close
lumiform
LumiformAuditorías e inspecciones móviles
DescargarDescargar

Informe de Auditoría Interna ISO 27001:2013

Calificado con 5/5 estrellas en Capterra

Dile adiós a las inspecciones a papel!

Lumiform te permite realizar inspecciones digitales a través de una app más fácil que nunca
  • Disminuye el tiempo de inspección un 50%
  • Descubre más problemas y resuélvelos 4 veces más rápido
  • Seleccione entre más de 5.000 plantillas probadas por expertos

Digitaliza tu lista de control en papel ahora

Regístrate de forma

  • Disminuye el tiempo de inspección un 50%
  • Descubre más problemas y resuélvelos 4 veces más rápido
  • Seleccionar entre más de 4.000 plantillas creadas por expertos.
Calificado con 5/5 estrellas en Capterra
AppStorePlay Store

Informe de Auditoría Interna ISO 27001:2013

(nombre de la página no especificado)

Reunión de apertura

Notas de la reunión de apertura

Examen de la eficacia de las conclusiones de auditorías anteriores

Revisión de hallazgos previos

Hallazgos anteriores

Detalles de la revisión

Revisar el resultado

Recomendación Examen de la eficacia

¿Recomendación planteada en la auditoría anterior?

Detalles de la recomendación

Recomendación Eficacia Resultado

Por favor, especifique otro(s)

Detalles de la conclusión/resultado:

Sección 4 - Contexto de la organización

Sección aplicable a la función objeto de la auditoría

Cláusulas aplicables

4.1 Entender la organización y su contexto

Requisitos:La organización determinará las cuestiones externas e internas que sean pertinentes para su propósito y que afecten a su capacidad para lograr los resultados previstos de su sistema de gestión de la seguridad de la información.NOTA La determinación de estos asuntos se refiere al establecimiento del contexto externo e interno de la organización considerado en la Cláusula 5.3 de la ISO 31000:2009[5].

¿Se han cumplido los requisitos anteriores para 4.1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

4.2 Comprensión de las necesidades y expectativas de las partes interesadas

Requisitos:La organización determinará:a) las partes interesadas que sean pertinentes para el sistema de gestión de la seguridad de la información; yb) los requisitos de esas partes interesadas en materia de seguridad de la información.NOTA Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios yobligaciones contractuales.

¿Se han cumplido los requisitos anteriores para 4.2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

4.3 Determinación del ámbito de aplicación del SGSI

Requisitos:La organización determinará los límites y la aplicabilidad de la seguridad de la informaciónsistema de gestión para establecer su alcance.Al determinar este alcance, la organización considerará:a) las cuestiones externas e internas a que se refiere el párrafo 4.1;b) los requisitos mencionados en 4.2; yc) las interfaces y dependencias entre las actividades realizadas por la organización y las que sonrealizadas por otras organizaciones.El alcance estará disponible como información documentada.

¿Se han cumplido los requisitos anteriores para 4,3

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

4.4 Sistema de gestión de la seguridad de la información

Requisitos:La organización establecerá, aplicará, mantendrá y mejorará continuamente un sistema de gestión de la seguridad de la información, de conformidad con los requisitos de la presente Norma Internacional.

¿Se han cumplido los requisitos anteriores para 4,4

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

Número total de hallazgos en la Sección 4

Sección 5 - Liderazgo

Sección aplicable a la función objeto de la auditoría

Cláusulas aplicables

5.1 Liderazgo y compromiso

Requisitos:La alta dirección debe demostrar liderazgo y compromiso con respecto a la informaciónsistema de gestión de la seguridad por:a) Asegurando que la política de seguridad de la información y los objetivos de seguridad de la información se establezcany son compatibles con la dirección estratégica de la organización;b) garantizar la integración de los requisitos del sistema de gestión de la seguridad de la información en lalos procesos de la organización;c) garantizar la disponibilidad de los recursos necesarios para el sistema de gestión de la seguridad de la información;d) comunicar la importancia de una gestión eficaz de la seguridad de la información y de ajustarse alos requisitos del sistema de gestión de la seguridad de la información;e) Asegurar que el sistema de gestión de la seguridad de la información logre los resultados previstos;f) Dirigir y apoyar a las personas para que contribuyan a la eficacia de la seguridad de la informaciónsistema de gestión;g) la promoción de la mejora continua; yh) Apoyar otras funciones de gestión pertinentes para demostrar su liderazgo en lo que se refiere a suáreas de responsabilidad.

¿Se han cumplido los requisitos anteriores para 5.1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

5.2 Política

Requisitos:La alta dirección establecerá una política de seguridad de la información que:a) sea apropiada para el propósito de la organización;b) incluya objetivos de seguridad de la información (véase 6.2) o proporcione el marco para establecer la informaciónobjetivos de seguridad;c) incluye el compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información; yd) incluye el compromiso de mejorar continuamente el sistema de gestión de la seguridad de la información.La política de seguridad de la informacióne) estar disponible como información documentada;f) ser comunicada dentro de la organización; yg) Estar a disposición de las partes interesadas, según proceda.

¿Se han cumplido los requisitos anteriores para 5.2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

5.3 Funciones, responsabilidades y autoridades de la organización

Requisitos:La alta dirección se asegurará de que las responsabilidades y las autoridades de las funciones pertinentes a la informaciónseguridad se asignan y comunican.La alta dirección asignará la responsabilidad y la autoridad para:a) garantizar que el sistema de gestión de la seguridad de la información se ajuste a los requisitos de la presenteEstándar internacional; yb) Informar al personal directivo superior sobre el funcionamiento del sistema de gestión de la seguridad de la información.NOTA La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el desempeño delsistema de gestión de la seguridad de la información dentro de la organización.

