Lista de verificación ISO 27001 | GRATIS | Lumiform

Lista de Chequeo para la Certificación ISO 27001

Acerca del Lista de Chequeo para la Certificación ISO 27001

Esta lista digitalizada es utilizada por los administradores de información para evaluar la preparación de una organización para la certificación de la Norma ISO 27001. Ayuda a identificar las lagunas del proceso y a revisar el actual Sistema de gestión de la seguridad de la información. También sirve como guía para revisar las siguientes categorías utilizadas en base a la norma ISO 27001:2013: 1. Marco de referencia de la organización, 2. Gestión, 3. Planificación, 4. Operación, 5. Apoyo, 6. Evaluación del desempeño, y 7. Mejora.

Tu equipo y tú podrán rellenar esta lista de control digital desde su dispositivo móvil, estando o no conectados al internet. Puedes personalizar fácilmente esta lista desde la versión de escritorio. Si tu lista es muy larga, no te preocupes, nosotros las digitalizamos por ti. Lo importante es que cuentes con listas de control inteligentes hechas a tu medida.

Categorías relacionadas

Vista previa de la plantilla

Auditoría

4. Contexto de la Organización

4.1 Comprensión de la empresa y su contexto

La empresa determinará los asuntos externos e internos que sean importantes para su propósito y que influyan en su capacidad para alcanzar los resultados previstos de su sistema de gestión de la seguridad de la información.

4.2 Comprensión de los requisitos y expectativas de las partes involucradas

La compañía se encargará de organizarlo: a) las partes involucradas que son importantes para el sistema de gestión de la seguridad de la información b) las exigencias de estas partes involucradas importantes para la seguridad de la información

4.3 Definición del alcance del sistema de gestión de la seguridad de la información

La empresa establecerá los límites y la aplicabilidad del sistema de gestión de la seguridad de la información para verificar su alcance.

4.4 Sistema de gestión de la seguridad de la información

La compañía construirá, implementará, sostendrá y desarrollará continuamente un sistema de gestión de seguridad de la información, de acuerdo con las exigencias de esta Norma Internacional.

5. Liderazgo

5.1 Liderazgo y compromiso

La dirección presentará pruebas de su participación en el establecimiento, la aplicación, el funcionamiento, el control, el examen, el apoyo y el desarrollo del Sistema de Gestión de la Seguridad de la Información (SGSI) por:

5.1 a) Garantizar que el sistema de seguridad de la información y los objetivos de seguridad de la información se construyan y sean compatibles con la dirección estratégica de la empresa

5.1 b) Garantizar la integración de las exigencias del sistema de gestión de la seguridad de la información en los métodos de la empresa;

5.1 c) Garantizar el acceso a los recursos necesarios para el sistema de gestión de la seguridad de la información;

5.1 d) Comunicar el valor de una gestión eficaz de la seguridad de la información y de la adaptación a las exigencias del sistema de gestión de la seguridad de la información;

5.1 e) Garantizar que el sistema de gestión de la seguridad de la información alcance los resultados previstos;

5.1 f) Señalar y apoyar a las personas para que aporten a la eficacia del sistema de gestión de la seguridad de la información;

5.1 g) Promover el desarrollo continuo;

5.1 h) Mantener otras funciones de gestión importantes para mostrar su liderazgo en sus esferas de responsabilidad.

5.2 Política

La alta dirección construirá una política de seguridad de la información que: a) sea relevante para el propósito de la empresa; b) cubra los objetivos de seguridad de la información (véase 6.2) o presente el marco para establecer los objetivos de seguridad de la información; c) implique el compromiso de satisfacer las demandas aplicables relacionadas con la seguridad de la información; d) implique un compromiso de desarrollo continuo del sistema de gestión de la seguridad de la información. La política de seguridad de la información: e) Estar disponible como información documentada; f) ser comunicada dentro de la empresa; g) ser accesible a las partes interesadas, según proceda

5.3 Funciones, responsabilidades y autoridades de la organización

La dirección superior garantizará que se distribuyan y comuniquen los deberes y las autoridades de las funciones importantes para la seguridad de la información.

