Reunión de apertura
Notas de la reunión de apertura
Examen de la eficacia de las conclusiones de auditorías anteriores
Revisión de hallazgos previos
Hallazgos anteriores
Detalles de la revisión
Revisar el resultado
Recomendación Examen de la eficacia
¿Recomendación planteada en la auditoría anterior?
Detalles de la recomendación
Recomendación Eficacia Resultado
Por favor, especifique otro(s)
Detalles de la conclusión/resultado:
Sección 4 - Contexto de la organización
Sección aplicable a la función objeto de la auditoría
Cláusulas aplicables
4.1 Entender la organización y su contexto
Requisitos:
La organización determinará las cuestiones externas e internas que sean pertinentes para su propósito y que afecten a su capacidad para lograr los resultados previstos de su sistema de gestión de la seguridad de la información.
NOTA La determinación de estos asuntos se refiere al establecimiento del contexto externo e interno de la organización considerado en la Cláusula 5.3 de la ISO 31000:2009[5].
¿Se han cumplido los requisitos anteriores para 4.1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
Requisitos:
La organización determinará:
a) las partes interesadas que sean pertinentes para el sistema de gestión de la seguridad de la información; y
b) los requisitos de esas partes interesadas en materia de seguridad de la información.
NOTA Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y
obligaciones contractuales.
¿Se han cumplido los requisitos anteriores para 4.2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
4.3 Determinación del ámbito de aplicación del SGSI
Requisitos:
La organización determinará los límites y la aplicabilidad de la seguridad de la información
sistema de gestión para establecer su alcance.
Al determinar este alcance, la organización considerará:
a) las cuestiones externas e internas a que se refiere el párrafo 4.1;
b) los requisitos mencionados en 4.2; y
c) las interfaces y dependencias entre las actividades realizadas por la organización y las que son
realizadas por otras organizaciones.
El alcance estará disponible como información documentada.
¿Se han cumplido los requisitos anteriores para 4,3
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
4.4 Sistema de gestión de la seguridad de la información
Requisitos:
La organización establecerá, aplicará, mantendrá y mejorará continuamente un sistema de gestión de la seguridad de la información, de conformidad con los requisitos de la presente Norma Internacional.
¿Se han cumplido los requisitos anteriores para 4,4
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
Número total de hallazgos en la Sección 4
Sección 5 - Liderazgo
Sección aplicable a la función objeto de la auditoría
Cláusulas aplicables
5.1 Liderazgo y compromiso
Requisitos:
La alta dirección debe demostrar liderazgo y compromiso con respecto a la información
sistema de gestión de la seguridad por:
a) Asegurando que la política de seguridad de la información y los objetivos de seguridad de la información se establezcan
y son compatibles con la dirección estratégica de la organización;
b) garantizar la integración de los requisitos del sistema de gestión de la seguridad de la información en la
los procesos de la organización;
c) garantizar la disponibilidad de los recursos necesarios para el sistema de gestión de la seguridad de la información;
d) comunicar la importancia de una gestión eficaz de la seguridad de la información y de ajustarse a
los requisitos del sistema de gestión de la seguridad de la información;
e) Asegurar que el sistema de gestión de la seguridad de la información logre los resultados previstos;
f) Dirigir y apoyar a las personas para que contribuyan a la eficacia de la seguridad de la información
sistema de gestión;
g) la promoción de la mejora continua; y
h) Apoyar otras funciones de gestión pertinentes para demostrar su liderazgo en lo que se refiere a su
áreas de responsabilidad.
¿Se han cumplido los requisitos anteriores para 5.1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
5.2 Política
Requisitos:
La alta dirección establecerá una política de seguridad de la información que:
a) sea apropiada para el propósito de la organización;
b) incluya objetivos de seguridad de la información (véase 6.2) o proporcione el marco para establecer la información
objetivos de seguridad;
c) incluye el compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información; y
d) incluye el compromiso de mejorar continuamente el sistema de gestión de la seguridad de la información.
La política de seguridad de la información
e) estar disponible como información documentada;
f) ser comunicada dentro de la organización; y
g) Estar a disposición de las partes interesadas, según proceda.
¿Se han cumplido los requisitos anteriores para 5.2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
5.3 Funciones, responsabilidades y autoridades de la organización
Requisitos:
La alta dirección se asegurará de que las responsabilidades y las autoridades de las funciones pertinentes a la información
seguridad se asignan y comunican.
La alta dirección asignará la responsabilidad y la autoridad para:
a) garantizar que el sistema de gestión de la seguridad de la información se ajuste a los requisitos de la presente
Estándar internacional; y
b) Informar al personal directivo superior sobre el funcionamiento del sistema de gestión de la seguridad de la información.
NOTA La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el desempeño del
sistema de gestión de la seguridad de la información dentro de la organización.
¿Se han cumplido los requisitos anteriores para 5,3
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
Número total de hallazgos en la Sección 5
Sección 6 - Planificación
Sección aplicable a la función objeto de la auditoría
Cláusulas aplicables
6.1.1 General: Medidas para hacer frente a los riesgos y oportunidades
Requisitos:
Al planificar el sistema de gestión de la seguridad de la información, la organización tendrá en cuenta la
las cuestiones mencionadas en 4.1 y los requisitos mencionados en 4.2 y determinar los riesgos y oportunidades
que deben ser dirigidas:
a) Garantizar que el sistema de gestión de la seguridad de la información pueda lograr los resultados previstos;
b) prevenir o reducir los efectos no deseados; y
c) lograr una mejora continua.
La organización deberá planificar:
d) acciones para abordar estos riesgos y oportunidades; y
e) cómo
1) integrar y aplicar las medidas en los procesos de su sistema de gestión de la seguridad de la información; y
2) evaluar la eficacia de estas acciones.