¿Se han cumplido los requisitos anteriores para 5,3

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

Número total de hallazgos en la Sección 5

Sección 6 - Planificación

Sección aplicable a la función objeto de la auditoría

Cláusulas aplicables

6.1.1 General: Medidas para hacer frente a los riesgos y oportunidades

Requisitos:Al planificar el sistema de gestión de la seguridad de la información, la organización tendrá en cuenta lalas cuestiones mencionadas en 4.1 y los requisitos mencionados en 4.2 y determinar los riesgos y oportunidadesque deben ser dirigidas:a) Garantizar que el sistema de gestión de la seguridad de la información pueda lograr los resultados previstos;b) prevenir o reducir los efectos no deseados; yc) lograr una mejora continua.La organización deberá planificar:d) acciones para abordar estos riesgos y oportunidades; ye) cómo1) integrar y aplicar las medidas en los procesos de su sistema de gestión de la seguridad de la información; y2) evaluar la eficacia de estas acciones.

¿Se han cumplido los requisitos anteriores para 6.1.1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

6.1.2 Evaluación de los riesgos para la seguridad de la información

Requisitos:La organización definirá y aplicará un proceso de evaluación de riesgos para la seguridad de la información que:a) establezca y mantenga criterios de riesgo para la seguridad de la información que incluyan1) los criterios de aceptación de riesgos; y2) criterios para realizar evaluaciones de los riesgos para la seguridad de la información;b) garantiza que las evaluaciones repetidas de los riesgos para la seguridad de la información produzcan evaluaciones coherentes, válidas yresultados comparables;c) identifica los riesgos para la seguridad de la información:1) aplicar el proceso de evaluación de riesgos para la seguridad de la información para identificar los riesgos asociados a la pérdidade confidencialidad, integridad y disponibilidad de la información dentro del ámbito de la informaciónsistema de gestión de la seguridad; y2) identificar a los propietarios del riesgo;d) analiza los riesgos de seguridad de la información:1) evaluar las posibles consecuencias que se producirían si los riesgos identificados en 6.1.2 c) 1) fueranpara materializarse;2) evaluar la probabilidad realista de que se produzcan los riesgos identificados en 6.1.2 c) 1); y3) determinar los niveles de riesgo;e) evalúa los riesgos de seguridad de la información:1) comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos en 6.1.2 a); y2) priorizar los riesgos analizados para el tratamiento de los riesgos.La organización conservará información documentada sobre el proceso de evaluación de riesgos para la seguridad de la información.

¿Se han cumplido los requisitos anteriores para 6.1.2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

6.1.3 Tratamiento de los riesgos para la seguridad de la información

Requisitos:La organización definirá y aplicará un proceso de tratamiento de riesgos para la seguridad de la información:a) seleccionar opciones apropiadas de tratamiento de los riesgos para la seguridad de la información, teniendo en cuenta el riesgoresultados de la evaluación;b) determinar todos los controles necesarios para aplicar el tratamiento de los riesgos para la seguridad de la informaciónopción(es) elegida(s);NOTA Las organizaciones pueden diseñar controles según se requiera, o identificarlos de cualquier fuente.c) Comparar los controles determinados en 6.1.3 b) supra con los del anexo A y verificar que no es necesariose han omitido los controles;NOTA 1 El anexo A contiene una lista completa de los objetivos y controles de control. Los usuarios de esteLas normas se dirigen al Anexo A para asegurar que no se pase por alto ningún control necesario.NOTA 2 Los objetivos de control se incluyen implícitamente en los controles elegidos. Los objetivos de control yLos controles enumerados en el Anexo A no son exhaustivos y es posible que se necesiten objetivos de control y controles adicionales.d) Elaborar una declaración de aplicabilidad que contenga los controles necesarios (véase 6.1.3 b) y c)) yla justificación de las inclusiones, tanto si se aplican como si no, y la justificación de las exclusionesde los controles del Anexo A;e) formular un plan de tratamiento de los riesgos para la seguridad de la información; yf) Obtener la aprobación de los propietarios de los riesgos del plan de tratamiento de los riesgos para la seguridad de la información y la aceptación de lariesgos residuales para la seguridad de la información.La organización conservará información documentada sobre el tratamiento de los riesgos para la seguridad de la informaciónproceso.NOTA El proceso de evaluación y tratamiento de los riesgos para la seguridad de la información en esta Norma Internacional se ajustacon los principios y directrices genéricas que se proporcionan en la ISO 31000[5].

¿Se han cumplido los requisitos anteriores para 6.1.3

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

6.2 Objetivos de la seguridad de la información y planificación para alcanzarlos

Requisitos:La organización establecerá objetivos de seguridad de la información en las funciones y niveles pertinentes.Los objetivos de seguridad de la información deberán:a) Ser coherentes con la política de seguridad de la información;b) ser mensurables (si es factible);c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación de riesgosy el tratamiento del riesgo;d) ser comunicados; ye) actualizarse según proceda.La organización conservará información documentada sobre los objetivos de seguridad de la información.Al planificar cómo lograr sus objetivos de seguridad de la información, la organización determinará:f) lo que se hará;g) los recursos que se necesitarán;h) quién será responsable;i) cuándo se completará; yj) cómo se evaluarán los resultados.

¿Se han cumplido los requisitos anteriores para 6,2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

Número total de hallazgos en la Sección 6

Sección 7 - Apoyo

Sección aplicable a la función objeto de la auditoría

Cláusulas aplicables

7.1 Recursos

Requisitos:La organización deberá determinar y proporcionar los recursos necesarios para el establecimiento, la aplicación,mantenimiento y mejora continua del sistema de gestión de la seguridad de la información.