6. Planificación

6.1 Esfuerzos para examinar los riesgos y las oportunidades

6.1.1 Generalidades

Al prepararse para el sistema de gestión de la seguridad de la información, la empresa deberá examinar las cuestiones mencionadas en 4.1 y las exigencias mencionadas en 4.2 y determinar los peligros y las oportunidades a las que hay que dirigirse: a) asegurar que el sistema de gestión de seguridad de la información pueda alcanzar los resultados previstos; b) limitar o reducir los resultados no deseados; c) lograr un desarrollo persistente

6.1.1 (d) La compañía planificará acciones para abordar estos riesgos y oportunidades;

6.1.1 (e) La compañía planificará cómo hacerlo: 1) combinar e implementar estas acciones en su sistema de gestión de seguridad de la información métodos; 2) evaluar la eficacia de esos procedimientos.

6.1.2 Evaluación de los riesgos para la

seguridad de la información

6.1.2 a) Establece y mantiene los criterios de riesgo para la seguridad de la información que abarca: 1) los criterios de reconocimiento de riesgos; 2) los criterios para la realización de evaluaciones de los riesgos para la seguridad de la información;

La empresa determinará y aplicará un proceso de evaluación de riesgos para la seguridad de la información que:

6.1.2 b) Asegura que las evaluaciones repetidas de los riesgos para la seguridad de la información produzcan resultados coherentes, válidos y comparables;

6.1.2 c) clasifica los riesgos para la seguridad de la información: 1) aplicar el proceso de evaluación de los riesgos para la seguridad de la información a fin de reconocer los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información dentro del alcance del sistema de gestión de la seguridad de la información; y 2) clasificar los propietarios del riesgo;

6.1.2 d) se describen los riesgos para la seguridad de la información: 1) evaluar las posibles consecuencias que se producirían si se materializaran los riesgos clasificados en 6.1.2 c) 1); 2) evaluar la posibilidad realista de la existencia de los riesgos reconocidos en 6.1.2 c) 1); y 3) definir los niveles de riesgo;

6.1.2 e) evalúa los riesgos para la seguridad de la información: 1) comparar los resultados del análisis de riesgos con los criterios de riesgo establecidos en 6.1.2 a); 2) priorizar los riesgos investigados para el manejo de los riesgos.

6.1.3 Manejo de los riesgos para la seguridad de la información

La empresa establecerá y aplicará un proceso de gestión de riesgos para la seguridad de la información:

6.1.3 a) Seleccionar opciones adecuadas de tratamiento de los riesgos para la seguridad de la información, teniendo en cuenta los resultados de la evaluación de los riesgos;

6.1.3 b) Definir todos los controles necesarios para lograr la opción u opciones de tratamiento de los riesgos para la seguridad de la información que se hayan elegido;

6.1.3 c) Comparar los controles definidos en 6.1.3 b) supra con los del Anexo A y confirmar que no se ha omitido ningún control requerido;

6.1.3 d) Presentar una declaración de aplicabilidad que incluya los controles requeridos (véase 6.1.3.b y c) y la justificación de las inclusiones, se realicen o no, y el apoyo a las exclusiones de los controles del Anexo A;

6.1.3 e) Formular un plan de operaciones de riesgo para la seguridad de la información;

6.1.3 f) Obtener el permiso de los propietarios de los riesgos para el plan de gestión de los riesgos para la seguridad de la información y la aprobación de los riesgos residuales para la seguridad de la información.

planes para alcanzarlos

6.2 Objetivos de seguridad de la información y

La empresa confirmará los objetivos de seguridad de la información en funciones y niveles importantes.

Los fines de la seguridad de la información: a) Serán coherentes con la política de seguridad de la información; b) ser mensurables (si es posible); c) tener en cuenta las exigencias aplicables en materia de seguridad de la información y los resultados de la evaluación y el tratamiento de los riesgos; d) ser comunicados; e) ser actualizados según proceda.

Cuando planifique cómo alcanzar sus objetivos de seguridad de la información, la empresa se preparará: f) lo que se hará; g) qué recursos se necesitarán; h) quién será responsable; i) cuándo estará terminado; j) cómo se evaluarán los efectos.

7. Apoyo

7.1 Recursos

La empresa definirá y proporcionará los recursos necesarios para el establecimiento, la aplicación, el apoyo y el desarrollo continuo del sistema de gestión de la seguridad de la información.

7.2 Competencia

La compañía lo hará:

7.2 a) Definir la competencia necesaria de la persona o personas que realizan actividades bajo su control que influyen en su desempeño en materia de seguridad de la información;

7.2 b) Garantizar que estas personas estén calificadas sobre la base de una educación, formación o experiencia adecuadas;

7.2 c) Cuando proceda, adoptar medidas para obtener la competencia necesaria y evaluar la eficacia de las medidas adoptadas;

7.2 d) Conservar la información debidamente documentada como prueba de su competencia.

