de una obligación legal, reglamentaria o contractual, o es un negocio
reestructurada impulsado
para por
identificar
(por ejemplo, aborda un riesgo de la información de interés para el negocio, o buenas prácticas);
las categorías o tipos de control
 ¿Cómo se aborda el riesgo (por ejemplo, prevención, detección de seguridad. Si lo técnicos,
o correctivo; hace, ahorade
procedimiento, física o jurídica, etc.). pone la organización por delante
del juego!
los objetivos de seguridad de información B.6.2 y la planificación para alcanzarlos
Revisar el ISMS misión, objetivos, metas, estrategias, planes, etc. ¿El ISMS refuerzan específicamente los
objetivos de negocio estratégicos de la organización? ¿Los objetivos de ISMS reflejan activos de la
organización de información clave y los riesgos, además de sus obligaciones externas legales,
reglamentarios, contractuales y otros en esta área?
Considere para cada objetivo: Buscar
 ¿Qué, exactamente, es el objetivo? ¿Qué se pretende lograr o evitar aquí? ¿Qué está impulsando este
objetivos para
- su propósito y valor? ser específicos,
 ¿Cómo vamos a saber si se ha logrado? ¿Cómo será el progreso y los resultados serán medibles,
medidos y
evaluados (métricas, además de los criterios de éxito / fracaso)? alcanzables,
relevantes y
 ¿Qué va a hacer para lograrlo? ¿Qué recursos se necesitan?
limitados en el
 ¿Quién es responsable de lograr que, de qué manera y cuándo? tiempo.
B.7. Apoyo
Recursos B.7.1
Revisar los recursos asignados a los SGSI en términos de presupuesto, mano de obra, etc., en relación con
los objetivos declarados de la organización para el SGSI y (en su caso) en comparación con otras
organizaciones similares (benchmarking). Es el ISMS dotación y los recursos de manera adecuada en la
práctica? Son suficientes fondos asignados por la administración para abordar las cuestiones de seguridad
de información en un tiempo razonable y con un adecuado nivel de calidad?
B.7.2 Competencia
Revisar las calificaciones, experiencia y formación de los involucrados específicamente en el
funcionamiento del SGSI, y las actividades de información general de sensibilización dirigidas a todos los
empleados de seguridad. Se competencias necesarias y los requisitos de formación / sensibilización para
los profesionales de la seguridad de la información y otros con funciones y responsabilidades específicas
identificadas y explícitamente? Son los presupuestos de formación / sensibilización adecuada para
financiar las actividades de formación y sensibilización asociados? Examinar los informes de evaluación de

Toolkit ISO27k
la formación, etc., y buscar pruebas para confirmar que efectivamente se han tomado acciones de mejora
necesarias. Comprobar mediante el muestreo de ese empleado registros de recursos humanos en cuenta
la formación relacionada con ISMS etc. (en su caso). Evaluar el nivel general de conocimiento seguridad de
la información mediante una encuesta de muestreo / o revisar los resultados de encuestas / muestras
llevadas a cabo como parte del SGSI.
conciencia B.7.3
Son las políticas de seguridad de información, etc. bien escritos y difundidos adecuadamente a todas las
partes interesadas? Son los destinatarios requieren explícitamente a leer y cumplir con ellos? ¿De qué
manera la organización confirman que todos han hecho leído y acepto cumplir con las políticas por
ejemplo, aceptación o reconocimiento firmado; Pruebas / pruebas periódicas para confirmar que los
destinatarios comprendan sus obligaciones, incluyendo su papel más amplio en la gestión de riesgos de la
información y hacer el ISMS eficaz y beneficioso para la organización? ¿Cómo se cumplimiento de la
política y el incumplimiento por ejemplo, dirigidas beneficios / recompensas para reforzar el cumplimiento
y costos / sanciones en caso de incumplimiento, a través de procedimientos de disciplina, relación /
gestión contractual, etc.? ¿Cómo se comunican los cambios por ejemplo, políticas, funciones y
responsabilidades nuevas o revisadas, riesgos de información (por ejemplo, nuevas amenazas) y controles
de seguridad? Se gestión suficientemente comprometida y solidaria por ejemplo, hacer los
administradores participan activamente en riesgo de la información y las actividades de sensibilización de
seguridad, cursos de formación, etc.? Son la formación y planes de sensibilización, los presupuestos y las
prioridades adecuadas?
Comunicación B.7.4
¿Hay un plan de comunicación documentado la identificación de los públicos internos y externos a los
cuales la comunicación apropiada y oportuna debe ser hecha con respecto a todas las actividades y
sucesos relacionados con la seguridad de la información, por ejemplo los empleados (necesita
instrucciones claras de lo que se espera de ellos, cambios en las políticas, la formación en procedimientos,
etc.); terceros / proveedores (necesitan instrucciones claras sobre lo que se espera de ellos, y las
autoridades legales y reglamentarios, además de organismo de certificación y otras partes interesadas
(necesitan ser notificado en caso de incumplimiento o incidentes) ¿Tiene que ser comunicada al estado
plan de comunicación lo es. , cuando (tiempo o frecuencia), por quién y con qué medios? ¿hay pruebas que
confirman que las comunicaciones previamente planificadas han tenido lugar y han sido eficaces?
B.7.5 Información documentada