¿Se han cumplido los requisitos anteriores para 7.1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

7.2 Competencia

Requisitos:La organización deberá:a) determinar la competencia necesaria de la(s) persona(s) que realice(n) un trabajo bajo su control que afecte a suel rendimiento de la seguridad de la información;b) garantizar que esas personas sean competentes sobre la base de una educación, capacitación o experiencia adecuadas;c) cuando proceda, tomar medidas para adquirir la competencia necesaria y evaluar la eficaciade las medidas adoptadas; yd) conservar la información documentada apropiada como prueba de su competencia.NOTA Las medidas aplicables pueden incluir, por ejemplo: la capacitación, la tutoría o la reasignación de los empleados actuales; o la contratación o el nombramiento de personas competentes.

¿Se han cumplido los requisitos anteriores para 7,2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

7.3 Concienciación

Requisitos:Las personas que realicen trabajos bajo el control de la organización deberán ser conscientes:a) la política de seguridad de la información;b) su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluidac) los beneficios de un mejor desempeño en materia de seguridad de la información; y las consecuencias de no cumplir los requisitos del sistema de gestión de la seguridad de la información.

¿Se han cumplido los requisitos anteriores para 7,3

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

7.4 Comunicación

Requisitos:La organización determinará la necesidad de comunicaciones internas y externas pertinentes para lasistema de gestión de la seguridad de la información, incluido:a) sobre qué comunicar;b) cuándo comunicar;c) con quién comunicarse;d) quién debe comunicarse; y e) los procesos mediante los cuales se efectuará la comunicación

¿Se han cumplido los requisitos anteriores para 7,4

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

7.5.1 Generalidades

Requisitos:El sistema de gestión de la seguridad de la información de la organización incluirá:a) la información documentada requerida por esta Norma Internacional; yb) información documentada que la organización determine como necesaria para la eficacia deel sistema de gestión de la seguridad de la información.NOTA El alcance de la información documentada para un sistema de gestión de la seguridad de la información puede variarde una organización a otra debido a:1) el tamaño de la organización y su tipo de actividades, procesos, productos y servicios;2) la complejidad de los procesos y sus interacciones; y3) la competencia de las personas.

¿Se han cumplido los requisitos anteriores para 7.5.1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

7.5.2 Creación y actualización

Requisitos:Al crear y actualizar la información documentada, la organización deberá asegurarse de que sea apropiada:a) la identificación y descripción (por ejemplo, un título, una fecha, un autor o un número de referencia);b) el formato (por ejemplo, el idioma, la versión de software, los gráficos) y los medios (por ejemplo, papel, electrónico); yc) examen y aprobación de la idoneidad y la adecuación.

¿Se han cumplido los requisitos anteriores para 7.5.2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

7.5.3 Control de la información documentada

Requisitos:Información documentada requerida por el sistema de gestión de la seguridad de la información y por esteLa norma internacional se controlará para asegurar:a) que esté disponible y sea apta para su uso, donde y cuando se necesite; yb) está adecuadamente protegido (por ejemplo, de la pérdida de confidencialidad, el uso indebido o la pérdida de integridad).Para el control de la información documentada, la organización se ocupará de las siguientes actividadessegún corresponda:c) distribución, acceso, recuperación y utilización;d) almacenamiento y conservación, incluida la preservación de la legibilidad;e) el control de los cambios (por ejemplo, el control de versiones); yf) retención y disposición.La información documentada de origen externo, que la organización determine que es necesaria parala planificación y el funcionamiento del sistema de gestión de la seguridad de la información, se identificarán comoapropiado y controlado.NOTA El acceso implica una decisión sobre el permiso para ver la información documentada solamente, o lapermiso y autoridad para ver y cambiar la información documentada, etc.

¿Se han cumplido los requisitos anteriores para 7.5.3

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

Número total de hallazgos en la Sección 7

Sección 8 - Operación

Sección aplicable a la función objeto de la auditoría

Cláusulas aplicables

8.1 Planificación y control de las operaciones

Requisitos:La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con la seguridad de la informacióny para aplicar las medidas determinadas en 6.1. La organización también implementaráplanes para alcanzar los objetivos de seguridad de la información determinados en 6.2.La organización deberá mantener la información documentada en la medida necesaria para tener la confianza de quelos procesos se han llevado a cabo según lo previsto.La organización controlará los cambios planificados y examinará las consecuencias de los cambios no intencionados,tomar medidas para mitigar cualquier efecto adverso, según sea necesario.La organización se asegurará de que se determinen y controlen los procesos subcontratados.

¿Se han cumplido los requisitos anteriores para 8.1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

8.2 Evaluación de los riesgos para la seguridad de la información

Requisito:La organización realizará evaluaciones de los riesgos para la seguridad de la información a intervalos planificados o cuandose proponen o se producen cambios significativos, teniendo en cuenta los criterios establecidos en 6.1.2 a).La organización conservará información documentada de los resultados de la seguridad de la informaciónevaluaciones de riesgo.

¿Se han cumplido los requisitos anteriores para 8,2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

8.3 Tratamiento de los riesgos para la seguridad de la información

Requisitos:La organización aplicará el plan de tratamiento de los riesgos para la seguridad de la información.La organización debe retener información documentada de los resultados de la seguridad de la informacióntratamiento del riesgo.

¿Se han cumplido los requisitos anteriores para 8,3

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

Número total de hallazgos en la Sección 8

Sección 9 - Evaluación del desempeño

Sección aplicable a la función objeto de la auditoría

Cláusulas aplicables

9.1 Vigilancia, medición, análisis y evaluación

Requisitos:La organización evaluará el rendimiento de la seguridad de la información y la eficacia de lasistema de gestión de la seguridad de la información.La organización determinará:a) lo que debe ser supervisado y medido, incluidos los procesos y controles de seguridad de la información;b) los métodos de vigilancia, medición, análisis y evaluación, según proceda, para garantizarresultados válidos;NOTA Los métodos seleccionados deben producir resultados comparables y reproducibles para que se consideren válidos.c) cuándo se realizará la vigilancia y la medición;d) quién deberá vigilar y medir;e) cuándo se analizarán y evaluarán los resultados de la vigilancia y la medición; yf) Que analizará y evaluará estos resultados.La organización conservará la información documentada apropiada como prueba de la vigilancia yresultados de las mediciones.