7.3 Concienciación

Las personas que hagan negocios bajo el cheque de la compañía deben estar al tanto:

7.3 a) la política de seguridad de la información;

7.3 b) Su participación en la eficacia del sistema de gestión de la seguridad de la información, incluidas las ventajas de un mejor rendimiento de la seguridad de la información;

7.3 c) Las consecuencias de no cumplir con las exigencias del sistema de gestión de la seguridad de la información.

7.4 Comunicación

La empresa definirá la necesidad de comunicaciones internas y externas importantes para el sistema de gestión de la seguridad de la información que abarca:

7.4 (a) sobre qué comunicar;

7.4 b) cuándo comunicar;

7.4 c) con quien comunicarse;

7.4 d) que se comunicará;

7.4 e) Los métodos por los que se cumplirá la comunicación.

7.5 Generalidades

7.5.1 Generalidades

El sistema de gestión de la seguridad de la información de la compañía cubrirá:

7.5.1 a) la información documentada que requiere la presente Norma Internacional;

7.5.1 b) La información documentada definida por la empresa como importante para la eficacia del sistema de gestión de la seguridad de la información.

7.5.2 Creación y actualización

Al diseñar y actualizar la información documentada, la compañía debe asegurarse de que es correcta:

7.5.2 a) Identificación y descripción (por ejemplo, un título, una fecha, un autor o un número de referencia);

7.5.2 b) el formato (por ejemplo, el idioma, la versión de software, los gráficos) y los medios (por ejemplo, el papel, la electrónica);

7.5.2 c) Examen y autorización de la idoneidad y la capacidad.

7.5.3 Control de la información comunicada

Se comprobará la información documentada necesaria para el sistema de gestión de la seguridad de la información y para esta Norma Internacional para asegurar:

7.5.3 a) es accesible y adecuado para su uso, donde y cuando se requiera;

7.5.3 b) esté suficientemente protegido (por ejemplo, de la pérdida de confidencialidad, el uso inapropiado o la pérdida de integridad).

Para el manejo de la información documentada, la empresa abordará las siguientes actividades, según corresponda:

7.5.3 c) distribución, acceso, recuperación y utilización;

7.5.3 d) depósito y conservación, incluida la seguridad de la legibilidad;

7.5.3 e) Control de los cambios (por ejemplo, control de versiones);

7.5.3 f) retención y disposición.

La información documentada de origen externo, definida por la empresa como necesaria para la planificación y el funcionamiento del sistema de gestión de la seguridad de la información, se reconocerá como adecuada y se controlará.

8. Operación

8.1 Planificación y control de las operaciones

La empresa planificará, realizará y controlará los procesos necesarios para satisfacer las demandas de seguridad de la información y para llevar a cabo las acciones determinadas en 6.1. La compañía también realizará planes para alcanzar los objetivos de seguridad de la información definidos en 6.2.

La empresa mantendrá información documentada en la medida en que sea necesario para tener la seguridad de que los métodos se han llevado a cabo según lo previsto.

La empresa verificará los cambios planificados y evaluará las consecuencias de los cambios no intencionados, tomando medidas para mitigar cualquier efecto perjudicial, según sea necesario.

La empresa garantizará que se definan y controlen los procesos subcontratados.

8.2 Evaluación de los riesgos para la seguridad de la información

La empresa realizará evaluaciones de los riesgos para la seguridad de la información a intervalos planificados o cuando se propongan u ocurran cambios importantes, teniendo en cuenta los criterios establecidos en 6.1.2.a.

La empresa mantendrá información documentada sobre los resultados de las evaluaciones de los riesgos para la seguridad de la información.

8.3 Manejo de los riesgos para la seguridad de la información

La compañía llevará a cabo el plan de manejo de riesgos de seguridad de la información.

La empresa conservará información documentada sobre los efectos del procedimiento de riesgo para la seguridad de la información.

9. Evaluación del desempeño

9.1 Vigilancia, medición, análisis y evaluación

La empresa evaluará la administración de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información.

La empresa definirá:

9.1 a) Lo que hay que controlar y medir, incluidos los métodos y controles de seguridad de la información;

9.1 b) Los métodos de control, medición, análisis y evaluación, según proceda, para garantizar la validez de los resultados;

9.1 c) cuando se realice la vigilancia y la medición;

9.1 d) quiénes deben vigilar y medir;

9.1 e) Cuando se investiguen y evalúen los resultados de la vigilancia y la medición;

9.1 f) Que analizará y evaluará estos resultados.

9.2 Auditoría interna

La empresa llevará a cabo auditorías internas a intervalos planificados para presentar información sobre si el sistema de gestión de la seguridad de la información:

9.2 a) se ajusta a 1) las propias demandas de la empresa para su sistema de gestión de seguridad de la información; 2) las demandas de esta Norma Internacional;

9.2 b) se logra y se mantiene eficazmente.

La compañía lo hará:

9.2 c) Planificar, establecer, ejecutar y mantener un programa o programas de auditoría, incluida la frecuencia, los métodos, las responsabilidades, las exigencias de planificación y la presentación de informes. En el programa o programas de auditoría se tendrá en cuenta el valor de los procesos en cuestión y los resultados de auditorías anteriores;

9.2 d) Determinar los criterios y el alcance de cada auditoría;

9.2 e) Seleccionar los examinadores y realizar auditorías que garanticen la objetividad e imparcialidad del proceso de auditoría;

9.2 f) Asegurar que los resultados de las auditorías se comuniquen a los directivos importantes;

9.2 g) Mantener información documentada como prueba del programa o programas de auditoría y de los resultados de la auditoría.

9.3 Examen de la gestión

La alta dirección examinará el sistema de gestión de la seguridad de la información de la empresa a intervalos planificados para asegurar su continua idoneidad, adecuación y eficacia.

El examen de la gestión incluirá la consideración de

9.3 a) El estado de las acciones de las inspecciones previas de gestión;

9.3 b) Los cambios en las cuestiones externas e internas que son importantes para el sistema de gestión de la seguridad de la información;

9.3 c) Retroalimentación sobre el desempeño en materia de seguridad de la información, con inclusión de las tendencias en: 1) Las no conformidades y la mejora de las medidas; 2) resultados de la vigilancia y la medición; 3) resultados de la auditoría; 4) El logro de los objetivos de la seguridad de la información;

9.3 d) La reacción de las partes interesadas;

9.3 e) Resultados de la evaluación de los riesgos y estado del plan de gestión de riesgos;

9.3 f) Oportunidades de desarrollo continuo.

Los resultados del examen de gestión abarcarán las decisiones relacionadas con las oportunidades de desarrollo continuo y cualquier necesidad de introducir cambios en el sistema de gestión de la seguridad de la información. La empresa mantendrá información documentada como prueba de los efectos de las revisiones de gestión.

10. Mejora

10.1 Incumplimiento y mejora de las medidas

Cuando se produce una no conformidad, la empresa:

10.1 a) reaccionar ante la no conformidad, y según proceda: 1) controlarla y corregirla; 2) afrontar las consecuencias;

10.1 b) Evaluar la demanda de medidas para eliminar las causas de la falta de conformidad, a fin de que no se repita o se produzca en otro lugar, mediante 1) examinar la no conformidad; 2) Definir las causas de la no conformidad; 3) definiendo si existen o podrían producirse no conformidades similares;

10.1 c) Aplicar cualquier medida que sea necesaria;

10.1 d) Evaluar la eficacia de toda medida de mejora adoptada;

10.1 e) Realizar ajustes en el sistema de gestión de la seguridad de la información si es necesario.

La empresa conservará la información documentada como prueba de ello:

La mejora de las acciones será adecuada a los efectos de las no conformidades encontradas.

10.1 f) El tipo de las faltas de conformidad y las medidas subsiguientes adoptadas, y

10.1 g) los resultados de cualquier acción de mejora.

10.2 Desarrollo continuo

La empresa desarrollará continuamente la idoneidad, la adecuación y la eficacia del sistema de gestión de la seguridad de la información.

Finalización

Comentarios/ Reconocimientos:

Nombre y firma del inspector:

Esta plantilla se descargó 2525 veces

Esta plantilla, proporcionada por Lumiform, sirve como un ejemplo hipotético y un punto de partida para las empresas que utilizan nuestra plataforma. No es un sustituto del asesoramiento profesional. Las empresas deben consultar a profesionales cualificados para asegurar la adecuación y legalidad de esta plantilla en su contexto específico. Lumiform no se hace responsable de los errores, omisiones o acciones tomadas basadas en esta plantilla.