PLAN DE AUDITORIA INTERNA

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA

INFORMACIÓN (EGSI versión 2.0)
Introducción
La ejecución de la auditoría interna de cumplimiento debe permitir conocer el estado real de
la implementación del Esquema Gubernamental de Seguridad de la Información - EGSI y
que a su vez permita tomar las medidas correctivas necesarias que lleven al cumplimiento y
calidad de los procesos y sistemas existentes.

Es importante considerar que por estar implementando el primer ciclo del EGSIv2, es
recomendable para este ejercicio de Auditoría Interna (breve), considerar una parte del
grupo de los controles de seguridad que fueron seleccionados en el documento Declaración
de Aplicabilidad y los requisitos del Esquema que contemplan los ocho primeros hitos.

1. Identificación
1.1 Tipo de Auditoría

En esta sección se debe describir el tipo o clase de auditoría a realizarse.

[Ejemplo:

Auditoría Interna de cumplimiento.

1.2 Proceso

En esta sección se debe describir el proceso, subproceso y/o áreas en el que se aplicará la
auditoría interna.

[Ejemplo:

El Proceso seleccionado para la primera Auditoría Interna en la implementación del Esquema Gubernamental de
Seguridad de la Información es “GESTIÓN DE LA SIMPLIFICACIÓN DE TRÁMITES Y SERVICIOS” y los
subprocesos involucrados son:

 “Gestión de Proyectos”
 “Gestión de TI”
 “Gestión de TH”
 “Gestión de Normativas”

... ]

1.3 Líder y/o Equipo para la Auditoría

En esta sección se debe detallar el nombre del funcionario que actuará como Auditor Líder,
es recomendable, en caso de ser posible y/o existir en la institución, que dicho funcionario
cumpla con el perfil requerido: conocimientos de auditorías de Sistemas de Gestión; caso
contrario el funcionario designado no debería haber formado parte del proceso de
implementación, es decir deberá tener independencia y objetividad.
NOTA IMPORTANTE:

La Auditoria interna se realizará con personal vinculado laboralmente a la institución, pero independiente al ámbito auditado,
con el fin de garantizar los principios de independencia y objetividad:
 De acuerdo al tamaño de la institución al menos debe contemplarse una persona para desempeñar la tarea de
auditor interno.
 En el caso de ser instituciones medianas o grandes considerar al menos dos personas o más que podrían ser los
dueños de los procesos o jefes de área.

[Ejemplo:

El Oficial de Seguridad de la Información en coordinación con el Comité de Seguridad de la Información (CSI)

delegaron al funcionario “nombre/apellido” para la ejecución de la Auditoría Interna…

1.4 Objetivo de la Auditoría

En esta sección se debe incluir el objetivo de la Auditoría a realizarse.

[Ejemplo:

Realizar una auditoría interna de cumplimiento de la implementación del Esquema Gubernamental de Seguridad
de la Información – EGSI v2, acorde a la normativa emitida por el Ministerio de Telecomunicaciones y de la
Sociedad de la Información: Acuerdo ministerial No. 025- 2019.

…]

1.5 Alcance de la Auditoría

En esta sección se debe incluir el alcance que tendrá la auditoría interna.

NOTA IMPORTANTE:

Considerando que es el primer ciclo de implementación del EGSI v2, es recomendable:

 Ejecutar la Auditoría Interna a los requisitos de la Norma Técnica (EGSIv2) que hasta la fecha se han cumplido. (ver
Anexo 2)
 Seleccionar los controles a ser validados en esta primera Auditoría Interna, estos controles serán los relacionados a
los subprocesos y/o áreas descritas en la sección “1.2 Proceso”.
 Recordar que solo por esta ocasión se realizará una Auditoría Interna breve, para las próximas auditorías se deberá
planificar al menos una auditoría interna cada año y a la totalidad del alcance seleccionado para la implementación
del EGSI v2.

[Ejemplo:

El alcance seleccionado para la primera Auditoría Interna a realizarse es el proceso “X”, que incluyen los
subprocesos/áreas:

 Subproceso X
 Subproceso Y
 Subproceso Z

La auditoría interna abarcará la validación del:

 Cumplimiento de los requisitos de implementación del EGSIv2

  Cumplimiento de los controles de seguridad, relacionados a las áreas involucradas en el proceso
seleccionado y que han sido escogidos en el documento Declaración de Aplicabilidad.
…]

1.6 Criterios de la Auditoría

En esta sección se debe incluir los criterios para valorar los hallazgos, tanto relacionados
con los requisitos, como los controles de seguridad del Esquema Gubernamental de
Seguridad de la Información.

Existen varias metodologías que permiten realizar la Auditoría Interna de los sistemas de
gestión de seguridad de la información, cada institución deberá seleccionar y aplicar la que
mejor se alinee a su giro de negocio, alcance o realidad institucional.

[Ejemplo:

Los criterios definidos para la ejecución de la auditoría interna de la implementación del Esquema
Gubernamental de Seguridad de la Información – EGSI v2, tanto para los requisitos y los controles de seguridad,
se detalla a continuación:

VALORACIÓN DE CUMPLIMIENTO
REQUISITOS Y CONTROLES DE SEGURIDAD

EFECTIVIDAD DESCRIPCIÓN DEL HALLAZGO VALORACIÓN

No cumple, no se hace: carencia completa de cualquier proce-
0% so/control reconocible, no se ha reconocido que existe un pro-
blema a resolver.
NO CONFORMIDAD MA-
Se reconoce la importancia de esta práctica por lo que se desa- YOR
rrollan y documentan algunas actividades y/o procesos alrede-
10%
dor de la misma. No existen plantillas definidas a nivel corpora-
tivo.
Se desarrollan actividades y/o procesos, sin embargo, no han
sido documentadas, ni hay entrenamiento, ni comunicación NO CONFORMIDAD ME-
50%
formal de la misma. Se deja la responsabilidad a cada funciona- NOR
rio.
Esta práctica se ha estandarizado, documentado y ha sido di-
90% fundida mediante entrenamiento: Toda la institución participa
en el proceso. OPORTUNIDAD DE ME-
Esta práctica se monitorea y mide su cumplimiento. Se JORA
95% toman medidas cuando los procesos y/o actividades no están
logrando su objetivo, requiere mejoras.

Los procesos están bajo constante mejora (se han redefinido al

100% CONFORME
nivel de mejor práctica). Existe evidencia de la mejora continua.

…]
1.7 Metodología de la Auditoría

En esta sección se debe describir la metodología que se utilizará para la ejecución de la

Auditoría Interna de Cumplimiento.

[Ejemplo:

Se define como metodología para la ejecución de la auditoria interna, ENTREVISTAS EN EL PUESTO DE

TRABAJO de cada uno de los auditados.

2. Agenda
1.8 Actividades de la Auditoría

En esta sección se debe especificar las actividades que se ejecutarán en la auditoría, con
fechas, horarios, las áreas o procesos a ser auditados, auditor o auditores que realizarán
dichas actividades, lugar en donde se lo realizará, otros.

[Ejemplo:

Las actividades a realizarse en la primera auditoría interna del Esquema Gubernamental de Seguridad de la
Información, se describen a continuación:

Reunión de Apertura de la auditoría

 Se realizará la reunión formal del inicio de la auditoria y se presentara las actividades que se van a
desarrollar durante el transcurso del proceso de auditoría

Definición de equipos de trabajo

 Para la definición de equipos de trabajo se considera a los funcionarios delegados por área a ser
auditada y el auditor designado (o equipo de auditores).