¿Se han cumplido los requisitos anteriores para el 9,1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

9.2 Auditorías internas

Requisitos:La organización llevará a cabo auditorías internas a intervalos planificados para proporcionar información sobre siel sistema de gestión de la seguridad de la información:a) se ajusta a1) los propios requisitos de la organización para su sistema de gestión de la seguridad de la información; y2) los requisitos de esta Norma Internacional;b) se aplica y mantiene de manera efectiva.La organización deberá:c) planear, establecer, implementar y mantener un programa o programas de auditoría, incluyendo la frecuencia, los métodos,responsabilidades, requisitos de planificación y presentación de informes. El programa o los programas de auditoría tomarán en cuentaConsiderar la importancia de los procesos en cuestión y los resultados de las auditorías anteriores;d) definir los criterios y el alcance de cada auditoría;e) seleccionar a los auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;f) garantizar que los resultados de las auditorías se comuniquen a la dirección correspondiente; yg) conservar la información documentada como prueba del programa o programas de auditoría y de los resultados de la auditoría.

¿Se han cumplido los requisitos anteriores para el 9,2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

9.3 Exámenes de la gestión

Requisitos:La alta dirección debe revisar el sistema de gestión de la seguridad de la información de la organización en el momento previstointervalos para asegurar su continua idoneidad, adecuación y eficacia.El examen de la gestión incluirá la consideración dea) el estado de las medidas de los exámenes de gestión anteriores;b) los cambios en las cuestiones externas e internas que sean pertinentes para la gestión de la seguridad de la informaciónsistema;c) información sobre el desempeño en materia de seguridad de la información, incluidas las tendencias en:1) las no conformidades y las medidas correctivas;2) resultados de la vigilancia y la medición;3) resultados de la auditoría; y4) el cumplimiento de los objetivos de seguridad de la información;d) la retroalimentación de las partes interesadas;e) los resultados de la evaluación de riesgos y el estado del plan de tratamiento de riesgos; yf) oportunidades de mejora continua.Los resultados del examen de la gestión incluirán decisiones relacionadas con el mejoramiento continuoy las necesidades de cambios en el sistema de gestión de la seguridad de la información.La organización conservará la información documentada como prueba de los resultados de los exámenes de la gestión.

¿Se han cumplido los requisitos anteriores para el 9,3

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

Número total de hallazgos en la Sección 9

Sección 10 - Mejora

Sección aplicable a la función objeto de la auditoría

Cláusulas aplicables

10.1 Incumplimiento y medidas correctivas

Requisitos:Cuando se produzca una no conformidad, la organización deberá:a) reaccionar ante la no conformidad, y según proceda:1) tomar medidas para controlarla y corregirla; y2) tratar con las consecuencias;b) evaluar la necesidad de actuar para eliminar las causas de la falta de conformidad, a fin de que no se repitao que ocurran en otro lugar, por:1) la revisión de la no conformidad;2) la determinación de las causas de la no conformidad; y3) Determinar si existen o podrían existir no conformidades similares;c) aplicar cualquier medida necesaria;d) examinar la eficacia de toda medida correctiva adoptada; ye) realizar cambios en el sistema de gestión de la seguridad de la información, si es necesario.Las medidas correctivas serán adecuadas a los efectos de las no conformidades encontradas.La organización conservará la información documentada como prueba de ello:f) la naturaleza de las no conformidades y cualquier acción subsiguiente tomada, yg) los resultados de cualquier acción correctiva.

¿Se han cumplido los requisitos anteriores para 10.1

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

10.2 Mejora continua

Requisito:La organización deberá mejorar continuamente la idoneidad, la adecuación y la eficacia del sistema de gestión de la seguridad de la información.

¿Se han cumplido los requisitos anteriores para 10,2

Notas del auditor

Nivel de cumplimiento

Tipo de hallazgo

Número total de hallazgos en la Sección 10

Anexo A (Objetivos y controles de control de referencia)

Sección aplicable a la función objeto de la auditoría

Controles aplicables

A.5.1.1 Políticas para la seguridad de la informaciónSe definirá un conjunto de políticas para la seguridad de la información, que serán aprobadas por la dirección, publicadas y comunicadas a los empleados y a las partes externas pertinentes.

Notas del auditor

A.5.1.2 Examen de las políticas de seguridad de la informaciónLas políticas de seguridad de la información se revisarán a intervalos planificados o si se producen cambios significativos para garantizar su continua idoneidad, adecuación y eficacia.

Notas del auditor

A.6.1.1 Funciones y responsabilidades de la seguridad de la informaciónSe definirán y asignarán todas las responsabilidades en materia de seguridad de la información.

Notas del auditor

A.6.1.2 Separación de funcionesSe separarán los deberes y las áreas de responsabilidad conflictivas para reducir las oportunidades de modificación no autorizada o no intencional o de uso indebido de los activos de la organización.

Notas del auditor

A.6.1.3 Contacto con las autoridadesSe mantendrán los contactos apropiados con las autoridades competentes.

Notas del auditor

A.6.1.4 Contacto con grupos de interés especialSe mantendrán los contactos apropiados con grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales.

Notas del auditor

A.6.1.5 Seguridad de la información en la gestión de proyectosLa seguridad de la información se abordará en la gestión de proyectos, independientemente del tipo de proyecto.

Notas del auditor

A.6.2.1 Política de dispositivos móvilesSe adoptará una política y medidas de seguridad de apoyo para gestionar los riesgos introducidos por el uso de dispositivos móviles.

Notas del auditor

A.6.2.2 TeletrabajoSe aplicará una política y medidas de seguridad de apoyo para proteger la información a la que se acceda, se procese o se almacene en los sitios de teletrabajo.