B.7.5.1 general
Compruebe si todos los 'información documentada' (= la documentación!) Requerido explícitamente por la
Recordatorio:
norma ISO / IEC 27001 (por ejemplo, ISMS alcance, funciones y responsabilidades, documentación
la evaluación de riesgos,
obligatoria y recomendada
Declaración de aplicabilidad, Plan de tratamiento del riesgo, registro de riesgos, la evidencia de revisiones
por la dirección, interna y informes de auditoría externa) y la documentación asociada (NCR etc.). Ha
identificado la gestión de toda la documentación adicional necesaria para la eficacia del SGSI y está
disponible? ¿Cómo se pone a disposición ISMS información cuando sea necesario (por ejemplo, un sistema
de gestión de políticas basadas en intranet, SharePoint repositorio y / o en papel)?
Creación y actualización B.7.5.2

Es el proceso de creación, actualización y autoriza o que ordena el cumplimiento de la documentación
controla adecuadamente? Verificar la presencia de, y cumplimiento de las políticas y procedimientos para

Toolkit ISO27k
cambios controlados y autorizados a la documentación SGSI, políticas, procedimientos, registros, etc.
(Cómo) son ISMS cambios en la documentación gestionados y controlados por ejemplo, cambios revisados
y aprobados por los administradores pertinentes, y promulgados ¿adecuadamente? Se metadatos del
documento estandarizado y adecuado por ejemplo, título del documento, el nombre del propietario, fecha
de publicación, fecha de la última y la próxima revisión, distribución, etc.? ¿Hay una lista, el inventario o
base de datos de la documentación controlada?
B.7.5.3 control de la información documentada

Además de 7.5.2, es la documentación relacionada-ISMS importante adecuadamente asegurada y
protegida (por ejemplo, control de acceso, control de versiones, una política de retención y revisión
definida, copias de seguridad etc.)? Evaluar los controles que protegen importantes registros ISMS tales
como la revisión y auditoría informes distintos seguridad de la información, planes de acción, documentos
formales ISMS (incluidos los cambios en mismo), libros de visitantes, la autorización de acceso /
formularios de cambio etc. Revisar la adecuación de los controles sobre la identificación, almacenamiento,
protección, recuperación, tiempo de retención y la disposición de tales registros, sobre todo en situaciones
en las que hay obligaciones legales, reglamentarias o contractuales para implementar un SGSI ISO27k (por
ejemplo, para proteger los datos personales o para abastecer a una organización certificada).
Son importantes documentos de origen externo claramente identificados como tales y se controlan
adecuadamente?
B.8. Operación
la planificación y el control operacional B.8.1

Compruebe los planes en el lugar para supervisar y controlar todas las actividades del SGSI, incluyendo la
gestión de riesgos continua (ver B.6.1) Y acciones para alcanzar los objetivos de seguridad de la
información (ver B.6.2). Las actividades de gestión de riesgos de la información deben cubrir los servicios
de información comercial, tales como la computación en nube en su caso.
evaluación de riesgos seguridad de la información B.8.2

Compruebe que la evaluación de riesgos de información de todo ISMS se repite o al menos revisado y
actualizado a intervalos adecuados (por ejemplo, anualmente o en caso de cualquier cambio significativo)
para hacer frente a cualquier cambio en las amenazas, vulnerabilidades e impactos y por lo tanto los
niveles de riesgo. Examinar las medidas adoptadas en respuesta a cambios previamente identificados, en
los niveles de riesgo. Son las evaluaciones de riesgo y las revisiones documentadas adecuadamente por
ejemplo, registros de riesgos identificados y los tratamientos seleccionados; que revisó qué y cuándo;
informes de resultados y planes de acción, a ser posible identificar a los responsables y las prioridades /
líneas de tiempo?
tratamiento del riesgo seguridad de la información B.8.3