Tiempo estimado de la ejecución de la auditoría:

 La ejecución de la auditoría se efectuará en un tiempo máximo de 15 días a partir de

…]

3. Recursos necesarios
En esta sección se debe definir y detallar el cronograma de trabajo de las actividades a
realizar, delegados por área a ser auditada, materiales, listas de verificación y todo lo que se
requiera para ejecutar la auditoría.
[Ejemplo:

Cronograma de trabajo

Considerando que en la auditoría interna se evaluarán los requisitos levantados y documentados, así como los
controles de seguridad implementados, se ha elaborado el siguiente cronograma: (Ejemplo: ANEXO 1)

Materiales

Los materiales a ser usados en el proceso de auditoría son los equipos informáticos (computadores, impresoras,
scanner, otros) proporcionados por la institución.

Listas de verificación

Para la ejecución de la auditoría interna se ha elaborado listas de verificación para la revisión del cumplimiento
de los requisitos y controles de seguridad del Esquema Gubernamental de Seguridad de la Información
(Ejemplos: ANEXO 1, ANEXO 2).

…]

Historial de modificaciones

Versión Fecha Detalle de la modificación

1.0 22/04/2021 Descripción básica del documento
1.1 21/05/2021 Modificación de contenido
 ANEXO 1

EJEMPLO DE UN CRONOGRAMA DE TRABAJO

Auditoría Interna de Cumplimiento EGSI v2

Mes “X”
Semana1 Semana 2 Semana 3
N. Actividades a ejecutar
D D D D D D
D1 D3 D5 D2 D4 D1 D3
2 4 1 3 5 2
Revisión y recopilación de información básica, política,
1
normativa, procedimientos, otros.
Reunión previa para aprobación del Plan o Cronogra-
2
ma de trabajo.
Reunión de Inicio y presentación de actividades a reali-
3
zar
Ejecución de encuestas mediante entrevistas a funcio-
4
narios
5 Inspección de Instalaciones

6 Identificación de riesgos potenciales

7 Controles a revisar

8 Pruebas a realizar

9 Procesamiento de los resultados de las encuestas.

10 Obtención de Resultados

11 Elaboración del Informe Final

NOTA IMPORTANTE:

Levantamiento de la información: para levantar la información y determinar la valoración de los hallazgos, se podrían realizar:
verificaciones en sitio, entrevistas, encuestas, preguntas y respuestas a los entrevistados. Checklist, otros.

Revisión y recopilación de información básica: la recopilación de información se lo puede realizar a través de cuestionarios, o
encuestas dirigidos a los dueños del proceso y funcionarios de las áreas a auditar con el fin de conocer los equipos que usan
procesos, que realizan procedimiento elaborados, conocimientos del EGSI, normativa interna, políticas, etc.

Reunión aprobación Plan o cronograma de trabajo: reuniones de trabajo entre auditores y jefes de área para dar a conocer el
cronograma de trabajo y aprobación del mismo.

Reunión de inicio y presentación de actividades a realizar: reunión formal del inicio de la auditoria y presentación de actividades
que se van a desarrollar durante el transcurso del proceso de auditoría.

Controles a revisar: verificación de la existencia y aplicación correcta de Políticas de seguridad de la información, controles de
seguridad de acuerdo al resultado de la evaluación de riesgos.

Pruebas a revisar: verificación de la implementación adecuada y alineada a los procedimientos, manuales, políticas
establecidas. La documentación debe estar actualizada.

Elaboración del Informe de Auditoría: documento en la que se plasma los resultados de la auditoria, hallazgos, no
conformidades, mismas que serán presentados y revisados por las autoridades para su cumplimiento.

ANEXO 2
 LISTA DE VERIFICACIÓN REQUISITOS - IMPLEMENTACIÓN
(EGSI V2.0)
Ref. NTE-ISO/IEC 27001
Porcentaje
Ítem Descripción Hallazgos de Efectivi- Valoración
dad
0.0.1 Perfil del Proyecto
Ejemplo: Se verificó que exis-
¿Están identificados los objetivos del EGSI? te un documento de Perfil de
NO CONFORMI-
¿Se ha determinado el Perfil del Proyecto para la implementación del Proyecto, pero no especifica 50%
DAD MENOR
EGSI? los objetivos del EGSI y no ha
sido socializado.
0.0.2 Definición del Alcance del EGSI versión 2.0
¿Se ha determinado el alcance del EGSI y se conserva información do-
cumentada?
0.0.3 Política de la Seguridad de la Información
¿Se ha definido una Política de la Seguridad de la Información (alto ni-
vel)?
¿Se ha comunicado la política de la Seguridad de la información a las
partes interesadas y a toda la institución?
0.0.4 Metodología de evaluación y tratamiento del riesgo
¿Se identifican y analizan los riesgos mediante un método de evalua-
ción y aceptación de riesgos?

0.0.5 Plan de Comunicación y Sensibilización del EGSI versión 2.0

¿Existe un proceso para comunicar las deficiencias o malas prácticas en
la seguridad de la Información?
¿Se comunica la política de la Seguridad de la Información con las res-
ponsabilidades de cada uno?
¿Existe conciencia de los daños que se pueden producir de no seguir las
pautas de la Seguridad de la Información?
0.0.6 Informe de la Evaluación de los Riesgos
¿Se ha establecido un proceso documentado de análisis y evaluación de
riesgos para la Seguridad de la Información donde se identifique?
-El propietario del riesgo
-La importancia del riesgo o nivel de impacto
-La probabilidad de ocurrencia
0.0.7 Declaración de Aplicabilidad (SoA)
¿Se identifican todos los controles necesarios para mitigar el riesgo jus-
tificando su aplicación?
0.0.8 Plan de Tratamiento de los riesgos
¿Se ha implementado un plan de tratamiento de riesgos?, dónde:
-Los propietarios del riesgo están informados y han aprobado el plan
-Se documentan los resultados

ANEXO 3
LISTA DE VERIFICACIÓN CONTROLES DE SEGURIDAD
(ANEXO - EGSI V2.0)
Ref. NTE-ISO/IEC 27002
 Sec- Porcentaje de
Ítem Descripción Hallazgos Valoración
ción Efectividad

1 Políticas de Seguridad de la Información

1.1 Dirección de gestión de seguridad de la información
¿La dirección ha publicado y aprobado las políti-
1 1.1.1 cas sobre la Seguridad de la Información acor-
dar con los requisitos del negocio?
¿Existe un proceso planificado y verificable de
2 1.1.2 revisión de las políticas de Seguridad de la infor-
mación?
2 Organización de la Seguridad de la Información
2.1 Organización interna
¿Se han asignado y definido las responsabilida-
des sobre la seguridad de la Información en las
3 2.1.1
distintas tareas o actividades de la organiza-
ción?
¿Se han segregado las diversas áreas de respon-
4 2.1.2 sabilidad sobre la Seguridad de la Información
para evitar usos o accesos indebidos?
¿Existe un proceso definido para contactar con
5 2.1.3 las autoridades competentes ante incidentes re-
lacionados con la Seguridad de la Información?
¿Existen medios y se han establecido contactos
con grupos de interés y asociaciones relaciona-
6 2.1.4 das con la seguridad de la información para
mantenerse actualizado en noticias e informa-
ción sobre Seguridad?
¿Existen requisitos para afrontar cuestiones so-
7 2.1.5 bre la seguridad de la información en la gestión
de proyectos de la organización?

¿Existe consideraciones de la seguridad cuando

8 2.1.6 se trata con ciudadanos o clientes en la presta-
ción de los servicios?

2.2 Dispositivos móviles y teletrabajo

¿Se consideran requisitos especiales para la Se-
9 2.2.1 guridad de la Información en la utilización de
dispositivos móviles?
¿Se aplican los criterios de Seguridad para los
10 2.2.2
accesos de teletrabajo?
3 Seguridad de los recursos humanos
3.1 Antes del empleo (antes de contratar a un funcionario)
¿Se investigan los antecedentes de los candida-
tos?
-Formación
11 3.1.1
-Experiencia
-Verificar Titulación
-Referencias
¿Se incluyen cláusulas relativas a la Seguridad
12 3.1.2
de la Información en los contratos de trabajo?
3.2 Durante el empleo (durante dure el contrato)
¿El cumplimiento de las responsabilidades sobre
13 3.2.1 la Seguridad de la Información es exigida de for-
ma activa a empleados y contratistas?
 ¿Existen procesos de información, formación y
14 3.2.2 sensibilización sobre las responsabilidades so-
bre la Seguridad de la Información?
¿Existe un plan disciplinario donde se comunica
a los empleados y contratistas las consecuencias
15 3.2.3
de los incumplimientos sobre las políticas de la
Seguridad de la Información?
3.3 Finalización o cambio de empleo (Terminación de contrato)
¿Existe un procedimiento para garantizar la Se-
guridad de la Información en los cambios de
empleo, puesto de trabajo o al finalizar un con-
trato?
16 3.3.1 ¿Se definen responsabilidades sobre la Seguri-
dad de la información que se extiendan más allá
de la finalización de un contrato como por
ejemplo cuestiones relativas a la confidenciali-
dad de la Información?
4 Gestión de activos
4.1 Responsabilidad de los activos
¿Se ha realizado un inventario de activos que
17 4.1.1
dan soporte al negocio y de Información?
¿Se ha identificado al responsable de cada acti-
18 4.1.2
vo en cuanto a su seguridad?
¿Se han establecido normas para el uso de acti-
19 4.1.3
vos en relación a su seguridad?
¿Existe un procedimiento para la devolución de
20 4.1.4 activos cedidos a terceras partes o a la finaliza-
ción de un puesto de trabajo o contrato?
4.2 Clasificación de la información
¿Se clasifica la información según su confiden-
21 4.2.1 cialidad o su importancia en orden a establecer
medidas de seguridad especificas?
¿Los activos de información son fácilmente
22 4.2.2 identificables en cuanto a su grado de confiden-
cialidad o su nivel de clasificación?
¿Existen procedimientos para el manipulado de
23 4.2.3
la información de acuerdo a su clasificación?
4.3 Manejo de los Soportes de almacenamiento - medios
¿Existen controles establecidos para aplicar a
soportes extraíbles?
24 4.3.1 -Uso
-Cifrado
-Borrado, etc.
¿Existen procedimientos establecidos para la
25 4.3.2
eliminación de soportes?
¿Existen procedimientos para el traslado de so-
portes de información para proteger su seguri-
26 4.3.3 dad?
-Control de salidas
-Cifrado etc.
5 Control de acceso
5.1 Requisitos institucionales para el control de acceso
¿Existe una política para definir los controles de
acceso a la información que tengan en cuenta el
27 5.1.1
acceso selectivo a la información según las ne-
cesidades de cada actividad o puesto de traba-
 jo?
¿Se establecen accesos limitados a los recursos
28 5.1.2 y necesidades de red según perfiles determina-
dos?
5.2 Gestión de acceso de los usuarios
¿Existen procesos formales de registros de
29 5.2.1
usuarios?
¿Existen procesos formales para asignación de
30 5.2.2
perfiles de acceso?
¿Se define un proceso específico para la asigna-
31 5.2.3 ción y autorización de permisos especiales de
administración de accesos?
¿Se ha establecido una política específica para
el manejo de información clasificada como con-
fidencial/secreta?
32 5.2.4
en cuanto a:
-Autenticación
-Compromisos
¿Se establecen periodos concretos para renova-
33 5.2.5
ción de permisos de acceso?
¿Existen un proceso definido para la revocación
34 5.2.6 de permisos cuando se finalice una actividad,
puesto de trabajo o cese de contratos?
5.3 Responsabilidades del usuario
¿Se establecen normas para la creación y salva-
35 5.3.1
guarda de contraseñas de acceso?
5.4 Control de acceso a sistemas y aplicaciones
¿Se establecen niveles y perfiles específicos de
acceso para los sistemas de Información de for-
36 5.4.1
ma que se restringa la información a la actividad
específica a desarrollar?
¿Se han implementado procesos de acceso se-
guro para el inicio de sesión considerando limi-
37 5.4.2
taciones de intentos de acceso, controlando la
información en pantalla etc.?

¿Se establecen medidas para controlar el esta-

38 5.4.3
blecimiento de contraseñas seguras?

¿Se controla la capacitación y perfil de las per-

39 5.4.4 sonas que tienen permisos de administración
con perfiles bajos de Seguridad?
¿Se restringe el acceso a códigos fuente de pro-
40 5.4.5 gramas y se controla cualquier tipo de cambio a
realizar?
6 Criptografía
6.1 Controles criptográficos
¿Existe una política para el establecimiento de
41 6.1.1
controles criptográficos?
¿Existe un control del ciclo de vida de las claves
42 6.1.2
criptográficas?
7 Seguridad física y del entorno
7.1 Áreas seguras
¿Se establecen perímetros de seguridad física
43 7.1.1
donde sea necesario con barreras de acceso?
 ¿Existen controles de acceso a personas autori-
44 7.1.2
zadas en áreas restringidas?
¿Se establecen medidas de seguridad para zo-
nas de oficinas para proteger la información de
45 7.1.3
pantallas etc. en áreas de accesibles a personal
externo?
¿Existe protección contra las amenazas externas
46 7.1.4
y ambientales?
¿Se controla o supervisa la actividad de personal
47 7.1.5
que accede a áreas seguras?
¿Se controlan las áreas de Carga y descarga con
48 7.1.6 procedimientos de control de mercancías entre-
gadas, otros?
7.2 Seguridad de los Equipos
¿Se protegen los equipos tanto del medioam-
49 7.2.1
biente como de accesos no autorizados?
¿Se protegen los equipos contra fallos de sumi-
50 7.2.2
nistro de energía?
¿Existen protecciones para los cableados de
51 7.2.3
energía y de datos?
¿Se planifican y realizan tareas de mantenimien-
52 7.2.4
to sobre los equipos?
¿Se controlan y autorizan la salida de equipos,
53 7.2.5 aplicaciones etc. Que puedan contener informa-
ción?
¿Se consideran medidas de protección específi-
54 7.2.6 cas para equipos que se utilicen fuera de las ins-
talaciones de la propia empresa?
¿Se establecen protocolos para proteger o eli-
55 7.2.7 minar información de equipos que causan baja
o van a ser reutilizados?
¿Se establecen normas para proteger la infor-
56 7.2.8 mación de equipos cuando los usuarios abando-
nan el puesto de trabajo?
¿Se establecen reglas de comportamiento para
57 7.2.9 abandonos momentáneos o temporales del
puesto de trabajo?
8 Seguridad de las operaciones
8.1 Procedimientos y responsabilidades operacionales
¿Se documentan los procedimientos y se esta-
blecen responsabilidades?
58 8.1.1
¿Se controla que la información sobre procedi-
mientos se mantenga actualizada?
¿Se dispone de un procedimiento para evaluar
59 8.1.2 el impacto en la seguridad de la información
ante cambios en los procedimientos?
¿Se controla el uso de los recursos en cuanto al
60 8.1.3
rendimiento y capacidad de los sistemas?
¿Los entornos de desarrollo y pruebas están
61 8.1.4 convenientemente separados de los entornos
de producción?
8.2 Protección contra un malware
¿Existen sistemas de detección para Software
62 8.2.1
malicioso o malware?
8.3 Copias de seguridad
 ¿Se ha establecido un sistema de copias de se-
63 8.3.1 guridad acordes con las necesidades de la infor-
mación y de los sistemas?
8.4 Registro y monitoreo

¿Se realiza un registro de eventos?

-Intentos de acceso fallidos/exitosos
64 8.4.1
-Desconexiones del sistema
-Alertas de fallos, otros.

¿Se ha establecido un sistema de protección

65 8.4.2 para los registros mediante segregación de ta-
reas o copias de seguridad?
¿Se protege convenientemente y de forma es-
66 8.4.3 pecífica los accesos o los de los administrado-
res?
¿Existe un control de sincronización de los dis-
67 8.4.4
tintos sistemas?
8.5 Control del software en producción
¿Las instalaciones de nuevas aplicaciones SW o
modificaciones son verificadas en entornos de
68 8.5.1
prueba y existen protocolos de seguridad para
su instalación?
8.6 Gestión de la vulnerabilidad técnica
¿Se establecen métodos de control para vulne-
69 8.6.1
rabilidades técnicas "hacking ético", otros?
¿Se establecen medidas restrictivas para la ins-
talación de Software en cuanto a personal auto-
70 8.6.2
rizado evitando las instalaciones por parte de
usuarios finales?
8.7 Consideraciones sobre la auditoría de sistemas de información

¿Existen mecanismos de auditorías de medidas

de seguridad de los sistemas?
71 8.7.1 ¿Se establecen protocolos específicos para de-
sarrollo de auditorías Software considerando su
impacto en los sistemas?

9 Seguridad en las comunicaciones

9.1 Gestión de la seguridad de redes
¿En el entorno de red se gestiona la protección
72 9.1.1 de los sistemas mediante controles de red y de
elementos conectados?
¿Se establecen condiciones de seguridad en los
73 9.1.2 servicios de red tanto propios como subcontra-
tados?
¿Existe separación o segregación de redes to-
74 9.1.3 mando en cuenta condiciones de seguridad y
clasificación de activos?
9.2 Transferencia de información (Intercambio)
¿Se establecen políticas y procedimientos para
75 9.2.1
proteger la información en los intercambios?
¿Se delimitan y establecen acuerdos de respon-
76 9.2.2 sabilidad en intercambios de información con
otras entidades?
¿Se establecen normas o criterios de seguridad
77 9.2.3
en mensajería electrónica?
 ¿Se establecen acuerdos de confidencialidad an-
78 9.2.4 tes de realizar intercambios de información con
otras entidades?
10 Adquisición, desarrollo y mantenimiento de los sistemas
10.1 Requisitos de seguridad de los sistemas de información
¿Se definen y documentan los requisitos de Se-
guridad de la Información para los nuevos siste-
79 10.1.1 mas de Información?
¿Se especifican los requisitos de Seguridad de la
información en el diseño de nuevos sistemas?
¿Se consideran requisitos de seguridad específi-
80 10.1.2 cos para accesos externos o de redes públicas a
los sistemas de información?
¿Se establecen medidas de protección para
81 10.1.3
transacciones Online?
10.2 Seguridad en el desarrollo y en los procesos de soporte
¿Se establecen procedimientos que garanticen
82 10.2.1
el desarrollo seguro del Software?
¿Se gestiona el control de cambios en relación
83 10.2.2
al impacto que puedan tener en los sistemas?
¿Se establecen procedimientos de revisión des-
84 10.2.3
pués de efectuar cambios o actualizaciones?
¿Se establecen procesos formales para cambios
85 10.2.4 en versiones o nuevas funcionalidades para So-
ftware de terceros?
¿Se definen políticas de Seguridad de la Infor-
86 10.2.5
mación en procesos de ingeniería de Sistemas?
¿Se realiza una evaluación de riesgos para he-
87 10.2.6
rramientas de desarrollo de Software?
¿Se acuerdan los requisitos de seguridad de la
88 10.2.7 Información para Software desarrollado por ter-
ceros?
¿Se realizan pruebas funcionales de seguridad
89 10.2.8
de los sistemas antes de su fase de producción?
¿Se establecen protocolos y pruebas de acepta-
90 10.2.9 ción de sistemas para nuevos sistemas y actuali-
zaciones?
10.3 Datos de prueba
¿Se utilizan datos de prueba en los ensayos o
91 10.3.1
pruebas de los sistemas?
11 Relaciones con proveedores
11.1 Seguridad de la información en relación con los proveedores
¿Existe una política de Seguridad de la informa-
92 11.1.1 ción para proveedores que acceden a activos de
la información de la empresa?
¿Se han establecido requisitos de seguridad de
93 11.1.2
la información en contratos con terceros?
¿Se fijan requisitos para extender la seguridad
94 11.1.3 de la información a toda la cadena de suminis-
tro?
11.2 Gestión de la provisión de servicios del proveedor
¿Se controla el cumplimiento de los requisitos
95 11.2.1
establecidos con proveedores externos?
¿Se controlan los posibles impactos en la seguri-
96 11.2.2 dad ante cambios de servicios de proveedores
externos?
 12 Gestión de incidentes de seguridad de la información
12.1 Gestión de los incidentes de seguridad de la información y mejoras
¿Se definen responsabilidades y procedimientos
97 12.1.1 para responder a los incidentes de la Seguridad
de la Información?
¿Se han implementado canales adecuados para
98 12.1.2 la comunicación de incidentes en la seguridad
de la Información?
¿Se promueve y se hayan establecidos canales
99 12.1.3 para comunicar o identificar puntos débiles en
la Seguridad de la Información?
¿Se ha establecido un proceso para gestionar
100 12.1.4 los incidentes en la Seguridad de la Informa-
ción?
¿Existen mecanismos para dar respuesta a los
101 12.1.5
eventos de la Seguridad de la Información?
¿La información que proporcionada por los
102 12.1.6 eventos en la Seguridad de la información son
tratados para tomar medidas preventivas?
¿Existe un proceso para recopilar evidencias so-
103 12.1.7 bre los incidentes en la seguridad de la Informa-
ción?
13 Aspectos de seguridad de la información para la gestión de la continuidad del negocio
13.1 Continuidad de seguridad de la información
¿Se ha elaborado un plan de continuidad del ne-
104 13.1.1 gocio ante incidentes de Seguridad de la Infor-
mación?
¿Se ha implementado las medidas de recupera-
105 13.1.2 ción previstas en el plan de Continuidad del Ne-
gocio?
¿Se han verificado o probado las acciones pre-
106 13.1.3
vistas en el plan de Continuidad del Negocio?
13.2 Redundancias
¿Se ha evaluado la necesidad de redundar los
107 13.2.1
activos críticos de la Información?
14 Cumplimiento
14.1 Cumplimiento de los requisitos legales y contractuales
¿Se han identificado las legislaciones aplicables
108 14.1.1 sobre protección de datos personales y su cum-
plimiento?
¿Existen procedimientos implementados sobre
109 14.1.2
la propiedad intelectual?
¿Se establecen criterios para clasificación de re-
110 14.1.3
gistros y medidas de protección según niveles?
¿Se establecen medidas para la protección de
111 14.1.4 datos personales de acuerdo con la legislación
vigente?
¿Si se utiliza el cifrado, se establecen controles
112 14.1.5
criptográficos de acuerdo a la legislación?
14.2 Revisiones de seguridad de la información
¿Se revisan los controles de la Seguridad de la
113 14.2.1 Información por personal independiente a los
responsables de implementar los controles?
¿Se revisa periódicamente el cumplimiento de
114 14.2.2 las políticas y controles de la Seguridad de la in-
formación?
 ¿Se realizan evaluaciones sobre el correcto fun-
115 14.2.3 cionamiento de las medidas técnicas de protec-
ción para la seguridad de la información?