Notas del auditor

A.7.1.1 Examen"La verificación de los antecedentes de todos los candidatos a un empleo se llevará a cabo de conformidad con las leyes, los reglamentos y las normas éticas pertinentes y será proporcional a los requisitos comerciales, la clasificación de la información a la que se ha de acceder y los riesgos percibidos".

Notas del auditor

A.7.1.2 Condiciones de empleoEn los acuerdos contractuales con los empleados y contratistas se establecerán sus responsabilidades y las de la organización en materia de seguridad de la información.

Notas del auditor

A.7.2.1 Responsabilidades de gestiónLa dirección exigirá a todos los empleados y contratistas que apliquen la seguridad de la información de conformidad con las políticas y procedimientos establecidos de la organización.

Notas del auditor

A.7.2.2 "Concienciación, educación y capacitación en materia de seguridad de la información"

Notas del auditor

A.7.2.3 Proceso disciplinario"Habrá un proceso disciplinario formal y comunicado para tomar medidas contra los empleados que hayan cometido una violación de la seguridad de la información".

Notas del auditor

A.7.3.1 Cese o cambio de responsabilidades laboralesSe definirán las responsabilidades y obligaciones en materia de seguridad de la información que sigan siendo válidas después de la terminación o el cambio de empleo, se comunicarán al empleado o al contratista y se harán cumplir.

Notas del auditor

A.8.1.1 Inventario de bienesSe identificarán los activos asociados con las instalaciones de información y procesamiento de información y se elaborará y mantendrá un inventario de esos activos.

Notas del auditor

A.8.1.2 Propiedad de los bienesLos bienes que se mantengan en el inventario serán propiedad.

Notas del auditor

A.8.1.3 "Uso aceptable de los bienes"Se identificarán, documentarán y aplicarán normas para el uso aceptable de la información y de los bienes relacionados con las instalaciones de procesamiento de información.

Notas del auditor

A.8.1.4 Restitución de activosTodos los empleados y usuarios externos devolverán todos los bienes de la organización que estén en su posesión al terminar su empleo, contrato o acuerdo.

Notas del auditor

A.8.2.1 Clasificación de la información"La información se clasificará en función de los requisitos legales, el valor, la importancia crítica y la sensibilidad a la divulgación o modificación no autorizada".

Notas del auditor

A.8.2.2 Etiquetado de la informaciónSe elaborará y aplicará un conjunto adecuado de procedimientos para el etiquetado de la información de conformidad con el sistema de clasificación de la información adoptado por la organización.

Notas del auditor

A.8.2.3 Manipulación de activosLos procedimientos para el manejo de los activos se desarrollarán y aplicarán de acuerdo con el esquema de clasificación de la información adoptado por la organización.

Notas del auditor

A.8.3.1 "Gestión de los medios extraíbles"Se aplicarán procedimientos para la gestión de los medios extraíbles de conformidad con el sistema de clasificación adoptado por la organización.

Notas del auditor

A.8.3.2 Eliminación de los mediosLos medios de comunicación se eliminarán de forma segura cuando ya no se necesiten, utilizando procedimientos formales.

Notas del auditor

A.8.3.3 Transferencia de medios físicosLos medios de comunicación que contengan información estarán protegidos contra el acceso no autorizado, el uso indebido o la corrupción durante el transporte.

Notas del auditor

A.9.1.1 Política de control de accesoSe establecerá, documentará y revisará una política de control de acceso en función de los requisitos de seguridad de la empresa y de la información.

Notas del auditor

A.9.1.2 "Acceso a las redes y servicios de red"Los usuarios sólo tendrán acceso a la red y a los servicios de la red que hayan sido específicamente autorizados a utilizar.

Notas del auditor

A.9.2.1 "Inscripción y baja del usuario"Se pondrá en marcha un proceso formal de registro y baja de usuarios para permitir la asignación de derechos de acceso.

Notas del auditor

A.9.2.2 Provisión de acceso a los usuariosSe pondrá en marcha un proceso formal de provisión de acceso para usuarios con el fin de asignar o revocar los derechos de acceso de todos los tipos de usuarios a todos los sistemas y servicios.

Notas del auditor

A.9.2.3 "Gestión de los derechos de acceso privilegiado"La asignación y el uso de los derechos de acceso privilegiado serán restringidos y controlados.

Notas del auditor

A.9.2.4 "Gestión de la información secreta de autenticación de los usuarios"La asignación de información secreta de autenticación se controlará mediante un proceso de gestión formal".

Notas del auditor

A.9.2.5 Examen de los derechos de acceso de los usuariosLos propietarios de los activos revisarán los derechos de acceso de los usuarios a intervalos regulares.

Notas del auditor

A.9.2.6 "Retirada o ajuste de los derechos de acceso"Los derechos de acceso de todos los empleados y usuarios de partes externas a la información y a las instalaciones de procesamiento de la información se suprimirán al término de su empleo, contrato o acuerdo, o se ajustarán cuando se produzca un cambio.

Notas del auditor

A.9.3.1 "Utilización de información secreta de autenticación""Se exigirá a los usuarios que sigan las prácticas de la organización en el uso de la información secreta de autenticación".

Notas del auditor

A.9.4.1 "Restricción del acceso a la información"El acceso a la información y a las funciones del sistema de aplicación se restringirá de conformidad con la política de control del acceso.

Notas del auditor

A.9.4.2 Procedimientos de conexión seguraCuando así lo exija la política de control de acceso, el acceso a los sistemas y aplicaciones se controlará mediante un procedimiento de inicio de sesión seguro.

Notas del auditor

A.9.4.3 "Sistema de gestión de contraseñas"Los sistemas de gestión de contraseñas serán interactivos y garantizarán la calidad de las mismas.

Notas del auditor

A.9.4.4 "Uso de programas de utilidad privilegiada"El uso de programas de utilidad que puedan ser capaces de anular los controles del sistema y de la aplicación será restringido y estrictamente controlado.