¿Se han cumplido los requisitos anteriores para 6.1.1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
6.1.2 Evaluación de los riesgos para la seguridad de la información
Requisitos:
La organización definirá y aplicará un proceso de evaluación de riesgos para la seguridad de la información que:
a) establezca y mantenga criterios de riesgo para la seguridad de la información que incluyan
1) los criterios de aceptación de riesgos; y
2) criterios para realizar evaluaciones de los riesgos para la seguridad de la información;
b) garantiza que las evaluaciones repetidas de los riesgos para la seguridad de la información produzcan evaluaciones coherentes, válidas y
resultados comparables;
c) identifica los riesgos para la seguridad de la información:
1) aplicar el proceso de evaluación de riesgos para la seguridad de la información para identificar los riesgos asociados a la pérdida
de confidencialidad, integridad y disponibilidad de la información dentro del ámbito de la información
sistema de gestión de la seguridad; y
2) identificar a los propietarios del riesgo;
d) analiza los riesgos de seguridad de la información:
1) evaluar las posibles consecuencias que se producirían si los riesgos identificados en 6.1.2 c) 1) fueran
para materializarse;
2) evaluar la probabilidad realista de que se produzcan los riesgos identificados en 6.1.2 c) 1); y
3) determinar los niveles de riesgo;
e) evalúa los riesgos de seguridad de la información:
1) comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos en 6.1.2 a); y
2) priorizar los riesgos analizados para el tratamiento de los riesgos.
La organización conservará información documentada sobre el proceso de evaluación de riesgos para la seguridad de la información.
¿Se han cumplido los requisitos anteriores para 6.1.2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
6.1.3 Tratamiento de los riesgos para la seguridad de la información
Requisitos:
La organización definirá y aplicará un proceso de tratamiento de riesgos para la seguridad de la información:
a) seleccionar opciones apropiadas de tratamiento de los riesgos para la seguridad de la información, teniendo en cuenta el riesgo
resultados de la evaluación;
b) determinar todos los controles necesarios para aplicar el tratamiento de los riesgos para la seguridad de la información
opción(es) elegida(s);
NOTA Las organizaciones pueden diseñar controles según se requiera, o identificarlos de cualquier fuente.
c) Comparar los controles determinados en 6.1.3 b) supra con los del anexo A y verificar que no es necesario
se han omitido los controles;
NOTA 1 El anexo A contiene una lista completa de los objetivos y controles de control. Los usuarios de este
Las normas se dirigen al Anexo A para asegurar que no se pase por alto ningún control necesario.
NOTA 2 Los objetivos de control se incluyen implícitamente en los controles elegidos. Los objetivos de control y
Los controles enumerados en el Anexo A no son exhaustivos y es posible que se necesiten objetivos de control y controles adicionales.
d) Elaborar una declaración de aplicabilidad que contenga los controles necesarios (véase 6.1.3 b) y c)) y
la justificación de las inclusiones, tanto si se aplican como si no, y la justificación de las exclusiones
de los controles del Anexo A;
e) formular un plan de tratamiento de los riesgos para la seguridad de la información; y
f) Obtener la aprobación de los propietarios de los riesgos del plan de tratamiento de los riesgos para la seguridad de la información y la aceptación de la
riesgos residuales para la seguridad de la información.
La organización conservará información documentada sobre el tratamiento de los riesgos para la seguridad de la información
proceso.
NOTA El proceso de evaluación y tratamiento de los riesgos para la seguridad de la información en esta Norma Internacional se ajusta
con los principios y directrices genéricas que se proporcionan en la ISO 31000[5].
¿Se han cumplido los requisitos anteriores para 6.1.3
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
6.2 Objetivos de la seguridad de la información y planificación para alcanzarlos
Requisitos:
La organización establecerá objetivos de seguridad de la información en las funciones y niveles pertinentes.
Los objetivos de seguridad de la información deberán:
a) Ser coherentes con la política de seguridad de la información;
b) ser mensurables (si es factible);
c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación de riesgos
y el tratamiento del riesgo;
d) ser comunicados; y
e) actualizarse según proceda.
La organización conservará información documentada sobre los objetivos de seguridad de la información.
Al planificar cómo lograr sus objetivos de seguridad de la información, la organización determinará:
f) lo que se hará;
g) los recursos que se necesitarán;
h) quién será responsable;
i) cuándo se completará; y
j) cómo se evaluarán los resultados.
¿Se han cumplido los requisitos anteriores para 6,2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
Número total de hallazgos en la Sección 6
Sección 7 - Apoyo
Sección aplicable a la función objeto de la auditoría
Cláusulas aplicables
7.1 Recursos
Requisitos:
La organización deberá determinar y proporcionar los recursos necesarios para el establecimiento, la aplicación,
mantenimiento y mejora continua del sistema de gestión de la seguridad de la información.
¿Se han cumplido los requisitos anteriores para 7.1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
7.2 Competencia
Requisitos:
La organización deberá:
a) determinar la competencia necesaria de la(s) persona(s) que realice(n) un trabajo bajo su control que afecte a su
el rendimiento de la seguridad de la información;
b) garantizar que esas personas sean competentes sobre la base de una educación, capacitación o experiencia adecuadas;
c) cuando proceda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia
de las medidas adoptadas; y
d) conservar la información documentada apropiada como prueba de su competencia.
NOTA Las medidas aplicables pueden incluir, por ejemplo: la capacitación, la tutoría o la reasignación de los empleados actuales; o la contratación o el nombramiento de personas competentes.
¿Se han cumplido los requisitos anteriores para 7,2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
7.3 Concienciación
Requisitos:
Las personas que realicen trabajos bajo el control de la organización deberán ser conscientes:
a) la política de seguridad de la información;
b) su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluida
c) los beneficios de un mejor desempeño en materia de seguridad de la información; y las consecuencias de no cumplir los requisitos del sistema de gestión de la seguridad de la información.
¿Se han cumplido los requisitos anteriores para 7,3
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
7.4 Comunicación
Requisitos:
La organización determinará la necesidad de comunicaciones internas y externas pertinentes para la
sistema de gestión de la seguridad de la información, incluido:
a) sobre qué comunicar;
b) cuándo comunicar;
c) con quién comunicarse;
d) quién debe comunicarse; y
e) los procesos mediante los cuales se efectuará la comunicación
¿Se han cumplido los requisitos anteriores para 7,4
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
7.5.1 Generalidades
Requisitos:
El sistema de gestión de la seguridad de la información de la organización incluirá:
a) la información documentada requerida por esta Norma Internacional; y
b) información documentada que la organización determine como necesaria para la eficacia de
el sistema de gestión de la seguridad de la información.
NOTA El alcance de la información documentada para un sistema de gestión de la seguridad de la información puede variar
de una organización a otra debido a:
1) el tamaño de la organización y su tipo de actividades, procesos, productos y servicios;
2) la complejidad de los procesos y sus interacciones; y
3) la competencia de las personas.
¿Se han cumplido los requisitos anteriores para 7.5.1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
7.5.2 Creación y actualización
Requisitos:
Al crear y actualizar la información documentada, la organización deberá asegurarse de que sea apropiada:
a) la identificación y descripción (por ejemplo, un título, una fecha, un autor o un número de referencia);
b) el formato (por ejemplo, el idioma, la versión de software, los gráficos) y los medios (por ejemplo, papel, electrónico); y
c) examen y aprobación de la idoneidad y la adecuación.
¿Se han cumplido los requisitos anteriores para 7.5.2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
7.5.3 Control de la información documentada
Requisitos:
Información documentada requerida por el sistema de gestión de la seguridad de la información y por este
La norma internacional se controlará para asegurar:
a) que esté disponible y sea apta para su uso, donde y cuando se necesite; y
b) está adecuadamente protegido (por ejemplo, de la pérdida de confidencialidad, el uso indebido o la pérdida de integridad).
Para el control de la información documentada, la organización se ocupará de las siguientes actividades
según corresponda:
c) distribución, acceso, recuperación y utilización;
d) almacenamiento y conservación, incluida la preservación de la legibilidad;
e) el control de los cambios (por ejemplo, el control de versiones); y
f) retención y disposición.
La información documentada de origen externo, que la organización determine que es necesaria para
la planificación y el funcionamiento del sistema de gestión de la seguridad de la información, se identificarán como
apropiado y controlado.
NOTA El acceso implica una decisión sobre el permiso para ver la información documentada solamente, o la
permiso y autoridad para ver y cambiar la información documentada, etc.
¿Se han cumplido los requisitos anteriores para 7.5.3
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
Número total de hallazgos en la Sección 7
Sección 8 - Operación
Sección aplicable a la función objeto de la auditoría
Cláusulas aplicables
8.1 Planificación y control de las operaciones
Requisitos:
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con la seguridad de la información
y para aplicar las medidas determinadas en 6.1. La organización también implementará
planes para alcanzar los objetivos de seguridad de la información determinados en 6.2.
La organización deberá mantener la información documentada en la medida necesaria para tener la confianza de que
los procesos se han llevado a cabo según lo previsto.
La organización controlará los cambios planificados y examinará las consecuencias de los cambios no intencionados,
tomar medidas para mitigar cualquier efecto adverso, según sea necesario.
La organización se asegurará de que se determinen y controlen los procesos subcontratados.
¿Se han cumplido los requisitos anteriores para 8.1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
8.2 Evaluación de los riesgos para la seguridad de la información
Requisito:
La organización realizará evaluaciones de los riesgos para la seguridad de la información a intervalos planificados o cuando
se proponen o se producen cambios significativos, teniendo en cuenta los criterios establecidos en 6.1.2 a).
La organización conservará información documentada de los resultados de la seguridad de la información
evaluaciones de riesgo.
¿Se han cumplido los requisitos anteriores para 8,2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
8.3 Tratamiento de los riesgos para la seguridad de la información
Requisitos:
La organización aplicará el plan de tratamiento de los riesgos para la seguridad de la información.
La organización debe retener información documentada de los resultados de la seguridad de la información
tratamiento del riesgo.
¿Se han cumplido los requisitos anteriores para 8,3
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
Número total de hallazgos en la Sección 8
Sección 9 - Evaluación del desempeño
Sección aplicable a la función objeto de la auditoría
Cláusulas aplicables
9.1 Vigilancia, medición, análisis y evaluación
Requisitos:
La organización evaluará el rendimiento de la seguridad de la información y la eficacia de la
sistema de gestión de la seguridad de la información.
La organización determinará:
a) lo que debe ser supervisado y medido, incluidos los procesos y controles de seguridad de la información;
b) los métodos de vigilancia, medición, análisis y evaluación, según proceda, para garantizar
resultados válidos;
NOTA Los métodos seleccionados deben producir resultados comparables y reproducibles para que se consideren válidos.
c) cuándo se realizará la vigilancia y la medición;
d) quién deberá vigilar y medir;
e) cuándo se analizarán y evaluarán los resultados de la vigilancia y la medición; y
f) Que analizará y evaluará estos resultados.
La organización conservará la información documentada apropiada como prueba de la vigilancia y
resultados de las mediciones.
¿Se han cumplido los requisitos anteriores para el 9,1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
9.2 Auditorías internas
Requisitos:
La organización llevará a cabo auditorías internas a intervalos planificados para proporcionar información sobre si
el sistema de gestión de la seguridad de la información:
a) se ajusta a
1) los propios requisitos de la organización para su sistema de gestión de la seguridad de la información; y
2) los requisitos de esta Norma Internacional;
b) se aplica y mantiene de manera efectiva.
La organización deberá:
c) planear, establecer, implementar y mantener un programa o programas de auditoría, incluyendo la frecuencia, los métodos,
responsabilidades, requisitos de planificación y presentación de informes. El programa o los programas de auditoría tomarán en cuenta
Considerar la importancia de los procesos en cuestión y los resultados de las auditorías anteriores;
d) definir los criterios y el alcance de cada auditoría;
e) seleccionar a los auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
f) garantizar que los resultados de las auditorías se comuniquen a la dirección correspondiente; y
g) conservar la información documentada como prueba del programa o programas de auditoría y de los resultados de la auditoría.
¿Se han cumplido los requisitos anteriores para el 9,2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
9.3 Exámenes de la gestión
Requisitos:
La alta dirección debe revisar el sistema de gestión de la seguridad de la información de la organización en el momento previsto
intervalos para asegurar su continua idoneidad, adecuación y eficacia.
El examen de la gestión incluirá la consideración de
a) el estado de las medidas de los exámenes de gestión anteriores;
b) los cambios en las cuestiones externas e internas que sean pertinentes para la gestión de la seguridad de la información
sistema;
c) información sobre el desempeño en materia de seguridad de la información, incluidas las tendencias en:
1) las no conformidades y las medidas correctivas;
2) resultados de la vigilancia y la medición;
3) resultados de la auditoría; y
4) el cumplimiento de los objetivos de seguridad de la información;
d) la retroalimentación de las partes interesadas;
e) los resultados de la evaluación de riesgos y el estado del plan de tratamiento de riesgos; y
f) oportunidades de mejora continua.
Los resultados del examen de la gestión incluirán decisiones relacionadas con el mejoramiento continuo
y las necesidades de cambios en el sistema de gestión de la seguridad de la información.
La organización conservará la información documentada como prueba de los resultados de los exámenes de la gestión.
¿Se han cumplido los requisitos anteriores para el 9,3
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
Número total de hallazgos en la Sección 9
Sección 10 - Mejora
Sección aplicable a la función objeto de la auditoría
Cláusulas aplicables
10.1 Incumplimiento y medidas correctivas
Requisitos:
Cuando se produzca una no conformidad, la organización deberá:
a) reaccionar ante la no conformidad, y según proceda:
1) tomar medidas para controlarla y corregirla; y
2) tratar con las consecuencias;
b) evaluar la necesidad de actuar para eliminar las causas de la falta de conformidad, a fin de que no se repita
o que ocurran en otro lugar, por:
1) la revisión de la no conformidad;
2) la determinación de las causas de la no conformidad; y
3) Determinar si existen o podrían existir no conformidades similares;
c) aplicar cualquier medida necesaria;
d) examinar la eficacia de toda medida correctiva adoptada; y
e) realizar cambios en el sistema de gestión de la seguridad de la información, si es necesario.
Las medidas correctivas serán adecuadas a los efectos de las no conformidades encontradas.
La organización conservará la información documentada como prueba de ello:
f) la naturaleza de las no conformidades y cualquier acción subsiguiente tomada, y
g) los resultados de cualquier acción correctiva.
¿Se han cumplido los requisitos anteriores para 10.1
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
10.2 Mejora continua
Requisito:
La organización deberá mejorar continuamente la idoneidad, la adecuación y la eficacia del sistema de gestión de la seguridad de la información.
¿Se han cumplido los requisitos anteriores para 10,2
Notas del auditor
Nivel de cumplimiento
Tipo de hallazgo
Número total de hallazgos en la Sección 10
Anexo A (Objetivos y controles de control de referencia)
Sección aplicable a la función objeto de la auditoría
Controles aplicables
A.5.1.1 Políticas para la seguridad de la información
Se definirá un conjunto de políticas para la seguridad de la información, que serán aprobadas por la dirección, publicadas y comunicadas a los empleados y a las partes externas pertinentes.
Notas del auditor
A.5.1.2 Examen de las políticas de seguridad de la información
Las políticas de seguridad de la información se revisarán a intervalos planificados o si se producen cambios significativos para garantizar su continua idoneidad, adecuación y eficacia.
Notas del auditor
A.6.1.1 Funciones y responsabilidades de la seguridad de la información
Se definirán y asignarán todas las responsabilidades en materia de seguridad de la información.
Notas del auditor
A.6.1.2 Separación de funciones
Se separarán los deberes y las áreas de responsabilidad conflictivas para reducir las oportunidades de modificación no autorizada o no intencional o de uso indebido de los activos de la organización.
Notas del auditor
A.6.1.3 Contacto con las autoridades
Se mantendrán los contactos apropiados con las autoridades competentes.
Notas del auditor
A.6.1.4 Contacto con grupos de interés especial
Se mantendrán los contactos apropiados con grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales.
Notas del auditor
A.6.1.5 Seguridad de la información en la gestión de proyectos
La seguridad de la información se abordará en la gestión de proyectos, independientemente del tipo de proyecto.
Notas del auditor
A.6.2.1 Política de dispositivos móviles
Se adoptará una política y medidas de seguridad de apoyo para gestionar los riesgos introducidos por el uso de dispositivos móviles.
Notas del auditor
A.6.2.2 Teletrabajo
Se aplicará una política y medidas de seguridad de apoyo para proteger la información a la que se acceda, se procese o se almacene en los sitios de teletrabajo.
Notas del auditor
A.7.1.1 Examen
"La verificación de los antecedentes de todos los candidatos a un empleo se llevará a cabo de conformidad con las leyes, los reglamentos y las normas éticas pertinentes y será proporcional a los requisitos comerciales, la clasificación de la información a la que se ha de acceder y los riesgos percibidos".
Notas del auditor
A.7.1.2 Condiciones de empleo
En los acuerdos contractuales con los empleados y contratistas se establecerán sus responsabilidades y las de la organización en materia de seguridad de la información.
Notas del auditor
A.7.2.1 Responsabilidades de gestión
La dirección exigirá a todos los empleados y contratistas que apliquen la seguridad de la información de conformidad con las políticas y procedimientos establecidos de la organización.
Notas del auditor
A.7.2.2 "Concienciación, educación y capacitación en materia de seguridad de la información"
Notas del auditor
A.7.2.3 Proceso disciplinario
"Habrá un proceso disciplinario formal y comunicado para tomar medidas contra los empleados que hayan cometido una violación de la seguridad de la información".
Notas del auditor
A.7.3.1 Cese o cambio de responsabilidades laborales
Se definirán las responsabilidades y obligaciones en materia de seguridad de la información que sigan siendo válidas después de la terminación o el cambio de empleo, se comunicarán al empleado o al contratista y se harán cumplir.
Notas del auditor
A.8.1.1 Inventario de bienes
Se identificarán los activos asociados con las instalaciones de información y procesamiento de información y se elaborará y mantendrá un inventario de esos activos.
Notas del auditor
A.8.1.2 Propiedad de los bienes
Los bienes que se mantengan en el inventario serán propiedad.
Notas del auditor
A.8.1.3 "Uso aceptable de los bienes"
Se identificarán, documentarán y aplicarán normas para el uso aceptable de la información y de los bienes relacionados con las instalaciones de procesamiento de información.
Notas del auditor
A.8.1.4 Restitución de activos
Todos los empleados y usuarios externos devolverán todos los bienes de la organización que estén en su posesión al terminar su empleo, contrato o acuerdo.
Notas del auditor
A.8.2.1 Clasificación de la información
"La información se clasificará en función de los requisitos legales, el valor, la importancia crítica y la sensibilidad a la divulgación o modificación no autorizada".
Notas del auditor
A.8.2.2 Etiquetado de la información
Se elaborará y aplicará un conjunto adecuado de procedimientos para el etiquetado de la información de conformidad con el sistema de clasificación de la información adoptado por la organización.
Notas del auditor
A.8.2.3 Manipulación de activos
Los procedimientos para el manejo de los activos se desarrollarán y aplicarán de acuerdo con el esquema de clasificación de la información adoptado por la organización.
Notas del auditor
A.8.3.1 "Gestión de los medios extraíbles"
Se aplicarán procedimientos para la gestión de los medios extraíbles de conformidad con el sistema de clasificación adoptado por la organización.
Notas del auditor
A.8.3.2 Eliminación de los medios
Los medios de comunicación se eliminarán de forma segura cuando ya no se necesiten, utilizando procedimientos formales.
Notas del auditor
A.8.3.3 Transferencia de medios físicos
Los medios de comunicación que contengan información estarán protegidos contra el acceso no autorizado, el uso indebido o la corrupción durante el transporte.
Notas del auditor
A.9.1.1 Política de control de acceso
Se establecerá, documentará y revisará una política de control de acceso en función de los requisitos de seguridad de la empresa y de la información.
Notas del auditor
A.9.1.2 "Acceso a las redes y servicios de red"
Los usuarios sólo tendrán acceso a la red y a los servicios de la red que hayan sido específicamente autorizados a utilizar.
Notas del auditor
A.9.2.1 "Inscripción y baja del usuario"
Se pondrá en marcha un proceso formal de registro y baja de usuarios para permitir la asignación de derechos de acceso.
Notas del auditor
A.9.2.2 Provisión de acceso a los usuarios
Se pondrá en marcha un proceso formal de provisión de acceso para usuarios con el fin de asignar o revocar los derechos de acceso de todos los tipos de usuarios a todos los sistemas y servicios.
Notas del auditor
A.9.2.3 "Gestión de los derechos de acceso privilegiado"
La asignación y el uso de los derechos de acceso privilegiado serán restringidos y controlados.
Notas del auditor
A.9.2.4 "Gestión de la información secreta de autenticación de los usuarios"
La asignación de información secreta de autenticación se controlará mediante un proceso de gestión formal".
Notas del auditor
A.9.2.5 Examen de los derechos de acceso de los usuarios
Los propietarios de los activos revisarán los derechos de acceso de los usuarios a intervalos regulares.
Notas del auditor
A.9.2.6 "Retirada o ajuste de los derechos de acceso"
Los derechos de acceso de todos los empleados y usuarios de partes externas a la información y a las instalaciones de procesamiento de la información se suprimirán al término de su empleo, contrato o acuerdo, o se ajustarán cuando se produzca un cambio.
Notas del auditor
A.9.3.1 "Utilización de información secreta de autenticación"
"Se exigirá a los usuarios que sigan las prácticas de la organización en el uso de la información secreta de autenticación".
Notas del auditor
A.9.4.1 "Restricción del acceso a la información"
El acceso a la información y a las funciones del sistema de aplicación se restringirá de conformidad con la política de control del acceso.
Notas del auditor
A.9.4.2 Procedimientos de conexión segura
Cuando así lo exija la política de control de acceso, el acceso a los sistemas y aplicaciones se controlará mediante un procedimiento de inicio de sesión seguro.
Notas del auditor
A.9.4.3 "Sistema de gestión de contraseñas"
Los sistemas de gestión de contraseñas serán interactivos y garantizarán la calidad de las mismas.
Notas del auditor
A.9.4.4 "Uso de programas de utilidad privilegiada"
El uso de programas de utilidad que puedan ser capaces de anular los controles del sistema y de la aplicación será restringido y estrictamente controlado.
Notas del auditor
A.9.4.5 "Control de acceso al código fuente del programa"
El acceso al código fuente del programa será restringido.
Notas del auditor
A.10.1.1 "Política sobre el uso de controles criptográficos"
Se elaborará y aplicará una política sobre el uso de controles criptográficos para la protección de la información.
Notas del auditor
A.10.1.2 Gestión de claves
Se elaborará y aplicará una política sobre el uso, la protección y la vida útil de las claves criptográficas a lo largo de todo su ciclo de vida.
Notas del auditor
A.11.1.1 Perímetro de seguridad física
Se definirán y utilizarán perímetros de seguridad para proteger las zonas que contengan información sensible o crítica e instalaciones de procesamiento de información.
Notas del auditor
A.11.1.2 Controles de entrada física
Las zonas seguras se protegerán mediante controles de entrada adecuados para garantizar que sólo se permita el acceso al personal autorizado".
Notas del auditor
A.11.1.3 "Asegurar oficinas, salas e instalaciones"
"Se diseñará y aplicará la seguridad física de las oficinas, salas e instalaciones".
Notas del auditor
A.11.1.4 "Protección contra las amenazas externas y ambientales"
"Se diseñará y aplicará la protección física contra los desastres naturales, los ataques malintencionados o los accidentes".
Notas del auditor
A.11.1.5 "Trabajo en zonas seguras"
"Se diseñarán y aplicarán procedimientos para trabajar en zonas seguras".
Notas del auditor
A.11.1.6 "Zonas de entrega y carga"
"Se controlarán los puntos de acceso, como las zonas de entrega y carga y otros puntos en los que puedan entrar personas no autorizadas en los locales y, de ser posible, se aislarán de las instalaciones de procesamiento de información para evitar el acceso no autorizado".
Notas del auditor
A.11.2.1 "Ubicación y protección del equipo"
El equipo se ubicará y protegerá para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades de acceso no autorizado.
Notas del auditor
A.11.2.2 Utilidades de apoyo
"El equipo estará protegido de los fallos de energía y otras interrupciones causadas por fallos en los servicios de apoyo".
Notas del auditor
A.11.2.3 Seguridad del cableado
"Los cables de energía y telecomunicaciones que transporten datos o servicios de información de apoyo estarán protegidos contra la intercepción, la interferencia o los daños".
Notas del auditor
A.11.2.4 Mantenimiento del equipo
El equipo se mantendrá correctamente para asegurar su continua disponibilidad e integridad.
Notas del auditor
A.11.2.5. Retiro de activos
"El equipo, la información o los programas informáticos no se sacarán de las instalaciones sin autorización previa".
Notas del auditor
A.11.2.6 "Seguridad del equipo y los bienes fuera de los locales"
La seguridad se aplicará a los activos fuera de los locales teniendo en cuenta los diferentes riesgos de trabajar fuera de los locales de la organización.
Notas del auditor
A.11.2.7 "Eliminación o reutilización segura del equipo"
Todos los elementos de equipo que contengan medios de almacenamiento serán verificados para asegurar que cualquier dato sensible y software con licencia haya sido eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.
Notas del auditor
A.11.2.8 "Equipo de usuario desatendido"
Los usuarios se asegurarán de que el equipo desatendido tenga la protección adecuada.
Notas del auditor
A.11.2.9 "Escritorio despejado y política de pantalla despejada"
Se adoptará una política de escritorio clara para los papeles y los medios de almacenamiento extraíbles y una política de pantalla clara para las instalaciones de procesamiento de información.
Notas del auditor
A.12.1.1 "Procedimientos operativos documentados"
Los procedimientos operativos se documentarán y se pondrán a disposición de todos los usuarios que los necesiten.
Notas del auditor
A.12.1.2 Gestión del cambio
Se controlarán los cambios en la organización, los procesos comerciales, las instalaciones de procesamiento de información y los sistemas que afecten a la seguridad de la información.
Notas del auditor
A.12.1.3 Gestión de la capacidad
Se supervisará la utilización de los recursos, se ajustará y se harán proyecciones de las futuras necesidades de capacidad para garantizar el rendimiento requerido del sistema.
Notas del auditor
A.12.1.4 "Separación de los entornos de desarrollo, ensayo y explotación"
Se separarán los entornos de desarrollo, ensayo y operaciones para reducir los riesgos de acceso no autorizado o de cambios en el entorno de las operaciones.
Notas del auditor
A.12.2.1 Controles contra el malware
Se aplicarán controles de detección, prevención y recuperación para protegerse contra el malware, combinados con una adecuada sensibilización de los usuarios.
Notas del auditor
A.12.3.1 Respaldo de información
"Se tomarán y probarán regularmente copias de seguridad de la información, el software y las imágenes del sistema de acuerdo con una copia de seguridad acordada
política".
Notas del auditor
A.12.4.1 Registro de eventos
Se elaborarán, mantendrán y revisarán periódicamente registros de eventos que registren las actividades de los usuarios, las excepciones, las fallas y los eventos de seguridad de la información.
Notas del auditor
A.12.4.2 Protección de la información de registro
Las instalaciones de registro y la información de registro estarán protegidas contra la manipulación y el acceso no autorizado.
Notas del auditor
A.12.4.3 "Registros del administrador y del operador"
Se registrarán las actividades del administrador y del operador del sistema y se protegerán y revisarán periódicamente los registros.
Notas del auditor
A.12.4.4 Sincronización del reloj
Los relojes de todos los sistemas de procesamiento de información pertinentes de una organización o dominio de seguridad se sincronizarán con una única fuente de tiempo de referencia.
Notas del auditor
A.12.5.1 "Instalación de programas informáticos en sistemas operativos"
Se aplicarán procedimientos para controlar la instalación de programas informáticos en los sistemas operativos.
Notas del auditor
A.12.6.1 "Gestión de las vulnerabilidades técnicas"
Se obtendrá oportunamente información sobre las vulnerabilidades técnicas de los sistemas de información que se estén utilizando, se evaluará la exposición de la organización a esas vulnerabilidades y se adoptarán medidas apropiadas para hacer frente al riesgo asociado.
Notas del auditor
A.12.6.2 "Restricciones en la instalación de software"
Se establecerán y aplicarán normas que regulen la instalación de programas informáticos por parte de los usuarios.
Notas del auditor
A.12.7.1 "Controles de auditoría de los sistemas de información"
"Los requisitos de auditoría y las actividades que impliquen la verificación de los sistemas operativos se planificarán y acordarán cuidadosamente para reducir al mínimo las interrupciones de los procesos comerciales".
Notas del auditor
A.13.1.1 Controles de la red
"Las redes serán gestionadas y controladas para proteger la información en los sistemas y aplicaciones".
Notas del auditor
A.13.1.2 "Seguridad de los servicios de red"
Los mecanismos de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red se identificarán e incluirán en los acuerdos de servicios de red, tanto si esos servicios se prestan en la propia empresa como si se subcontratan.
Notas del auditor
A.13.1.3 Segregación en las redes
"Los grupos de servicios de información, los usuarios y los sistemas de información estarán separados en redes".
Notas del auditor
A.13.2.1 "Políticas y procedimientos de transferencia de información"
Se establecerán políticas, procedimientos y controles oficiales de transferencia para proteger la transferencia de información mediante el uso de todo tipo de medios de comunicación.
Notas del auditor
A.13.2.2 "Acuerdos de transferencia de información"
Los acuerdos se referirán a la transferencia segura de información comercial entre la organización y las partes externas.
Notas del auditor
A.13.2.3 Mensajes electrónicos
"La información involucrada en la mensajería electrónica será protegida apropiadamente".
Notas del auditor
A.13.2.4 "Acuerdos de confidencialidad o de no divulgación"
Los requisitos de los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización en materia de protección de la información se identificarán, examinarán periódicamente y se documentarán.
Notas del auditor
A.14.1.1 "Análisis y especificación de los requisitos de seguridad de la información"
Los requisitos relacionados con la seguridad de la información se incluirán en los requisitos de los nuevos sistemas de información o en las mejoras de los sistemas de información existentes.
Notas del auditor
A.14.1.2 "Asegurar los servicios de aplicación en redes públicas"
La información relacionada con los servicios de aplicación que pasa por las redes públicas estará protegida contra las actividades fraudulentas, las disputas contractuales y la divulgación y modificación no autorizadas.
Notas del auditor
A.14.1.3 "Protección de las transacciones de servicios de aplicación"
"La información relacionada con las transacciones de servicios de aplicación se protegerá para evitar la transmisión incompleta, el enrutamiento erróneo, la alteración no autorizada de mensajes, la divulgación no autorizada, la duplicación o la repetición no autorizada de mensajes".
Notas del auditor
A.14.2.1 "Política de desarrollo seguro"
Se establecerán normas para el desarrollo de programas y sistemas informáticos, que se aplicarán a los desarrollos dentro de la organización.
Notas del auditor
A.14.2.2 "Procedimientos de control de cambios en el sistema"
Los cambios en los sistemas dentro del ciclo de vida del desarrollo se controlarán mediante el uso de procedimientos formales de control de cambios.
Notas del auditor
A.14.2.3 Examen técnico de las aplicaciones después de los cambios de plataforma de funcionamiento
Cuando se cambien las plataformas de operación, se revisarán y probarán las aplicaciones críticas de negocio para asegurar que no haya un impacto adverso en las operaciones o la seguridad de la organización.
Notas del auditor
A.14.2.4 Restricciones a los cambios en los paquetes de programas informáticos
Se desaconsejarán las modificaciones de los paquetes de programas informáticos, que se limitarán a los cambios necesarios y se controlarán estrictamente todos los cambios.
Notas del auditor
A.14.2.5 "Principios de ingeniería de sistemas seguros"
Se establecerán, documentarán, mantendrán y aplicarán los principios para la ingeniería de sistemas seguros a cualquier esfuerzo de implementación de sistemas de información.
Notas del auditor
A.14.2.6 "Entorno de desarrollo seguro"
Las organizaciones establecerán y protegerán debidamente entornos de desarrollo seguros para las actividades de desarrollo e integración de sistemas que abarquen todo el ciclo de vida del desarrollo de los sistemas.
Notas del auditor
A.14.2.7 Desarrollo subcontratado
La organización supervisará y vigilará la actividad de desarrollo de sistemas subcontratados.
Notas del auditor
A.14.2.8 Prueba de seguridad del sistema
Las pruebas de la funcionalidad de seguridad se llevarán a cabo durante el desarrollo.
Notas del auditor
A.14.2.9 "Prueba de aceptación del sistema"
Se establecerán programas de pruebas de aceptación y criterios relacionados para nuevos sistemas de información, actualizaciones y nuevas versiones.
Notas del auditor
A.14.3.1 Protección de los datos de ensayo
Los datos de las pruebas se seleccionarán cuidadosamente, se protegerán y se controlarán.
Notas del auditor
A.15.1.1 "Política de seguridad de la información para las relaciones con los proveedores"
Los requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso del proveedor a los activos de la organización se acordarán con el proveedor y se documentarán.
Notas del auditor
A.15.1.2 "Abordar la seguridad en los acuerdos con los proveedores"
Todos los requisitos de seguridad de la información pertinentes se establecerán y acordarán con cada proveedor que pueda acceder a la información de la organización, procesarla, almacenarla, comunicarla o proporcionarle componentes de infraestructura de TI.
Notas del auditor
A.15.1.3 "Cadena de suministro de la tecnología de la información y las comunicaciones"
Los acuerdos con los proveedores incluirán requisitos para hacer frente a los riesgos para la seguridad de la información relacionados con los servicios de tecnología de la información y las comunicaciones y la cadena de suministro de productos.
Notas del auditor
A.15.2.1 "Vigilancia y examen de los servicios de los proveedores"
Las organizaciones supervisarán, examinarán y auditarán periódicamente la prestación de servicios de los proveedores.
Notas del auditor
A.15.2.2 "Gestión de los cambios en los servicios de los proveedores"
Se gestionarán los cambios en la prestación de servicios de los proveedores, incluido el mantenimiento y la mejora de las políticas, procedimientos y controles de seguridad de la información existentes, teniendo en cuenta el carácter crítico de la información comercial, los sistemas y procesos implicados y la reevaluación de los riesgos.
Notas del auditor
A.16.1.1 "Responsabilidades y procedimientos"
Se establecerán responsabilidades y procedimientos de gestión para garantizar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.
Notas del auditor
A.16.1.2 "Notificación de los sucesos relacionados con la seguridad de la información"
Los sucesos relacionados con la seguridad de la información se notificarán por los canales de gestión adecuados lo antes posible.
Notas del auditor
A.16.1.3 "Comunicación de las deficiencias en la seguridad de la información"
"Los empleados y contratistas que utilicen los sistemas y servicios de información de la organización deberán tomar nota y comunicar cualquier deficiencia observada o presunta en la seguridad de la información de los sistemas o servicios".
Notas del auditor
A.16.1.4 "Evaluación de los sucesos relacionados con la seguridad de la información y adopción de decisiones al respecto"
Se evaluarán los incidentes de seguridad de la información y se decidirá si deben clasificarse como incidentes de seguridad de la información.
Notas del auditor
A.16.1.5 "Respuesta a los incidentes de seguridad de la información"
Se responderá a los incidentes de seguridad de la información de acuerdo con los procedimientos documentados.
Notas del auditor
A.16.1.6 Aprendiendo de los incidentes de seguridad de la información
Los conocimientos obtenidos del análisis y la resolución de los incidentes de seguridad de la información se utilizarán para reducir la probabilidad o el impacto de futuros incidentes.
Notas del auditor
A.16.1.7 Recopilación de pruebas
La organización definirá y aplicará procedimientos para la identificación, recopilación, adquisición y conservación de información que pueda servir como prueba.
Notas del auditor
A.17.1.1 Planificación de la continuidad de la seguridad de la información
La organización determinará sus necesidades en materia de seguridad de la información y la continuidad de la gestión de la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o un desastre.
Notas del auditor
A.17.1.2 "Aplicación de la continuidad de la seguridad de la información"
La organización establecerá, documentará, aplicará y mantendrá procesos, procedimientos y controles para garantizar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa.
Notas del auditor
A.17.1.3 "Verificar, revisar y evaluar la continuidad de la seguridad de la información"
La organización verificará periódicamente los controles de continuidad de la seguridad de la información establecidos y aplicados para garantizar su validez y eficacia en situaciones adversas.
Notas del auditor
A.17.2.1 "Disponibilidad de instalaciones de tratamiento de la información"
Las instalaciones de tratamiento de la información se aplicarán con una redundancia suficiente para cumplir los requisitos de disponibilidad.
Notas del auditor
A.18.1.1 "Identificación de la legislación y los requisitos contractuales aplicables"
"Todos los requisitos legislativos, reglamentarios y contractuales pertinentes, así como el enfoque de la organización para cumplir esos requisitos, se identificarán, documentarán y actualizarán explícitamente para cada sistema de información y la organización".
Notas del auditor
A.18.1.2. "Derechos de propiedad intelectual".
"Se aplicarán procedimientos adecuados para garantizar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software de propiedad".
Notas del auditor
A.18.1.3 Protección de los registros
Los registros se protegerán contra la pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada, de conformidad con los requisitos legislativos, reglamentarios, contractuales y comerciales.
Notas del auditor
A.18.1.4 Privacidad y protección de la información de identificación personal
Se garantizará la privacidad y la protección de la información de identificación personal según lo dispuesto en la legislación y los reglamentos pertinentes, cuando proceda.
Notas del auditor
A.18.1.5 "Reglamentación de los controles criptográficos".
Los controles criptográficos se utilizarán en cumplimiento de todos los acuerdos, leyes y reglamentos pertinentes.
Notas del auditor
A.18.2.1 "Examen independiente de la seguridad de la información"
"El enfoque de la organización para la gestión de la seguridad de la información y su aplicación (es decir, los objetivos de control, los controles, las políticas, los procesos y los procedimientos para la seguridad de la información) se examinarán independientemente a intervalos planificados o cuando se produzcan cambios significativos
...se producen."
Notas del auditor
A18.2.2 Cumplimiento de las políticas y normas de seguridad
Los administradores examinarán periódicamente la conformidad del procesamiento y los procedimientos de información dentro de su esfera de responsabilidad con las políticas y normas de seguridad y otros requisitos de seguridad apropiados
Notas del auditor
A18.2.3 Examen del cumplimiento técnico
Los sistemas de información se revisarán periódicamente para comprobar el cumplimiento de las políticas y normas de seguridad de la información de la organización.
Notas del auditor
Hallazgos planteados
El incumplimiento de la RED
No cumplimiento de AMBER
Observación RED
Observación AMBER
Observación VERDE
Recomendación VERDE
Número total de conclusiones en el Anexo A Objetivos y controles de control
Reunión de clausura
Notas de la reunión de clausura
Positivos
Resumen general de la auditoría
Hallazgos planteados
El incumplimiento de la RED
No cumplimiento de AMBER
Observación RED
Observación AMBER
Observación VERDE
Retroalimentación VERDE
Auditoría Signoff
Apagar el equipo de auditoría
El auditor principal
Auditor de apoyo
Auditor en formación
Propietario funcional
Equipo de Auditee
Añadir la firma