Revisar el plan de tratamiento de riesgos. Se debe registrar las decisiones de gestión para tratar todos los
riesgos de la información identificada a través de una o más formas definidas de tratamiento del riesgo:
1. Evitar:gestión normalmente decide no hacer algunas actividades en todos (o al menos no ahora) si los
riesgos de información se consideran demasiado altos en relación a las ventajas comerciales de
proceder. ¿Qué impide que alguien de seguir adelante con estas actividades de todos modos,
independientemente de la decisión formal para evitar los riesgos ?;

Toolkit ISO27k
2. Reducir:riesgos de información que han de ser reducida (mitigado o mejorado) deben ser listadas en el
RTP junto con detalles de cómo se reducirán los riesgos, típicamente a través de los controles de
seguridad de la información. Otros detalles típicamente registrados en el RTP incluyen que es
responsable de la reducción del riesgo, las fechas en las cuales los controles se llevarán a cabo
completamente y los riesgos deben ser reducida, que será o ha revisado / verificado y confirmado que
los riesgos se han reducido lo suficiente, etc. ;
3. Compartir:si los riesgos de información han de ser compartidos con (parcial o totalmente transferido a)
terceros, compruebe que la documentación incluye términos en los contratos, acuerdos o políticas
cyberinsurance aclarar las obligaciones y pasivos correspondientes a los riesgos de información;
aspectos de seguridad, privacidad, cumplimiento, notificación y gestión de incidentes, incluyendo la
continuidad del negocio; derecha de auditoría; métricas, etc.
4. Aceptar:todos los riesgos de la información que quedan después de los tratamientos anteriores
(incluidos los que no fueron identificados, o cuando los tratamientos de riesgo fallan o están a la altura
de alguna manera) tienen que ser aceptadas por la organización. Además, la administración puede
elegir de manera explícita a aceptar algunos riesgos de la información. Comprobar cómo el residual y
aceptado los riesgos son identificados y gestionados por ejemplo, asigna a apropiarse de los
propietarios de dichos riesgos, monitoreado y revisado a intervalos predeterminados. Busque vínculos
con la gestión de incidencias, la continuidad del negocio, recuperación de desastres y los arreglos de
contingencia para todo uso.
B.9. Evaluación del desempeño
Monitoreo B.9.1, medición, análisis y evaluación

(Cómo) monitorea la gestión del SGSI para asegurar que los controles de seguridad identificados en el RTP,
abordar cuestiones relacionadas con o
SOA, etc. políticas se implementan de manera efectiva, en funcionamiento y el logro de objetivos? ¿Cómo
derivadas de las metas y objetivos.
promueve la gestión y apoyar la mejora continua de los riesgos de la información y la gestión de la
métricas de alto nivel en relación con la
seguridad, la conducción de la madurez de los ISMS sin dejar de ser alineado con los objetivos de negocio?
propia ISMS suelen medir su eficacia y
La revisión de seguimiento del SGSI y actividades de medición utilizando
valor la evidencia
para la obtenida de: métricas
organización, su
de seguridad; actas de las reuniones y acciones que surjan; revisión
cumplimiento y la consecución de variosde
de la gestión y de auditoría interna
informes; informes de incumplimiento / incidente; de inversiónrequisitos,
de seguridad o propuestas
a mediados de proyectos,
de tendencias a
casos de negocios, etc. largo plazo, los recursos y las
Comprobar cómo se especifican las métricas / definen y utilizan prioridades, su estado
fuentes de datos, de ejecución
por ejemplo; y la
la recogida
de datos, análisis y presentación de informes frecuencias; quemadurez, etc., eny presente
recoge, analiza la organización
/ reportamáslos
amplia contexto empresarial.
datos, ya quién. Considere el propósito, la calidad, la utilidad y el valor de las métricas por ejemplo,métricas
utilizando elcriterios pragmáticos. Tomados en su conjunto, no detalladas de bajo
los indicadores nivel utilizados
presentan dentro
una perspectiva
de los ISMS para gestionar
razonablemente completa, precisa y oportuna a la gerencia? ¿Las decisiones de gestión de claves los riesgos de
impulsados por la métrica, de hecho? información, controles de seguridad, etc.
incidentes dependen en gran medida de
[Cómo] qué las métricas de impulsar mejoras continuas? la situación particular, y tienden a ser
más operativo / a corto plazo en la
B.9.2 auditoría interna naturaleza.Véase la norma ISO / IEC
27004: 2016 para más.
Revisar las auditorías internas de la organización del ISMS Nocomo
es raro se documenta
que algunasenacciones
ISMS alcances
acordadasde
auditoría interna, planes, informes, planes de acción, etc. permanezcan
¿Hay un programa de auditorías
incompleta en las internas
fechas delde
SGSI, mostrando un conjunto planificado o serie de auditorías? Se responsabilidades
terminación para la todo
previstas, sobre realización
si sonde
auditorías internas del SGSI asignados formalmente competentes, debidamente capacitado
complejos, costosos o implican otras partes. ElCuentas
(contratistas o consultores si no hay empleados adecuados están
puntodisponibles)?
no es que todo debe hacerse
exactamente como estaba previsto tanto
Copyright © Foro ISO27k, 2017 como que la gestión sigue siendo 52 en
|P álagparte
ina
superior de la situación, la gestión proactiva
de la obra y la asignación de recursos
Toolkit ISO27k
¿En qué medida a auditorías internas confirman que el ISMS cumple con sus requisitos definidos en la
norma ISO / IEC 27001, más obligaciones legales, reglamentarias o contractuales pertinentes, y los
requisitos del SGSI de la organización especificados por el proceso de evaluación de riesgos?
Compruebe que recomendaciones, planes de acción, acciones correctivas, etc. generalmente se abordan y
se verifican dentro de los plazos acordados, prestando especial atención a las acciones actualmente en
mora de ejemplos de uso tópico.
Revisión por la dirección B.9.3

revisiones por la dirección del SGSI deben ocurrir al menos dos veces al año o cada vez que hay un cambio
Si una auditoría de certificación del
significativo en el SGSI. Definido por ejemplo, está presente en la política? Cuando la administración ha
SGSI, realizado a petición de la
revisado previamente el SGSI, y cuándo próximo plan para hacerlo?
administración, podría considerarse
Mediante la revisión de los informes de gestión y otros registros,una
y / o “revisión
por entrevistar
por a la
los que estaban
dirección”
involucrados, comprobar lo fue a examen de la gestión / s anteriores (ISO / IEC
estrictamente 27001deidentifica
dentro nueve
los términos
elementos tales como los resultados de otras auditorías / comentarios, retroalimentación y
de la norma ISO / IEC está claro, pero mejora
sugerencias, información sobre vulnerabilidades y amenazas, etc.).esa
Evaluar la medida
no era que la
la intención. Susadministración
objetivos y
a desempeñó un papel activo y fue completamente enganchado enprocesos
la revisión /difieren
s. por ejemplo,
auditorías se formalizan,
Comprobar los resultados de cualquier revisión por la dirección anterior / s incluidas las decisiones clave lasde
evaluaciones
gestión, planes de acción y los registros relacionados con la confirmación independientes,
de que las medidas acordadas
fueron debidamente actioned. Si es necesario, confirman que las mientras
accionesrevisiones
cerradas de
de la dirección
hecho se han
completado correctamente, centrándose quizá en las que no se termine a tiempo.
B.10. Mejora
B.10.1 No conformidad y acciones correctivas

Revisar una muestra de registros para evaluar lo que realmente sucede cuando una no conformidad se
detecta por ejemplo a través de una revisión, auditoría, tiro errado o incidente. Están rutinaria y
consistentemente documentados en la forma de informes de no conformidad (NCR) que incluye:
 detalles explícitos de la no conformidad incluyendo los que las obligaciones, requisitos o controles que
se relaciona con (por ejemplo, las cláusulas de la norma ISO / IEC 27001, las políticas, leyes y
reglamentos; términos contractuales, las condiciones de seguros; buenas prácticas);
Aparte deo los
 Análisis de causa raíz, cavando en el subyacente razones, lagunas, problemas fallossíntomas obvios,
que permitieron
que la situación que se produzca; pero a veces superficiales y
aspectos reactivos (tales como el
 Acciones previstas para abordar las causas fundamentales, incluyendo cualquier
cumplimiento por elcambio
bien deenella),
las
estrategias de ISMS, políticas, procedimientos, prioridades, asignación de recursos, controles,
es que vale la pena diagnóstico y
indicadores, supervisión, etc .; el tratamiento de forma proactiva
 Especificación, el establecimiento de prioridades, la programación las /causas
planificación y asignación
subyacentes de
con el fin
recursos de las acciones derivadas; de evitar problemas se repitan y
 La evidencia demuestra que la NCR de hecho se ha abordado y resuelto;quizás empeoramiento, como un
cáncer.
 confirmación independiente de que el NCR se ha resuelto y por lo tanto puede ser cerrada?
Son las acciones correctivas apropiadas aplican plenamente y su eficacia revisados, de forma rutinaria?
¿Hay alguien que hacer el esfuerzo para determinar si existen o no conformidades similares, o pueden
producirse, en otro lugar? Son las no conformidades y acciones correctivas consideradas enrevisiones por
la dirección (B.9.3)?