Notas del auditor

A.9.4.5 "Control de acceso al código fuente del programa"El acceso al código fuente del programa será restringido.

Notas del auditor

A.10.1.1 "Política sobre el uso de controles criptográficos"Se elaborará y aplicará una política sobre el uso de controles criptográficos para la protección de la información.

Notas del auditor

A.10.1.2 Gestión de clavesSe elaborará y aplicará una política sobre el uso, la protección y la vida útil de las claves criptográficas a lo largo de todo su ciclo de vida.

Notas del auditor

A.11.1.1 Perímetro de seguridad físicaSe definirán y utilizarán perímetros de seguridad para proteger las zonas que contengan información sensible o crítica e instalaciones de procesamiento de información.

Notas del auditor

A.11.1.2 Controles de entrada físicaLas zonas seguras se protegerán mediante controles de entrada adecuados para garantizar que sólo se permita el acceso al personal autorizado".

Notas del auditor

A.11.1.3 "Asegurar oficinas, salas e instalaciones""Se diseñará y aplicará la seguridad física de las oficinas, salas e instalaciones".

Notas del auditor

A.11.1.4 "Protección contra las amenazas externas y ambientales""Se diseñará y aplicará la protección física contra los desastres naturales, los ataques malintencionados o los accidentes".

Notas del auditor

A.11.1.5 "Trabajo en zonas seguras""Se diseñarán y aplicarán procedimientos para trabajar en zonas seguras".

Notas del auditor

A.11.1.6 "Zonas de entrega y carga""Se controlarán los puntos de acceso, como las zonas de entrega y carga y otros puntos en los que puedan entrar personas no autorizadas en los locales y, de ser posible, se aislarán de las instalaciones de procesamiento de información para evitar el acceso no autorizado".

Notas del auditor

A.11.2.1 "Ubicación y protección del equipo"El equipo se ubicará y protegerá para reducir los riesgos de las amenazas y peligros ambientales, y las oportunidades de acceso no autorizado.

Notas del auditor

A.11.2.2 Utilidades de apoyo"El equipo estará protegido de los fallos de energía y otras interrupciones causadas por fallos en los servicios de apoyo".

Notas del auditor

A.11.2.3 Seguridad del cableado"Los cables de energía y telecomunicaciones que transporten datos o servicios de información de apoyo estarán protegidos contra la intercepción, la interferencia o los daños".

Notas del auditor

A.11.2.4 Mantenimiento del equipoEl equipo se mantendrá correctamente para asegurar su continua disponibilidad e integridad.

Notas del auditor

A.11.2.5. Retiro de activos"El equipo, la información o los programas informáticos no se sacarán de las instalaciones sin autorización previa".

Notas del auditor

A.11.2.6 "Seguridad del equipo y los bienes fuera de los locales"La seguridad se aplicará a los activos fuera de los locales teniendo en cuenta los diferentes riesgos de trabajar fuera de los locales de la organización.

Notas del auditor

A.11.2.7 "Eliminación o reutilización segura del equipo"Todos los elementos de equipo que contengan medios de almacenamiento serán verificados para asegurar que cualquier dato sensible y software con licencia haya sido eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.

Notas del auditor

A.11.2.8 "Equipo de usuario desatendido"Los usuarios se asegurarán de que el equipo desatendido tenga la protección adecuada.

Notas del auditor

A.11.2.9 "Escritorio despejado y política de pantalla despejada"Se adoptará una política de escritorio clara para los papeles y los medios de almacenamiento extraíbles y una política de pantalla clara para las instalaciones de procesamiento de información.

Notas del auditor

A.12.1.1 "Procedimientos operativos documentados"Los procedimientos operativos se documentarán y se pondrán a disposición de todos los usuarios que los necesiten.

Notas del auditor

A.12.1.2 Gestión del cambioSe controlarán los cambios en la organización, los procesos comerciales, las instalaciones de procesamiento de información y los sistemas que afecten a la seguridad de la información.

Notas del auditor

A.12.1.3 Gestión de la capacidadSe supervisará la utilización de los recursos, se ajustará y se harán proyecciones de las futuras necesidades de capacidad para garantizar el rendimiento requerido del sistema.

Notas del auditor

A.12.1.4 "Separación de los entornos de desarrollo, ensayo y explotación"Se separarán los entornos de desarrollo, ensayo y operaciones para reducir los riesgos de acceso no autorizado o de cambios en el entorno de las operaciones.

Notas del auditor

A.12.2.1 Controles contra el malwareSe aplicarán controles de detección, prevención y recuperación para protegerse contra el malware, combinados con una adecuada sensibilización de los usuarios.

Notas del auditor

A.12.3.1 Respaldo de información"Se tomarán y probarán regularmente copias de seguridad de la información, el software y las imágenes del sistema de acuerdo con una copia de seguridad acordadapolítica".

Notas del auditor

A.12.4.1 Registro de eventosSe elaborarán, mantendrán y revisarán periódicamente registros de eventos que registren las actividades de los usuarios, las excepciones, las fallas y los eventos de seguridad de la información.

Notas del auditor

A.12.4.2 Protección de la información de registroLas instalaciones de registro y la información de registro estarán protegidas contra la manipulación y el acceso no autorizado.

Notas del auditor

A.12.4.3 "Registros del administrador y del operador"Se registrarán las actividades del administrador y del operador del sistema y se protegerán y revisarán periódicamente los registros.

Notas del auditor

A.12.4.4 Sincronización del relojLos relojes de todos los sistemas de procesamiento de información pertinentes de una organización o dominio de seguridad se sincronizarán con una única fuente de tiempo de referencia.

Notas del auditor

A.12.5.1 "Instalación de programas informáticos en sistemas operativos"Se aplicarán procedimientos para controlar la instalación de programas informáticos en los sistemas operativos.

