CHECK LIST DE VERIFICACIÓN DE REQUISITOS

ISO 9.001/ISO 27001

I. Cuestionario de Control Sistema de Gestión

4. Contexto de la Organización

Req. Pregunta de control Cumplimiento Observaciones/Evidencia Ejemplos de cumplimiento

4.1 ¿La organización ha desarrollado análisis No cumple ▪ Análisis FODA - POAM
que le posibiliten comprender el entorno ▪ Análisis PESTEL
interno y externo de su organización? ▪ 5 Fuerzas de Porter
▪ Análisis de Riesgo
▪ Arquitectura Empresarial

4.2 ¿La organización ha establecido los No cumple ▪ Mapa de Stakeholder

requisitos de sus partes interesadas en ▪ Requisitos de Negocio
términos de la calidad y seguridad de sus ▪ Requisitos de Servicios
productos y servicios? ▪ Requisitos de Productos
▪ Requisitos atención al cliente

4.3 ¿La organización posee una definición No cumple ▪ Un alcance definido que
sobre el alcance del Sistema de Gestión de considere áreas, procesos,
la familia ISO? servicios, productos y/o
proyectos.
4.4 ¿La organización ha desarrollado un No cumple ▪ Esquema de Macroprocesos
esquema de macroprocesos que posibilite
la comprensión de entradas y salidas de los
procesos en la organización?

4.4 ¿La organización cuenta con No cumple ▪ Procedimientos

procedimientos documentados con documentados
definiciones de: objetivos, responsables,
riesgo e indicadores?

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
 5. Liderazgo

Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento

5.1 ¿La dirección desarrolla el liderazgo para No cumple ▪ Definición de objetivos
alcanzar los niveles de calidad y seguridad ▪ Establecimiento de
de la información definiendo objetivos, presupuesto
proveyendo los recursos, definiendo ▪ Planes de formales de
responsabilidades, capacitando y revisando implementación
continuamente los resultados? ▪ Plan de capacitación
▪ Revisión de objetivos

5.2 ¿La organización cuenta con políticas y No cumple ▪ Política y objetivos de

objetivos de calidad y seguridad de la Calidad
información adecuados y vinculadas con el ▪ Política y objetivos de
contexto interno/externo y los objetivos Seguridad de la Información
definidos?

5.3 ¿La organización ha establecidos roles, No cumple ▪ Organigrama

responsabilidades y las acciones que deban ▪ Roles y responsabilidades
desarrollar sus colaboradores para alcanzar ▪ Perfiles de Cargo
los objetivos de calidad y seguridad de la
información?

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
 6. Planificación

Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento

6.1 ¿La organización cuenta con definiciones No cumple ▪ Marco de Gestión de Riesgo
que posibiliten gestionar los riesgos y ▪ Proceso de Gestión de Riesgo
oportunidades que posibiliten alcanzar los ▪ Apetito y tolerancia al Riesgo
objetivos establecidos?

6.1 ¿La organización cuenta con los No cumple ▪ Marco de Gestión de Riesgo
mecanismos que posibiliten gestionar los ▪ Proceso de Gestión de Riesgo
riesgos y oportunidades en sus procesos ▪ Matriz de Riesgos
y/o activos de información? ▪ Plan de Tratamiento de
Riesgos
▪ Declaración de Aplicabilidad
de Controles (SoA)

6.1 ¿La organización cuenta con los No cumple ▪ Marco de Gestión de Riesgo
mecanismos que posibiliten gestionar los ▪ Proceso de Gestión de Riesgo
riesgos y oportunidades en sus procesos ▪ Matriz de Riesgos
y/o activos de información? ▪ Plan de Tratamiento de
Riesgos
▪ Declaración de Aplicabilidad
de Controles (SoA)

6.2 ¿La organización establece sus objetivos de No cumple ▪ Procesos

calidad y/o seguridad de la información en ▪ Definición de Objetivos
sus procesos?

6.2 ¿La organización define en sus objetivos de No cumple ▪ Procesos

calidad y/o seguridad de la información a ▪ Definición de Objetivos
responsables, recursos necesarios,
mecanismos de revisión y evaluación?

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
 7. Recursos de Apoyo/Soporte

Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento

7.2 ¿La organización desarrolla un plan de No cumple ▪ Plan de capacitación
capacitación a su personal en materias de ▪ DNC (Detección de
calidad y/o seguridad de la información necesidades de capacitación)
basado en las competencias requeridas ▪ Cursos/talleres desarrolladas
para el desarrollo de funciones?

7.3 ¿La organización desarrolla un plan de No cumple ▪ Plan de concientización

concientización a su personal en materias ▪ Actividades de
de calidad y/o seguridad de la información concientización
basado en las funciones que desempeñan?

7.4 ¿La organización ha establecidos los No cumple ▪ Plan de comunicación

mecanismos de comunicación internas y ▪ Comunicados e informativos
externas sobre cuestiones pertinentes a la ▪ Mailing corporativos
gestión de calidad y seguridad de la
información?

7.5 ¿La organización ha establecidos los No cumple ▪ Procedimiento de gestión

mecanismos para la gestión documental de documental
políticas, procedimientos, instructivos y ▪ Gestión de información
registros de la gestión de calidad y documentada
seguridad de la información?

7.5 ¿La organización en su procedimiento de No cumple ▪ Procedimiento de gestión

gestión documental ha establecido los documental
mecanismos de distribución, accesos, uso, ▪ Gestión de información
almacenamiento, control de cambios, documentada
retención, revisión y aprobación?

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
 8. Operación (para la Gestión de Calidad)

Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento

8.1 ¿La organización planifica, implementa, No cumple ▪ Definición de Procesos
controla y documenta los procesos ▪ Procedimientos
necesarios para cumplir con los requisitos documentados
internos y externos establecidos? ▪ Revisión de la dirección

8.2 ¿La organización establece mecanismos de No cumple ▪ Procedimientos de Atención

comunicación con los clientes al Cliente
proporcionado información relativa a ▪ Mesa de Ayuda
productos y servicios, gestionando sus ▪ Gestión de clientes
consultas/quejas y estableciendo requisitos
para las acciones de contingencia (en caso
de ser requeridos)?

8.2 ¿La organización en la definición los No cumple ▪ Requisitos de productos y/o

requisitos para productos y servicios servicios
considera requisitos legales e internos
considerados necesarios por la
organización para poder cumplir con los
niveles de calidad y seguridad de la
información que ofrece?

8.2 ¿La organización en la definición los No cumple ▪ Requisitos de productos y/o

requisitos para productos y servicios servicios
considera los requisitos del cliente,
requisitos legales, requisitos internos y
aquellos requisitos no establecidos por el
cliente para poder cumplir con los niveles
de calidad y seguridad de la información
que ofrece?

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento
8.3 ¿La organización establece, implementa, No cumple ▪ Proceso y procedimientos de
mantiene y controla un proceso de diseño, diseño y desarrollo de
desarrollo y puesta a disposición de sus productos y servicios
productos y servicios?

8.3 ¿La organización en el proceso de diseño, No cumple ▪ Proceso y procedimientos de

desarrollo y puesta a disposición de sus diseño y desarrollo de
productos y servicios considera la gestión productos y servicios
de las entradas, riesgos, controles, salida y
cambios de manera documentada y
formal?

8.4 ¿La organización establece los mecanismos No cumple ▪ Gestión de proveedores

de control de los procesos, productos y ▪ Matriz de servicios
servicios externamente contratados? ▪ Controles sobre proveedores
externos

8.5 ¿La organización implementa un proceso No cumple ▪ Proceso y procedimientos de

para la producción y provisión de los producción y provisión de
productos y servicios bajo condiciones productos y servicios
controladas, los cuales posibilitan la
identificación y trazabilidad de las
operaciones, el cuidado con la propiedad
de clientes, la preservación de la
información y el control de cambios?

8.6 ¿La organización implementa un proceso No cumple ▪ Proceso y procedimientos de

8.7 para la entrega de productos y servicios el entrega de productos y
cual considera el control de resultados no servicios
conformes?

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
 8. Operación (para la Gestión de Seguridad de la Información)

Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento

8.1 ¿La organización desarrolla los procesos No cumple ▪ Proceso de planificación,
para planificar, implementar y controlar los implementación y control del
procesos necesarios para cumplir con los SGSI.
requisitos de seguridad de la información y ▪ Plan de implementación de
los riesgos identificados? SGSI

8.2 ¿La organización efectúa la identificación, No cumple ▪ Marco de Gestión de Riesgo

análisis y evaluación de riesgos ▪ Proceso de Gestión de Riesgo
(Apreciación al riesgo) de seguridad de la ▪ Matriz de Riesgos
información de manera periódica?

8.2 ¿La organización realiza la implementación No cumple ▪ Plan de Tratamiento de

de un plan de tratamiento de riesgos de Riesgos
seguridad de la información en ▪ Declaración de Aplicabilidad
concordancia con su apetito de riesgo? de Controles (SoA)

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
 9. Evaluación de Desempeño
Req. Pregunta de control
9.1 ¿La organización realiza el seguimiento,
medición, análisis y evaluación del
desempeño, eficiencia y eficacia de la
gestión de calidad y/o seguridad de la
información?
9.1 ¿La organización establece para la gestión
de sus objetivos: responsables, métodos de
evaluación y mecanismos de seguimiento?
9.2 ¿La organización dispone de la función y/o
personal para el desarrollo auditorías
internas periódicas a la gestión de calidad
y/o seguridad de la información?
9.2 ¿La organización desarrolla de manera
periódica un plan de auditoría interna a la
gestión de calidad y/o seguridad de la
información, el cual se desarrolla en torno a
uno o más programas de auditorías?
9.3 ¿La dirección revisa en intervalos
planificados los resultados de la gestión de
calidad y/o seguridad de la información?
9.3 ¿La revisión de la dirección considera los
cambios en el contexto interno/externo, no
conformidades, auditorías internas y el
cumplimiento de objetivos?
Autoevaluación de normas ISO 9.001/27.001
Alignment SpA – NewYork 52, Santiago
Cumplimiento Observaciones Ejemplos de cumplimiento
No cumple ▪ Revisión de la dirección
▪ Evaluación de resultados
▪ Análisis de desviaciones
No cumple ▪ Revisión de la dirección
▪ Evaluación de resultados
▪ Análisis de desviaciones
No cumple ▪ Plan de auditoría
▪ Programas de auditorías
No cumple ▪ Plan de auditoría
▪ Programas de auditorías
No cumple ▪ Revisión de la dirección
▪ Evaluación de resultados
▪ Análisis de desviaciones
No cumple ▪ Revisión de la dirección
▪ Evaluación de resultados
▪ Análisis de desviaciones
▪ Resultados de auditorías
 10. Mejora Continua

Req. Pregunta de control Cumplimiento Observaciones Ejemplos de cumplimiento

10.1 ¿La organización gestiona el No cumple ▪ Gestión de no conformidades
incumplimiento de los requisitos (no ▪ Análisis de causas
conformidad) en sus políticas y
procedimientos de manera regular?

10.2 ¿La organización establece los mecanismos No cumple ▪ Gestión de no conformidades

para la revisión y resolución de cualquier ▪ Análisis de causas
no conformidad de los requisitos en sus ▪ Cierre de no conformidades
políticas y procedimientos establecidos?

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
 II. Políticas y Procedimientos de Seguridad de la Información

A continuación se presenta un listado de las políticas, marcos de referencia y procedimientos de mayor

uso y adopción en la ISO 27.001 e ISO 27.002. Es preciso señalar que una implementación de la norma
no es requerida la definición e implementación que a continuación se describen, lo cual estará
determinado por el alcance del sistema de gestión y los riesgos gestionados.

Req. Política/Marco/Procesos/Procedimiento Cumplimiento Observaciones

5.2 Política de Seguridad de la Información No definida

6.1.2 Marco y proceso de gestión de riesgos No definida

A.6.2.1 Política de Dispositivos Móviles No definida

A.6.2.2 Política de Teletrabajo No definida

A.7.1.1 Procedimiento de contratación de personal No definida

A.7.3.1 Procedimiento de desvinculación de personal No definida

A.8.2.2 Política de clasificación de información No definida

A.9.1.1 Política de control de accesos No definida

A.10.1.1 Política de uso de controles criptográficos No definida

A.11.2.9 Política de puesto de trabajo despejado y No definida

pantalla limpia

A.12.2.1 Política de protección antes el software No definida

malicioso

A.12.3.1 Política de copias de seguridad y respaldos No definida

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago
Req. Política/Marco/Procesos/Procedimiento Cumplimiento Observaciones
12.6.1 Política de gestión de vulnerabilidades técnicas No definida

12.6.2 Política de restricción de instalación de No definida

software

13.1.1 Política de seguridad en las comunicaciones No definida

13.2.1 Política de intercambio de información No definida

14.2.1 Política de desarrollo seguro No definida

14.2.2 Procedimiento de control de cambios No definida

15.1.1 Procedimiento de seguridad de la información No definida

en las relaciones con los proveedores

16 Política y procedimiento para la gestión de No definida

incidentes

17 Política y procedimiento para la gestión de No definida

continuidad

18.1.4 Política y procedimiento para la gestión de No definida

información personal

Autoevaluación de normas ISO 9.001/27.001

Alignment SpA – NewYork 52, Santiago