Toolkit ISO27k
La mejora continua B.10.2
Además de hacer mejoras ISMS en respuesta a no conformidades reportados, tiene la organización adopta
una postura más proactiva hacia la solución de posibles mejoras, emergentes o nuevos requisitos proyecta
etc.? ¿Cómo están las posibles mejoras ISMS identificados, evaluados y (si procede) implementados?
Obtener y revisar los registros relacionados con las acciones correctivas tales como informes y planes de
acción de revisión por la dirección ISMS / s o auditorías (véase 9.2 y 9.3), ISMS Las solicitudes de cambio, el
presupuesto de inversión propuestas / y casos de negocios, etc Busque evidencia de que el SGSI es decir,
en de hecho, se mejoran significativamente en respuesta a emergentes o nuevos requerimientos
proyectados, las buenas prácticas emergentes de seguridad, etc. buscar evidencia de los cambios ISMS
(como añadir, cambiar o eliminar los controles de seguridad de la información) que corresponden a los
riesgos de información significativamente modificados.

ISO27k Guideline On ISMS Audit V2.en - Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO27k Guideline On ISMS Audit V2.en - Es

Cargado por

Copyright:

Formatos disponibles

Toolkit ISO27k

ISMS Directriz de Auditoría

Genérica, orientación pragmática para la auditoría

Una plantilla para el uso de auditoría interna por

Complementa el ISO27k (/ IEC 27000 de la serie

Sistema de Gestión de Seguridad de la Información

Copyright © Foro ISO27k, 2017 1 |P á g i n a

Apéndice A - seguridad de la información genérica lista de comprobación dieciséis

Copyright © Foro ISO27k, 2017 2 |P á g i n a

Apéndice B - Gestión de ISMS Genérico lista de control de auditoría del sistema 42

Copyright © Foro ISO27k, 2017 3 |P á g i n a

Copyright © Foro ISO27k, 2017 4 |P á g i n a

2. Alcance y propósito de esta guía

Copyright © Foro ISO27k, 2017 5 |P á g i n a

Copyright © Foro ISO27k, 2017 6 |P á g i n a

Copyright © Foro ISO27k, 2017 7 |P á g i n a

6.1 La gestión del programa de auditoría ISMS

6.2 Administración de una auditoría ISMS

Copyright © Foro ISO27k, 2017 8 |P á g i n a

Iteración es común, por ejemplo donde el análisis o la presentación de

7.1 Evaluación del alcance y encuesta pre-auditoría

7.2 Auditoría de planificación y preparación

trabajo de campo 7.3 Auditoría

análisis 7.4 Auditoría

7,5 informes de auditoría

8. Competencia y evaluación de auditores

Copyright © Foro ISO27k, 2017 13 |P á g i n a

8.2 Demostración de la competencia del auditor

9.4 Derechos de autor

Siendo una comunidad global amable y

Apéndice A - seguridad de la información genérica lista de

Copyright © Foro ISO27k, 2017 16 |P á g i n a

A.5. las políticas de seguridad de la información

A.6. Organización de la seguridad de la información

A.6.1 organización interna

Copyright © Foro ISO27k, 2017 17 |P á g i n a

Copyright © Foro ISO27k, 2017 18 |P á g i n a

A.6.2 dispositivos móviles y el teletrabajo

A.7. la seguridad de los recursos humanos

A.7.1 Antes de empleo

Copyright © Foro ISO27k, 2017 19 |P á g i n a

A.7.2 Durante el empleo

Copyright © Foro ISO27k, 2017 20 |P á g i n a

A.8. Gestión de activos

Responsabilidad A.8.1 para los activos

Copyright © Foro ISO27k, 2017 21 |P á g i n a

Clasificación de la información A.8.2

Copyright © Foro ISO27k, 2017 22 |P á g i n a

A.8.3 manejo de medios

Copyright © Foro ISO27k, 2017 23 |P á g i n a

El control de acceso A.9

A.9.1 requisitos comerciales de control de acceso

Copyright © Foro ISO27k, 2017 24 |P á g i n a

A.9.3 responsabilidades de los usuarios

Copyright © Foro ISO27k, 2017 25 |P á g i n a

Sistema A.9.4 y control de acceso de aplicaciones

10.1 Controles criptográficos

Copyright © Foro ISO27k, 2017 26 |P á g i n a

A.11. La seguridad física y ambiental

Las áreas seguras A.11.1

Copyright © Foro ISO27k, 2017 28 |P á g i n a

Copyright © Foro ISO27k, 2017 29 |P á g i n a

Copyright © Foro ISO27k, 2017 30 |P á g i n a