Notas del auditor

A.12.6.1 "Gestión de las vulnerabilidades técnicas"Se obtendrá oportunamente información sobre las vulnerabilidades técnicas de los sistemas de información que se estén utilizando, se evaluará la exposición de la organización a esas vulnerabilidades y se adoptarán medidas apropiadas para hacer frente al riesgo asociado.

Notas del auditor

A.12.6.2 "Restricciones en la instalación de software"Se establecerán y aplicarán normas que regulen la instalación de programas informáticos por parte de los usuarios.

Notas del auditor

A.12.7.1 "Controles de auditoría de los sistemas de información""Los requisitos de auditoría y las actividades que impliquen la verificación de los sistemas operativos se planificarán y acordarán cuidadosamente para reducir al mínimo las interrupciones de los procesos comerciales".

Notas del auditor

A.13.1.1 Controles de la red"Las redes serán gestionadas y controladas para proteger la información en los sistemas y aplicaciones".

Notas del auditor

A.13.1.2 "Seguridad de los servicios de red"Los mecanismos de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red se identificarán e incluirán en los acuerdos de servicios de red, tanto si esos servicios se prestan en la propia empresa como si se subcontratan.

Notas del auditor

A.13.1.3 Segregación en las redes"Los grupos de servicios de información, los usuarios y los sistemas de información estarán separados en redes".

Notas del auditor

A.13.2.1 "Políticas y procedimientos de transferencia de información"Se establecerán políticas, procedimientos y controles oficiales de transferencia para proteger la transferencia de información mediante el uso de todo tipo de medios de comunicación.

Notas del auditor

A.13.2.2 "Acuerdos de transferencia de información"Los acuerdos se referirán a la transferencia segura de información comercial entre la organización y las partes externas.

Notas del auditor

A.13.2.3 Mensajes electrónicos"La información involucrada en la mensajería electrónica será protegida apropiadamente".

Notas del auditor

A.13.2.4 "Acuerdos de confidencialidad o de no divulgación"Los requisitos de los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización en materia de protección de la información se identificarán, examinarán periódicamente y se documentarán.

Notas del auditor

A.14.1.1 "Análisis y especificación de los requisitos de seguridad de la información"Los requisitos relacionados con la seguridad de la información se incluirán en los requisitos de los nuevos sistemas de información o en las mejoras de los sistemas de información existentes.

Notas del auditor

A.14.1.2 "Asegurar los servicios de aplicación en redes públicas"La información relacionada con los servicios de aplicación que pasa por las redes públicas estará protegida contra las actividades fraudulentas, las disputas contractuales y la divulgación y modificación no autorizadas.

Notas del auditor

A.14.1.3 "Protección de las transacciones de servicios de aplicación""La información relacionada con las transacciones de servicios de aplicación se protegerá para evitar la transmisión incompleta, el enrutamiento erróneo, la alteración no autorizada de mensajes, la divulgación no autorizada, la duplicación o la repetición no autorizada de mensajes".

Notas del auditor

A.14.2.1 "Política de desarrollo seguro"Se establecerán normas para el desarrollo de programas y sistemas informáticos, que se aplicarán a los desarrollos dentro de la organización.

Notas del auditor

A.14.2.2 "Procedimientos de control de cambios en el sistema"Los cambios en los sistemas dentro del ciclo de vida del desarrollo se controlarán mediante el uso de procedimientos formales de control de cambios.

Notas del auditor

A.14.2.3 Examen técnico de las aplicaciones después de los cambios de plataforma de funcionamientoCuando se cambien las plataformas de operación, se revisarán y probarán las aplicaciones críticas de negocio para asegurar que no haya un impacto adverso en las operaciones o la seguridad de la organización.

Notas del auditor

A.14.2.4 Restricciones a los cambios en los paquetes de programas informáticosSe desaconsejarán las modificaciones de los paquetes de programas informáticos, que se limitarán a los cambios necesarios y se controlarán estrictamente todos los cambios.

Notas del auditor

A.14.2.5 "Principios de ingeniería de sistemas seguros"Se establecerán, documentarán, mantendrán y aplicarán los principios para la ingeniería de sistemas seguros a cualquier esfuerzo de implementación de sistemas de información.

Notas del auditor

A.14.2.6 "Entorno de desarrollo seguro"Las organizaciones establecerán y protegerán debidamente entornos de desarrollo seguros para las actividades de desarrollo e integración de sistemas que abarquen todo el ciclo de vida del desarrollo de los sistemas.

Notas del auditor

A.14.2.7 Desarrollo subcontratadoLa organización supervisará y vigilará la actividad de desarrollo de sistemas subcontratados.

Notas del auditor

A.14.2.8 Prueba de seguridad del sistemaLas pruebas de la funcionalidad de seguridad se llevarán a cabo durante el desarrollo.

Notas del auditor

A.14.2.9 "Prueba de aceptación del sistema"Se establecerán programas de pruebas de aceptación y criterios relacionados para nuevos sistemas de información, actualizaciones y nuevas versiones.

Notas del auditor

A.14.3.1 Protección de los datos de ensayoLos datos de las pruebas se seleccionarán cuidadosamente, se protegerán y se controlarán.

Notas del auditor

A.15.1.1 "Política de seguridad de la información para las relaciones con los proveedores"Los requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso del proveedor a los activos de la organización se acordarán con el proveedor y se documentarán.

Notas del auditor

A.15.1.2 "Abordar la seguridad en los acuerdos con los proveedores"Todos los requisitos de seguridad de la información pertinentes se establecerán y acordarán con cada proveedor que pueda acceder a la información de la organización, procesarla, almacenarla, comunicarla o proporcionarle componentes de infraestructura de TI.

Notas del auditor

A.15.1.3 "Cadena de suministro de la tecnología de la información y las comunicaciones"Los acuerdos con los proveedores incluirán requisitos para hacer frente a los riesgos para la seguridad de la información relacionados con los servicios de tecnología de la información y las comunicaciones y la cadena de suministro de productos.

Notas del auditor

A.15.2.1 "Vigilancia y examen de los servicios de los proveedores"Las organizaciones supervisarán, examinarán y auditarán periódicamente la prestación de servicios de los proveedores.

Notas del auditor

A.15.2.2 "Gestión de los cambios en los servicios de los proveedores"Se gestionarán los cambios en la prestación de servicios de los proveedores, incluido el mantenimiento y la mejora de las políticas, procedimientos y controles de seguridad de la información existentes, teniendo en cuenta el carácter crítico de la información comercial, los sistemas y procesos implicados y la reevaluación de los riesgos.

Notas del auditor

A.16.1.1 "Responsabilidades y procedimientos"Se establecerán responsabilidades y procedimientos de gestión para garantizar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.

Notas del auditor

A.16.1.2 "Notificación de los sucesos relacionados con la seguridad de la información"Los sucesos relacionados con la seguridad de la información se notificarán por los canales de gestión adecuados lo antes posible.

Notas del auditor

A.16.1.3 "Comunicación de las deficiencias en la seguridad de la información""Los empleados y contratistas que utilicen los sistemas y servicios de información de la organización deberán tomar nota y comunicar cualquier deficiencia observada o presunta en la seguridad de la información de los sistemas o servicios".

Notas del auditor

A.16.1.4 "Evaluación de los sucesos relacionados con la seguridad de la información y adopción de decisiones al respecto"Se evaluarán los incidentes de seguridad de la información y se decidirá si deben clasificarse como incidentes de seguridad de la información.

Notas del auditor

A.16.1.5 "Respuesta a los incidentes de seguridad de la información"Se responderá a los incidentes de seguridad de la información de acuerdo con los procedimientos documentados.

Notas del auditor

A.16.1.6 Aprendiendo de los incidentes de seguridad de la informaciónLos conocimientos obtenidos del análisis y la resolución de los incidentes de seguridad de la información se utilizarán para reducir la probabilidad o el impacto de futuros incidentes.

Notas del auditor

A.16.1.7 Recopilación de pruebasLa organización definirá y aplicará procedimientos para la identificación, recopilación, adquisición y conservación de información que pueda servir como prueba.

Notas del auditor

A.17.1.1 Planificación de la continuidad de la seguridad de la informaciónLa organización determinará sus necesidades en materia de seguridad de la información y la continuidad de la gestión de la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o un desastre.

Notas del auditor

A.17.1.2 "Aplicación de la continuidad de la seguridad de la información"La organización establecerá, documentará, aplicará y mantendrá procesos, procedimientos y controles para garantizar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa.

Notas del auditor

A.17.1.3 "Verificar, revisar y evaluar la continuidad de la seguridad de la información"La organización verificará periódicamente los controles de continuidad de la seguridad de la información establecidos y aplicados para garantizar su validez y eficacia en situaciones adversas.

Notas del auditor

A.17.2.1 "Disponibilidad de instalaciones de tratamiento de la información"Las instalaciones de tratamiento de la información se aplicarán con una redundancia suficiente para cumplir los requisitos de disponibilidad.

Notas del auditor

A.18.1.1 "Identificación de la legislación y los requisitos contractuales aplicables""Todos los requisitos legislativos, reglamentarios y contractuales pertinentes, así como el enfoque de la organización para cumplir esos requisitos, se identificarán, documentarán y actualizarán explícitamente para cada sistema de información y la organización".

Notas del auditor

A.18.1.2. "Derechos de propiedad intelectual"."Se aplicarán procedimientos adecuados para garantizar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software de propiedad".

Notas del auditor

A.18.1.3 Protección de los registrosLos registros se protegerán contra la pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada, de conformidad con los requisitos legislativos, reglamentarios, contractuales y comerciales.

Notas del auditor

A.18.1.4 Privacidad y protección de la información de identificación personalSe garantizará la privacidad y la protección de la información de identificación personal según lo dispuesto en la legislación y los reglamentos pertinentes, cuando proceda.

Notas del auditor

A.18.1.5 "Reglamentación de los controles criptográficos".Los controles criptográficos se utilizarán en cumplimiento de todos los acuerdos, leyes y reglamentos pertinentes.

Notas del auditor

A.18.2.1 "Examen independiente de la seguridad de la información""El enfoque de la organización para la gestión de la seguridad de la información y su aplicación (es decir, los objetivos de control, los controles, las políticas, los procesos y los procedimientos para la seguridad de la información) se examinarán independientemente a intervalos planificados o cuando se produzcan cambios significativos...se producen."

Notas del auditor

A18.2.2 Cumplimiento de las políticas y normas de seguridadLos administradores examinarán periódicamente la conformidad del procesamiento y los procedimientos de información dentro de su esfera de responsabilidad con las políticas y normas de seguridad y otros requisitos de seguridad apropiados

Notas del auditor

A18.2.3 Examen del cumplimiento técnicoLos sistemas de información se revisarán periódicamente para comprobar el cumplimiento de las políticas y normas de seguridad de la información de la organización.

Notas del auditor

Hallazgos planteados

El incumplimiento de la RED

No cumplimiento de AMBER

Observación RED

Observación AMBER

Observación VERDE

Recomendación VERDE

Número total de conclusiones en el Anexo A Objetivos y controles de control

Reunión de clausura

Notas de la reunión de clausura

Positivos

Resumen general de la auditoría

Hallazgos planteados

El incumplimiento de la RED

No cumplimiento de AMBER

Observación RED

Observación AMBER

Observación VERDE

Retroalimentación VERDE

Auditoría Signoff

Apagar el equipo de auditoría

El auditor principal

Auditor de apoyo

Auditor en formación

Propietario funcional

Equipo de Auditee

Añadir la firma

Compartir esta plantilla:
Esta plantilla también está disponible en: