ISO 27001 Chequeo de Cumplimiento

ISO 27001 Compliance Checklist
Referencia
Checklist Estandar
Area de Auditora, objectivo y pregunta

Seccin
Pregunta de Auditora
Resultado
Observaciones
Poltica de Seguridad
1.1
5.1
1.1.1
5.1.1
Polticas de Seguridad de Informacin

Existe una Poltica de Seguridad de la
Informacin, que es aprobada por la direccin,
publicada y comunicada segn proceda, a todos
los empleados?
Documento de la Poltica de
Establecen las polticas un compromiso de las
Seguridad de Informacin
Gerencias con relacin al mtodo de la
organizacin para la gestin de la seguridad de la
informacin?
Las polticas de seguridad son revisadas a
intervalos regulares, o cuando hay cambios
significativos para asegurar la adecuacin y
efectividad?
1.1.2
5.1.2
Las polticas de Seguridad de la Informacin tiene

un propietario, que ha aprobado la
responsabilidad de la gestin para el desarrollo,
revisin y evaluacin de la poltica de seguridad?
Administrador de
Seguridad, CISO (Chief
Information Security
Officer) o CSO (Chief
Security Officer).
Existen procedimientos de revisin de las

polticas de seguridad y estos incluyen
requerimientos para el manejo de su revisin?
Revisin Anual o cada vez

que haya cambios
importantes
Revisin de la Poltica de Seguridad
Los resultados del revisin de la gestin son

tenidos en cuenta?
Se obtiene la aprobacin de la alta gerencia con
relaci a las polticas revisadas?
Organization de la Seguridad de Informacin

2.1
6.1
2.11
6.11
Vinod Kumar
vinodjis@hotmail.com
Gestin de Compromiso con la

Si la gerencia demuestra soporte activo a las

medidas de seguridad dentro de la organizacin.
Esto puede ser realizado por direcciones claras,
compromiso demostrado, asignaciones explcitas
y conocimiento de las responsabilidades de la
seguridad de informacin.
Page 1
04/12/2016
2.1.2
6.1.2
2.1.3
6.1.3
2.1.4
6.1.4
2.1.5
6.1.5
Coordinacin de la Seguridad de
Informacin
Si las actividades de seguridad de informacin

son coordinadas por representantes de distintas
partes de la organizacin, con sus roles
pertinentes y responsabilidades.
Estn establecidas las responsabilidades de

Asignacin de Responsabilidades de proteccin de activos individuales y llevar a cabo
procesos de seguridad especficos que estn
claramente identificados y definidos?
Proceso de autorizacion de
instalaciones de Procesamiento de
Informacin
Acuerdos de Confidencialidad
Si el proceso de gestin de autorizacin est

definido e implementado para cada nuevo equipo
de procesamiento de informacin dentro de la
organizacin.
Si la organizacin necesita de confidencialidad o
Acuerdos de no Divulgacin para proteccin de
informacin que estn claramente definidos y
revisados peridicamente.
Hacer firmar acuerdos de

confidencialidad a los
empleados.
Tiene esta direccin la exigencia de proteger la

informacin confidencial utilizando trminos
legales exigibles?
2.1.6
6.1.6
Contacto con las Autoridades
2.1.7
6.1.7
Contacto con Grupos de Intereses

Especiales
2.1.8
6.1.8
Revisin Independiente sobre la

2.2
6.2
2.2.1
Existe algn procedimiento que describa cuando

y quienes deben contactar a las autoridades
competentes, departamento de bomberos, etc y
cmo deben reportarse los incidentes?
Existen los contactos apropiados con grupos
especiales de inters, foros de seguridad o
asociaciones profesionales relacionadas con la
seguridad?
Tiene la organizacin un enfoque sobre la gestin
de la seguridad de informacin, su
implementacin, revisin independiente a
intervalos regulares o cuando ocurran cambios
significativos?
Participacin en
colectividades o
asociaciones de seguridad
para estar actualizado
Partes Externas
6.2.1
Vinod Kumar
Identificacin de los riesgos

relacionados con partes externas
Los riesgos inherentes a equipos o sistemas de

informacin de terceros son identificados y luego
implementadas medidas de control apropiadas
antes de permitir el acceso?
Page 2
04/12/2016

2.2.2
6.2.2
2.2.3
6.2.3
Son identificados todos los requerimientos de

seguridad sean cumplidos antes de conceder
Abordar la seguridad al tratar con los
acceso a los clientes a los activos de la
clientes
organizacin?
Abordar la seguridad en acuerdos
con terceros
Los acuerdos con terceros incluyen accesos,

procesamiento, comunicaciones, manejo de la
informacin o equipos que involucren
almacenamiento de informacin que cumplan
con todos los requerimientos de seguridad?
Administracin de Activos
3.1
7.1
3.1.1
Responsibilidad por Activos

7.1.1
Inventario de Activos
3.1.2
7.1.2
Propiedad de Activos
3.1.3
7.1.3
Uso aceptable de Activos
3.2
7.2
3.2.1
Clasificacin de la Informacin
7.2.1
3.2.2
7.2.2
Directrices de Clasificacin
Son los activos debidamente identificados e

inventariados o se mantiene un registro de los
activos importantes?
Hardware, Software e
Informacin (PO2.3 Cobit)
Los activos tienen identificados a sus respectivos

propietarios y definidas con ellos clasificaciones
de datos y restricciones de acceso en base a la
criticidad, y estas restricciones revisadas
periodicamente?
Son identificadas, documentadas e
LOPD o similares.
implementadas todas las regulaciones existentes
con respecto al uso aceptable de informacin y
activos asociados con el procesamiento de
informacin?
La informacin es clasificada en terminos de su
valor, requerimientos legales, sensibilidad y
criticidad para la organizacin?
Son definidos conjuntos de procedimientos para

Etiquetado y manejo de informacin etiquetado y manejo de la informacin en
concordancia con el esquema de clasificacin
atoptado por la organizacin?
Seguridad de Recursos Humanos

4.1
8.1
4.1.1
Previo al Empleo
8.1.1
Vinod Kumar
Roles y Responsabilidades
Estn claramente definidos y documentados de

acuerdo a las polticas de seguridad de
informacin de la organizacin los roles y
responsabilidades de los empleados, contratistas
y terceros?
Page 3
04/12/2016

4.1.1
8.1.1
4.1.2
8.1.2
4.1.3
4.2
8.1.3
8.2
8.2.1
4.2.2
8.2.2
4.2.3
8.2.3
8.3
4.3.1
Proyeccin
Trminos y condiciones de empleo
Durante el Empleo
4.2.1
4.3
Roles y Responsabilidades
Son los roles y responsabilidades definidos

previamente, comunicados claramente a los
candidatos a empleo durante el proceso de pre
empleo?
Los controles de verificacin de antecedentes
para todos los candidatos a empleo, contratistas
y terceros, son llevados a cabo de acuerdo a las
regulaciones relevantes?
Incluye la verificacin referencias sobre el
carcter, confirmacin de titulos acadmicos,
cualidades profesionales y chequeos
independientes de identidad?
Son firmados con los empleados, contratistas y
terceros, contratos de confidencialidad y
acuerdos de no divulgacin como parte inicial de
los trminos y condiciones de contratos de
trabajo?
Art. 65 inciso "k" del

Cdigo Laboral. Artculos
147 y 149 del Cdigo
Penal - Paraguay.
Estos acuerdos y contratos cubren las

responsabilidades de seguridad de informacin
de la organizacin, los empleados, contratistas y
terceros?
La gestin requiere a los empleados, contratistas

Administracin de Responsabilidades y terceros a que apliquen la seguridad en
concordancia con las Polticas y Procedimientos
establecidos en la Organizacin?
Los empleados, contratistas y terceros reciben la
apropiada sensibilizacin, educacin y formacin
Sensibilizacin, educacin y
formacin sobre la Seguridad de la permanente sobre la Seguridad de Informacin
con respecto a sus funciones laborales
Informacin
especficas?
Existe un proceso disciplinario para aquellos
empleados que incumplen las polticas de
Proceso Disciplinario
seguridad?
Terminacin o Cambio de Empleo
8.3.1
Vinod Kumar
Responsabilidades de Terminacin
Las responsabilidades de procedimiento de

terminacin o cambio de empleo estn
claramente definidas y asignadas?
Page 4
04/12/2016
4.3.2
4.3.3
8.3.2
Retorno de activos
Existe un procedimiento a seguir con respecto a

asegurar que los empleados, contratistas y
terceros devuelvan los activos de la organizacin
que estn en su poder al terminar el contrato de
empleo?
8.3.3
Remocin de Derechos de Acceso

Lgico
Son removidos los derechos de acceso de todos

los empleados, contratistas y terceros a los
sistemas de informacin al termino de empleo o
adecuacin en caso de que cambien de funcin?
Eliminar todos los usuarios

al salir un empleado o
cuando cambia de puesto.
222+A59
5.1
5.2
9.1
Areas Seguras
5.1.1
9.1.1
Permetro de Seguridad Fsica
5.1.2
9.1.2
Controles Fsicos de Entrada
Las salas de servidores u otros equipos de

Aseguramiento de Oficinas, Salas de procesamiento (routers, switches, etc.), estn
Servidores e Instalaciones
apropiadamente resguardadas bajo llave o en
cabinas con llave?
Se tienen implementadas protecciones o
resguardos contra fuego, inundaciones,
temblores, explosiones, manifestaciones y otras
formas de desastres naturales o provocadas por
Proteccin contra Amenazas
el hombre?
Exteriores y Ambientales/Climticas
Existe alguna amenaza potencial en los locales
vecinos del lugar donde se encuentran las
instalaciones?
Se tienen procedimientos designados e
5.1.3
9.1.3
5.1.4
9.1.4
5.1.5
9.1.5
Trabajando en Areas Seguras
5.1.6
9.1.6
Zonas de Acceso Pblico, Entrega y

Descarga
9.2
Vinod Kumar
Existen mecanismos de control de acceso

implementados con respecto al acceso a los
sitios de procesamiento de informacin? Algunos
ejemplos son controles biomtricos, tarjetas de
acceso, separacin por muros, control de
visitantes, etc.
Existen controles de acceso de tal modo a que
solo las personas autorizadas puedan ingresar a
las distintas areas de la organizacin?
Verificar locales de
posibles problemas en las
cercanas en caso de
conflictos.
implementados sobre como trabajar en las areas

seguras?
Con respecto a las zonas de acceso pblico,
entrega, descarga donde personas no
autorizadas pueden acceder, las zonas de
procesamiento de informacin y equipos
delicados son aislados y asegurados para
prevenir el acceso no autorizado?
Equipamiento de Seguridad
Page 5
04/12/2016

5.2.1
9.2.1
Los equipos son protegidos para reducir los

Equipamiento y Proteccin del Sitio riesgos de daos ambientales y oportunidades de
acceso
no autorizado?
Los equipos
son protegidos contra fallas
elctricas y otras fallas que pudieran tener
(redundancia)?
5.2.2
5.2.3
9.2.2
9.2.3
Utilidades Soportadas
Cableado de Seguridad
Que mecanismos de proteccin elctrica son

utilizados? Alimentacin multiple, UPS, generador
de backup, etc?
Los cables de suministro elctrico y
comunicaciones son debidamente protegidos
contra intercepcin y/o daos?
Existen controles adicionales de seguridad con
respecto al transporte de informacin crtica? Por
ej. Encriptado en las comunicaciones.
Se realiza mantenimiento peridico de los
equipos de modo a asegurar la continua
disponibilidad
e integridad?
En
la realizacin
de mantenimientos, son
respetados los intervalos y recomendaciones de
los fabricantes?
5.2.4
9.2.4
Mantenimiento de Equipos
Los mantenimientos son realizados unicamente

por personal capacitado y autorizado?
Los logs de alertas de los equipos, son revisados
periodicamente para detectar y corregir posibles
fallas en los mismos? (principalmente fallas en
discos)
Se aplican los controles adecuados cuando se
envan los equipos fuera de la organizacin?
No deben contener
informacin confidencial.
Todos los equipos estn cubiertos por plizas de

seguro y los requerimientos de la Compaa de
Seguros estn apropiadamente realizados?
5.2.5
9.2.5
Vinod Kumar
Existen mecanismos de control y mitigacin de

riesgos implementados con relacin a equipos
utilizados fuera de la organizacin? (encripcin
Aseguramiento de Equipos fuera de de discos de las notebooks, seguro, etc.)
las Oficinas
En caso de utilizacin de equipos fuera de la
organizacin, estos cuentan con la autorizacin
respectiva de las gerencias?
Page 6
Utilizar encripcin de los

datos de las notebooks
(Truecrypt es gratuito y
muy bueno)
04/12/2016
5.2.6
9.2.6
Disposiciones de Seguridad de
Reutilizacin de Equipos
5.2.7
9.2.7
Autorizaciones de Sacar Equipos
Cuando se disponga la reutilizacin de equipos o

cuando sean dados de baja, son verificados los
medios de almacenamiento con respecto a datos
y software licenciado y luego destruidos
totalmente antes de su entrega?
Existen controles implementados con respecto a
que ningn equipo, informacin y software sea
sacado de la organizacin sin la autorizacin
respectiva?
Gestin de Comunicaciones y Operaciones

6.1
10.1
Procedimientos y Responsabilidades Operativas
6.1.1
10.1.1
Documentacin de Procedimientos
Operativos
6.1.2
10.1.2
Manejo de Cambios
6.1.3
10.1.3
Segregacin de Tareas
6.1.4
6.2
10.1.4
10.2
6.2.1
6.2.2
10.2.1
10.2.2
Vinod Kumar
Los procedimientos operativos son

documentados, actualizados y estn disponibles
para todos los usuarios que puedan necesitarlos?
Dichos procedimientos son tratados como
documentos formales y cualquier cambio en los
mismos
necesitatodos
la autorizacin
pertinente?
Son
controlados
los cambios
en los
sistemas y equipos de procesamiento de
informacin?
Son separadas las tareas y responsabilidades de
modo a reducir las oportunidades de
modificacin o mal uso de los sistemas de
informacin?
Los equipos de desarrollo y pruebas estn

separados de los equipos operacionales? Por
Separacin de desarrollo, test e
ejemplo desarrollo de software debe estar en un
instalaciones operativas
equipo separado del de produccin. Cuando sea
necesario, incluso deben estar en segmentos de
red distintos unos del otro.
Manejo de Entrega de Servicios Tercerizados
Entrega de Servicios
Monitoreo y revisin de servicios

tercerizados
Separar ambientes y
ponerlos en VLANes
distintas que no se vean
entre s. Los datos de
desarrollo deben ser
ilegibles.
Existen medidas que son tomadas para asegurar

que los controles de seguridad, niveles de
servicio y entrega sean incluidos y verificados en
los contratos de servicios con terceros, as como
su
peridica
de cumplimiento?
Sonrevisin
los servicios,
reportes
y registros provedos
por teceros regularmente monitoreados y
revisados?
Existen controles de auditora que son realizados
a intervalos regulares sobre los servicios,
reportes y registros suministrados por terceros?
Page 7
04/12/2016
6.2.3
6.3
10.2.3
10.3
6.3.1
6.3.2
6.4
10.3.1
10.3.2
10.4
6.4.1
10.4.1
Manejo de Cambios de servicios

tercerizados
Se gestionan los cambios en la provisin de

servicios, incluyendo mantenimiento y la mejora
en las polticas de seguridad de informacin
existentes,
procedimientos
y controles?
Se tienen en
cuenta sistemas
de negocio crticos,
procesos involucrados y re-evaluacin de

riesgos?
Planeamiento y Aceptacin de Sistemas
Gestin de la Capacidad
La capacidad de procesamiento de los sistemas

son monitoreados en base a la demanda y
proyectados en base a requerimientos futuros, de
modo a asegurar que la capacidad de proceso y
almacenamiento estn disponibles?
Ejemplo: Monitoreo de espacio en disco, Memoria
RAM, CPU en los servidores crticos.
Aceptacin de Sistemas
Son establecidos criterios de aceptacin para

nuevos sistemas de informacin, actualizaciones
y nuevas versiones?
Son realizadas pruebas antes
de la aceptacin de los mismos?
Proteccin contra cdigo malicioso y mvil

Controles contra cdigo malicioso
Existen controles para deteccin, prevencin y

recuperado contra cdigo malicioso y son
desarrollados e implementados procedimientos
apropiados de advertencia a los usuarios?
En caso de necesitarse cdigo mvil, este solo
debe utilizarse una vez que haya sido autorizado.
6.4.2
6.5
10.4.2
10.5
Vinod Kumar
Controles contra cdigo movil
Las configuraciones del cdigo mvil autorizado

deben realizarse y operarse de acuerdo a las
Polticas de Seguridad. La ejecucin del cdigo
mvil no autorizado, debe prevenirse.
(Cdigo Mvil es cdigo de software que se
transfiere de una computadora a otra y que se
ejecuta automticamente. Realiza una funcin
especfica con muy poca o casi ninguna
intervencin del usuario. El cdigo mvil est
asociado a un gran nmero de servicios de
middleware)
Copias de Respaldo
Page 8
04/12/2016
6.5.1
6.6
10.5.1
10.6
Respaldo de la Informacin
10.6.1
Controles de Red
6.6.2
10.6.2
Seguridad en los Servicios de Red
10.7
6.7.1
10.7.1
Toda la informacin y el software esencial puede

ser recuperado en caso de ocurrencia de un
desastre o fallo de medios?
Ver donde se va a
recuperar el backup en
caso de desastre.
Administracin de la Seguridad
de la Red
6.6.1
6.7
Se realizan copias de respaldo de la informacin

y software y son testeados regularmente en
conconrdancia con las polticas de backup?
Manejo de Medios
Manejo de medios removibles
La red es adecuadamente administrada y

controlada para protegerse de tretas y en orden a
mantener la seguridad de los sistemas y
aplicaciones en uso a traves de la red, incluyendo
la informacin en transito?
Existen controles implementados para asegurar
el transito de la informacin en la red y evitar
que esta sea leda o accesada de forma no
autorizada?
Las caractersticas de seguridad, niveles de
servicio y requerimientos de administracin de
todos los servicios de red son identificados e
incluidos en cualquier acuerdo de servicio de
red?
La capacidad del proveedor de servicios de red
de proporcionar los servicios de forma segura, es
determinada y regularmente monitoreada y se
tienen derechos de auditora acordada para
medir niveles de servicio?
Existen procedimientos para el manejo de
medios removibles como cintas, diskettes,
tarjetas de memoria, lectores de CD, pendrives,
etc.?
Los procedimientos y niveles de autorizacin
estn claramente definidos y documentados?
6.7.2
6.7.3
10.7.2
Disposicin de los medios
10.7.3
Procedimientos de manejo de la
informacin
Vinod Kumar
En caso de que los medios ya no sean

requeridos, estos son eliminados de forma segura
bajo procedimientos formalmente establecidos?
Existen procedimientos para el manejo del
almacenamiento de la informacin?
Page 9
04/12/2016

6.7.3
10.7.3
6.7.4
10.7.4
6.8
10.8
Procedimientos de manejo de la
informacin
Seguridad en la Documentacin de
los Sistemas
Intercambio de Informacin
6.8.1
10.8.1
Polticas y Procedimientos de
intercambio de informacin
6.8.2
10.8.2
Acuerdos de Intercambio
6.8.3
10.8.3
6.8.4
10.8.4
6.8.5
10.8.5
6.9
10.9
6.9.1
10.9.1
Vinod Kumar
Medios fsicos en transito
Mensajera Electrnica
Aborda este procedimiento temas como:

proteccin de la informacin contra acceso no
autorizado
o mal uso?
La documentacin
de los sistemas est protegida
contra acceso no autorizado?
Existe una poltica formal, procedimientos y/o
controles aplicados para asegurar la proteccin a
la informacin?
Estos procedimientos y controles cubren el uso
de equipos de comunicacin electrnica en el
intercambio de informacin?
Existen acuerdos de intercambio de informacin
y software entre la organizacin y partes
externas?
El contenido de los acuerdos con respecto a la
seguridad refleja la sensibilidad y criticidad de la
informacin de negocio envuelta en el proceso?
Los medios fsicos que contengan informacin es
protegida contra acceso no autorizado, mal uso o
corrupcin de datos durante el transporte entre
las organizaciones?
La informacin que se enva por mensajera
electrnica es bien protegida?
(Mensajera Electrnica incluye pero no es
restringida solamente a email, intercambio
electrnico de datos, mensajera instantanea,
etc.)
Las polticas y procedimientos son desarrolladas

Sistema de informacin empresarial y tendientes a fortalecer la proteccin de
informacin asociada con la interconexin de
sistemas de negocio?
Servicios de Comercio Electrnico
La informacin envuelta en el comercio
electrnico cruza a travs de redes publicas y
est protegida contra actividades fraudulenteas,
posibles disputas contractuales o cualquier
acceso no autorizado que permita lectura o
manipulacin de esos datos?
Comercio Electrnico
En los controles de seguridad son tenidos en
cuenta la aplicacin de controles criptogrficos?
Page 10
Correos importantes que

van afuera deben ser
encriptados GPG, y lo
dems por VPNs.
No permitir conexiones a
travs de redes pblicas
sin encripcin.
04/12/2016
6.9.1
10.9.1
Comercio Electrnico

El comercio electrnico entre los socios
comerciales incluyen un acuerdo, que
compromete a ambas partes a la negociacin de
los trminos convenidos, incluidos los detalles de
las cuestiones de seguridad?
6.9.2
10.9.2
6.9.3
10.9.3
6.10
6.10.1
10.10
10.10.1
La informacin envuelta en transacciones en

lnea est protegida contra transmisiones
Transacciones On-line
incompletas, mal ruteo, alteracin de mensajera,
divulgacin no autorizada, duplicacin no
autorizada o replicacin?
La integridad de la informacin disponible
Informacin disponible pblicamente publicamente est protegida contra modificacin
no autorizada?
Monitoreo
Registros de Auditora
Procesadores de POS,
Homebanking, etc.
Proteccin de datos de la
pgina web.
Los registros de auditora que guardan la

actividad de los usuarios, excepciones, eventos
de seguridad de informacin que ocurren, se
guardan por un periodo razonable de tiempo de
tal modo a poder realizar investigaciones futuras
y monitoreo de acceso?
Se tienen en consideracin medidas de
proteccin a la privacidad en el mantenimiento
de registros de auditora?
Son desarrollados procedimientos de monitoreo
de equipos de procesamiento de datos?
6.10.2
10.10.2
Uso de Sistemas de Monitoreo
El resultado de la actividad de monitoreo es

revisada regularmente de forma peridica?
Los niveles de monitoreo requeridos por los
equipos de procesamiento de informacin son
determinados por un anlisis de riesgos?
6.10.3
10.10.3
Proteccin de los Logs
6.10.4
10.10.4
Log de actividades de
Administradores y Operadores
6.10.5
10.10.5
Vinod Kumar
Registro de Fallas
Los equipos que contienen los registros y logs de

auditora son bien protegidos contra posibles
manipulaciones
y acceso
no autorizado?y
Las actividades de
los Administradores
Operadores de sistemas son registradas en los
logs?
Son revisados regularmente los logs?
Las fallas son registradas en logs, y luego
analizadas y acciones apropiadas realizadas en
consecuencia?
Page 11
04/12/2016

6.10.5
6.10.6
10.10.5
10.10.6
Registro de Fallas
Sincronizacin de relojes
Los niveles de registros en logs requeridos para

cada sistema individual son determinados en
base a anlisis de riesgos y la degradacin de
performance es tenida en cuenta?
Los relojes de todos los sistemas de informacin
estn sincronizados en base a una misma fuente
de tiempo exacta acordada?
(La correcta sincronizacin de los relojes es
importante para asegurar la cronologa de
eventos en los logs)
Access Control
7.1
11.1
Requerimientos del Negocio para Control de Acceso

Las polticas de control de acceso son
desarrolladas y revisadas basadas en los
requerimientos de seguridad del negocio?
7.1.1
11.1.1
Poltica de Control de Acceso
Los controles de acceso tanto fsico como lgico

son tenidos en cuenta en las polticas de control
de acceso?
Tanto a los usuarios como a los proveedores de
servicios se les dio una clara declaracin de los
requisitos de la empresa en cuanto a control de
acceso?
7.2
11.2
Administracin de Accesos de Usuarios
7.2.1
11.2.1
Registracin de Usuarios
7.2.2
11.2.2
Gestin de Privilegios
7.2.3
11.2.3
Administracin de Contraseas de
Usuarios
Existe algn procedimiento formal de altas/bajas

de usuarios para acceder a los sistemas?
La asignacin y uso de privilegios en los sistemas
de informacin, es restringida y controlada en
base a las necesidades de uso y dichos
privilegios son solo otorgados bajo un esquema
formal de autorizacin?
La asignacin y reasignacin de contraseas
debe controlarse a travs de un proceso de
gestin
formal.a los usuarios que firmen un
Se les solicita
acuerdo de confidencialidad del password?
Revisin de Roles de Usuarios

7.2.4
11.2.4
Vinod Kumar
Existe un proceso de revisin de privilegios y

derechos de acceso a intervalos regulares. Por
ejemplo: Privilegios especiales cada 3 meses,
privilegios normales cada 6 meses?
Page 12
04/12/2016

7.3
11.3
7.3.1
11.3.1
Responsabilidades de Usuarios
Uso de Password
7.3.2
11.3.2
Equipos desatendidos de Usuarios
7.3.3
11.3.3
Poltica de Escritorio Limpio y

Pantalla Limpia
7.4
11.4
7.4.1
11.4.1
Existe alguna prctica de seguridad en el sitio

para guiar a la seleccin y mantenimiento de
contraseas seguras?
Los usuarios y terceros son concientes de los
requisitos de seguridad y procedimientos para
proteger los equipos desatendidos?
Por ejemplo: Salir del sistema cuando las
sesiones son terminadas o configurar terminacin
automtica de sesiones por tiempo de
inactividad, etc.
La organizacin ha adoptado una poltica de
escritorio limpio con relacin a los papeles y
dispositivos de almacenamiento removibles?
La organizacin ha adoptado una poltica de
pantalla limpia con relacin a los equipos de
procesamiento de informacin?
Control de Acceso a la Red
Polticas sobre Servicios de Red
Se le provee a los usuarios acceso unicamente a

los servicios de red a los cuales han sido
autorizados especficamente?
Existen polticas de seguridad relacionadas con la
red y los servicios de red?
7.4.2
7.4.3
7.4.4
7.4.5
11.4.2
11.4.3
11.4.4
11.4.5
Vinod Kumar
Autenticaciones de Usuarios para

conexiones externas
Identificacin de equipamientos en
la red
Son utilizados mecanismos apropiados de

autenticacin para controlar el acceso remoto de
los usuarios?
Son considerados equipos de identificacin
automtica para autenticar conexiones desde
equips y direcciones especficas?
Los accesos fsicos y lgicos a puertos de

Diagnstico Remoto y configuracin
diagnstico estn apropiadamente controlados y
de proteccin de puertos
protegidos
mecanismos
de seguridad?
Los grupos por
de servicios
de informacin,
usuarios
y sistemas de informacin son segregados en la
red?
La red (desde donde asociados de negocios o
terceros necesitan acceder a los sistemas de
informacin) es segregada utilizando
Segregacin en la Red
mecanismos de seguridad perimetral como
firewalls?
Page 13
04/12/2016
7.4.5
7.4.6
7.4.7
11.4.5
11.4.6
11.4.7
7.5
11.5
7.5.1
11.5.1
Segregacin en la Red
Control de Conexiones de Red
Control de Ruteo de Red
En la segregacin de la red son hechas las

consideraciones para separar las redes wireles en
internas y privadas?
Existe una poltica de control de acceso que
verifique conexiones provenientes de redes
compartidas, especialmente aquellas que se
extienden mas all de los lmites de la
organizacin?
Existen polticas de control de acceso que
establezcan los controles que deben ser
realizados a los ruteos implementados en la red?
Los controles de ruteo, estn basados en

mecanismos de identificacin positiva de origen
y destino?
Controles de Acceso a Sistemas Operativos
Los accesos a sistemas operativos son
controlados por procedimientos de log-on
Procedimientos de log-on seguro
seguro?
Un nico identificador de usuario (user ID) es
provedo a cada usuario incluyendo operadores,
administradores
de sistemas
otros
tcnicos?
Se eligen adecuadas
tcnicasyde
autenticacin
7.5.2
11.5.2
Identificacin y Autenticacin de
Usuarios
7.5.3
11.5.3
Gestin de Contraseas
7.5.4
11.5.4
Utilidades de Uso de Sistemas
Vinod Kumar
para demostrar la identidad declarada de los

usuarios?
El uso de cuentas de usuario genricas son
suministradas slo en circunstancias especiales
excepcionales, donde se especifcan los
beneficios claros de su utilizacin. Controles
adicionales pueden ser necesarios para mantener
la seguridad.
Existe un sistema de gestin de contraseas que
obliga al uso de controles como contrasea
individual para auditora, periodicidad de
caducidad, complejidad mnima, almacenamiento
encriptado, no despliegue de contraseas por
pantalla, etc.?
En caso de existir programas utilitarios capaces
de saltarse los controles de aplicaciones de los
sistemas, estos estn restringidos y bien
controlados?
Page 14
04/12/2016
7.5.5
7.5.6
7.6
11.5.5
11.5.6
11.6
Expiracin de Sesiones
Existen restricciones limitando el tiempo de

conexin de aplicaciones de alto riesgo? Este tipo
Limitacin de tiempo de conexin de configuraciones debe ser considerada para
aplicaciones sensitivas cuyas terminales de
acceso se encuentran en lugares de riesgo.
Control de Acceso a las Aplicaciones y a la Informacin
7.6.1
11.6.1
Restriccin de Acceso a la
Informacin
7.6.2
11.6.2
Aislamiento de Sistemas Sensibles
7.7
11.7
7.7.1
11.7.1
Las aplicaciones son cerradas luego de un

periodo determinado de inactividad?
(Un tiempo determinado de inactividad puede ser
determinado por algunos sistemas, que limpian
la pantalla para prevenir acceso no autorizado,
pero no cierra la aplicacin o las sesiones de red)
El acceso a la informacin y los sistemas de

aplicaciones por parte los usuarios y personal de
soporte, est restringido en concordancia con las
polticas de control de acceso definidas?
Aquellos sistemas considerados sensibles, estn
en ambientes aislados, en computadoras
dedicadas para el efecto, con recursos
compartidos con aplicaciones seguras y
confiables, etc?
Computacin Mvil y Teletrabajo
Computacin Mvil y
Comunicaciones
Existe una poltica formal y medidas apropiadas

de seguridad adoptadas para protegerse contra
riesgo de utilizacin de computacin mvil y
equipos de comunicacin?
Algunos ejemplos de computacin mvil y
equipos de telecomunicacin incluyen:
notebooks, palmtops, laptops, smart cards,
celulares.
Encripcin de discos en las

notebooks
Son tenidos en cuenta los riesgos tales como

trabajar en ambientes no protegidos en cuanto a
las polticas de computacin mvil?
7.7.2
11.7.2
Teletrabajo
Vinod Kumar
Se desarrollan e implementan polticas, planes

operativos y procedimientos con respecto a
tareas de teletrabajo?
Las actividades de teletrabajo, son autorizadas y
controladas por las gerencias y existen
mecanismos adecuados de control para esta
forma de trabajo?
Page 15
04/12/2016

Desarrollo, Adquisicin y Mantenimiento de Sistemas de Informacin
8.1
12.1
Requerimientos de Seguridad de los Sistemas de Informacin

Los requerimientos de seguridad para nuevos
sistemas de informacin y fortalecimiento de los
sistemas existentes, especifican los
requerimientos para los controles de seguridad?
8.1.1
8.2
12.1.1
12.2
Anlisis y Especificaciones de
Rquerimientos de Seguridad
Procesamiento Correcto en Aplicaciones

Los datos introducidos a los sistemas, son
validados para asegurar que son correctos y
apropiados?
8.2.1
12.2.1
Validacin de Datos de Entrada
8.2.2
12.2.2
Control de Procesamiento Interno
8.2.3
12.2.3
Vinod Kumar
Los requerimientos y controles identificados

reflejan el valor econmico de los activos de
informacin envueltos y las consecuencias de un
fallo de seguridad?
Los requerimientos para la seguridad de
informacin de los sistemas y prcesos para
implementar dicha seguridad, son integrados en
las primeras etapas de los proyectos de
sistemas?
Integridad de Mensajera
Los controles tales como: Diferentes tipos de

mensajes de error para datos mal ingresados,
Procedimientos para responder a los errores de
validacin, definicin de responsabilidades para
todo el personal envuelto en la carga de datos,
etc.
son considerados?
Son incorporadas
validaciones en las aplicaciones
para detectar/prevenir que puedan ser
ingresados datos no vlidos por error o
deliberadamente?
Se tiene en cuenta en el diseo y la
implementacin de las aplicaciones que el riesgo
de falllas en el procesamiento que conduzcan a
perdida de integridad de datos sea minimizado?
Los requerimientos para aseguramiento y
proteccin de la integridad de los mensajes en
las aplicaciones, son debidamente identificados e
implementados los controles necesarios?
Si una evaluacin de riesgos de seguridad se
llev a cabo para determinar si es necesaria la
integridad del mensaje, y para determinar el
mtodo ms apropiado de aplicacin.
Page 16
04/12/2016
8.2.4
8.3
12.2.4
12.3
Validacin de Datos de Salida
Los sistemas de aplicaciones de salida de datos,

son validados para asegurar que el
procesamiento de informacin almacenada sea
correcta y apropiada a las circustancias?
Controles Criptogrficos
La organizacin posee polticas de uso de
controlec criptogrficos para proteccin de la
informacin? Estas polticas son implementadas
con xito?
8.3.1
12.3.1
Polticas de Uso de Controles

Criptogrficos
La poltica criptogrfica considera el enfoque de

gestin hacia el uso de controles criptogrficos,
los resultados de la evaluacin de riesgo para
identificar nivel requerido de proteccin, gestin
de claves y mtodos de diversas normas para la
aplicacin efectiva?
La administracin de claves se utiliza
efectivamente para apoyar el uso de tcnicas
criptogrficas en la organizacin?
8.3.2
12.3.2
Manejo de Claves
Las claves criptogrficas estn protegidas

correctamente contra modificacin, prdida y/o
destruccin?
Las claves pblicas y privadas estn protegidas
contra divulgacin no autorizada?
Los equipos utilizados para generar o almacenar
claves, estn fsicamente protegidos?
8.4
12.4
8.4.1
8.4.2
12.4.1
12.4.2
Vinod Kumar
Los sistemas de administracin de claves, estn

basados en procedimientos estandarizados y
seguros?
Seguridad de los Archivos de Sistemas
Control de Software Operativo
Proteccin de Datos de Prueba de

Sistemas
Existen procedimientos para controlar la

instalacin de software en los sistemas
operativos (Esto es para minimizar el riesgo de
corrupcin de los sistemas operativos)
Los sistemas de testeo de datos, estn
debidamente protegidos y controlados?
La utilizacin de informacin personal o cualquier
informacin sensitiva para propsitos de testeo,
est prohibida?
Page 17
04/12/2016

8.4.3
8.5
12.4.3
12.5
8.5.1
8.5.2
8.5.3
12.5.1
Existen controles estrictos de modo a restringir el

acceso al cdigo fuente? (esto es para prevenir
posibles cambios no autorizados)
Seguridad en el Desarrollo y Servicios de Soporte
Control de Acceso a Cdigo Fuente
Procedimientos de Control de
Cambios
Existen procedimientos de control estricto con

respecto a cambios en los sistemas de
informacin? (Esto es para minimizar la posible
corrupcin de los sistemas de informacin)
Estos procedimientos aborda la necesidad de
evaluacin de riesgos, anlisis de los impactos de
los cambios?
12.5.2
Revisin Tcnica de Aplicaciones

luego de Cambios en el Sistema
Operativo
Existen procesos a seguir o procedimientos para

revisin y testeo de las aplicaciones crticas de
negocio y seguridad, luego de cambios en el
Sistema Operativo? Peridicamente, esto es
necesario cada vez que haya que hacer un
parcheo o upgrade del sistema operativo.
12.5.3
Restricciones en Cambios de
Paquetes de Software
Las modificaciones a los paquetes de software,

son desalentadas o limitadas extrictamente a los
cambios mnimos necesarios?
controlados?
Existen controles para prevenir la fuga de
informacin?
8.5.4
8.5.5
8.6
12.5.4
12.5.5
12.6
Vinod Kumar
Fuga de Informacin
Desarrollo de Software Tercerizado
Controles tales como escaneo de dispositivos de

salida, monitoreo regular del personal y
actividades permitidas en los sistemas bajo
regulaciones locales, monitoreo de recursos, son
considerados?
El desarrollo de software tercerizado, es
supervisado y monitoreado por la organizacin?
Controlar aplicaciones y
disclaimer contractual
Puntos como: Adquisicin de licencias, acuerdos

de garanta, requerimientos contractuales de
calidad asegurada, testeo antes de su instalacin
definitiva, revisin de cdigo para prevenir
troyanos, son considerados?
Revisin de los contratos

para tener en cuenta los
Service Level Agreements
(Acuerdos de Niveles de
Servicio).
Gestin de Vulnerabilidades Tcnicas
Page 18
04/12/2016
8.6.1
12.6.1
Control de Vulnerabilidades Tcnicas
Se obtiene informacin oportuna en tiempo y

forma sobre las vulnerabilidades tcnicas de los
sistemas de informacin que se utilizan?
La organizacin evala e implementa medidas
apropiadas de mitigacin de riesgos a las
vulnerabilidades a las que est expuesta?
Gestin de Incidentes de Seguridad de Informacin

9.1
13.1
9.1.1
13.1.1
Reportando Eventos de Seguridad y Vulnerabilidades

Los eventos de seguridad de informacin, son
reportados a travs de los canales
Reportando Eventos de Seguridad de correspondientes lo ms rpido posible?
la Informacin
Son desarrollados e implementados
procedimientos formales de reporte, respuesta y
escalacin en incidentes de seguridad?
9.1.2
9.2
13.1.2
13.2
9.2.1
9.2.2
13.2.1
13.2.2
Vinod Kumar
Reportando Vulnerabilidaes de la
Seguridad
Existen procedimientos que aseguren que todos

los empleados deben reportar cualquier
vulnerabilidad en la seguridad en los servicios o
sistemas de informacin?
Gestin de Incidentes de Seguridad de la Informacin y Proceso de Mejoras

Estn claramente establecidos los
procedimientos y responsabilidades de gestin
para asegurar una rpida, efectiva y ordenada
respuesta a los incidentes de seguridad de
informacin?
Responsabilidades y Procedimientos Es utilizado el monitoreo de sistemas, alertas y
vulnerabilidades para detectar incidentes de
seguridad?
Los objetivos de la gestin de incidentes de
seguridad de informacin, estn acordados con
las gerencias?
Aprendiendo de los Incidentes de

Seguridad de la Informacin
Existen mecanismos establecidos para identificar

y cuantificar el tipo, volumen y costo de los
incidentes de seguridad?
La informacin obtenida de la evaluacin de
incidentes de seguridad que ocurrieron en el
pasado, es utilizada para determinar el impacto
recurrente de incidencia y corregir errores?
Page 19
04/12/2016

Si las medidas de seguimiento contra una
persona u organizacin despus de un incidente
de seguridad de la informacin implica una
accin legal (ya sea civil o penal)
9.2.3
13.2.3
Recoleccin de Evidencia
Las evidencias relacionadas con incidentes, son

recolectadas, retenidas y presentadas conforme
las disposiciones legales vigentes en las
jurisdicciones pertinentes?
Los procedimientos internos son desarrollados y
seguidos al pi de la letra cuando se debe
recolectar y presentar evidencia para propsitos
disciplinarios dentro de la organizacin?
Gestin de la Continuidad del Negocio

10.1
14.1
Aspectos de Seguridad en la Gestin de la Continuidad del Negocio

Existen procesos que direccionan los
requerimientos de seguridad de informacin para
el desarrollo y mantenimiento de la Continuidad
del Negocio dentro de la Organizacin?
Incluyendo Seguridad en el Proceso
Estos procesos, entienden cuales son los riesgos
de Gestin de Continuidad del
que la organizacin enfrenta, identifican los
Negocio
activos crticos, los impactos de los incidentes,
consideran la implementacin de controles
preventivos adicionales y la documentacin de
los Planes de Continuidad del Negocio
direccionando los requerimientos de seguridad?
10.1.1
14.1.1
10.1.2
14.1.2
Continuidad del Negocio y

Evaluacin de Riesgos
10.1.3
14.1.3
Desarrollo e Implementacin de
Planes de Continuidad incluyendo
Vinod Kumar
Los eventos que puedan causar interrupcin al

negocio, son identificados sobre la base de
probabilidad, impacto y posibles consecuencias
para la seguridad de informacin?
Son desarrollados planes para mantener y
restaurar las operaciones de negocio, asegurar
disponibilidad de informacin dentro de un nivel
aceptable y en el rango de tiempo requerido
siguiente a la interrupcin o falla de los procesos
de negocio?
Page 20
04/12/2016

10.1.3
14.1.3
10.1.4
14.1.4
Desarrollo e Implementacin de
Planes de Continuidad incluyendo
Business continuity planning

framework
Considera el Plan, la identificacin y acuerdo de

responsabilidades, identificacin de prdida
aceptable, implementacin de procedimientos de
recuperacin y restauracin, documentacin de
procedimientos y testeo peridico realizado
regularmente?
Existe un marco nico del Plan de Continuidad de
Negocios?
Este marco, es mantenido regularmente para
asegurarse que todos los planes son consistentes
e identifican prioridades para testeo y
mantenimiento?
El Plan de Continuidad del Negocio direccionan
los requerimientos de seguridad de informacin
identificados?
10.1.5
14.1.5
Los Planes de Continuidad del Negocio, son

probados regularmente para asegurarse de que
estn actualizados y son efectivos?
Los tests de planes de continuidad de negocio,
Prueba, Mantenimiento y
aseguran que todos los miembros del equipo de
Reevaluando Planes de Continuidad recuperacin y otros equipos relevantes sean
del Negocio
advertidos del contenido y sus responsabilidades
para la continuidad del negocio y la seguridad de
informacin, son concientes de sus roles y
funciones dentro del plan cuando este se
ejecuta?
Cumplimiento
11.1
11.1.1
15.1
15.1.1
Vinod Kumar
Cumplimiento con Requerimientos Legales
Identificacin de Legislacin
Aplicable
Todas las leyes relevantes, regulaciones,

requerimientos contractuales y organizacionales
son tenidos en cuenta de modo a que estn
documentados para cada sistema de informacin
en la organizacin?
Los controles especficos y responsabilidades
individuales de modo a cumplir con estos
requerimientos, son debidamente definidos y
documentados?
Page 21
04/12/2016
11.1.2
11.1.3
15.1.2
15.1.3
Derechos de Propiedad Intelectual
Proteccin de los Registros de la

Organizacin
Existen procedimientos para asegurar el

cumplimiento de los requerimientos legales,
regulatorios y contractuales sobre el uso de
materiales y software que estn protegidos por
derechos de propiedad intelectual?
implementados?
Controles tales como: Poltica de Cumplimiento
de Derechos de Propiedad Intelectual,
Procedimientos de Adquisicin de Software,
Poltica de concientizacin, Mantenimiento de
Prueba de la Propiedad, Cumplimiento con
Trminos y Condiciones, son consideradas?
Los registros importantes de la organizacin
estn protegidos contra prdida, destruccin y
falsificacin en concordancia con los
requerimientos legales, regulatorios,
contractuales y de negocio?
Estn previstas las consideracines con respecto
al posible deterioro de medios de
almacenamiento utilizados para almacenar
registros?
Musica mp3, imgenes,

libros, software, etc.
Backup y Auditora
Unidades de Cintas que ya
no tienen repuestos,
Storage de Discos fallan y
ya no hay.
Los sistemas de almacenamiento son elegidos de

modo a que los datos requeridos puedan ser
recuperados en un rango de tiempo aceptable y
en el formato necesario, dependiendo de los
requerimientos a ser cumplidos?
11.1.4
11.1.5
15.1.4
15.1.5
Vinod Kumar
La proteccin de los datos y la privacidad, estn

Proteccin de los Datos y privacidad asegurados por legislaciones relevantes,
de los datos personales
regulaciones y si son aplicables, por clusulas
contractuales?
El uso de instalaciones de proceso de informacin
Prevencin del maluso de las

instalaciones de procesamiento
para cualquier propsito no autorizado o que no

sea del negocio, sin la aprobacin pertinente, es
tratada como utilizacin impropia de las
instalaciones?
Los mensajes de alerta de ingreso, son
desplegados antes de permitir el ingreso a la red
o a los sistemas? El usuario tiene conocimiento
de las alertas y reacciona apropiadamente al
mensaje en pantalla?
Page 22
04/12/2016
11.1.5
15.1.5
Prevencin del maluso de las

instalaciones de procesamiento
ISO
27001 Compliance Checklist

Es realizado un asesoramiento jurdico, antes de
aplicar cualquier procedimiento de monitoreo y
control?
11.1.6
11.2
11.2.1
11.2.2
11.3
11.3.1
15.1.6
15.2
15.2.1
15.2.2
15.3
15.3.1
Los controles criptogrficos son usados en

cumplimiento de los acuerdos contractuales
establecidos, leyes y regulaciones?
Cumplimiento con las polticas, estndares y regulaciones tcnicas
Regulacin de Controles
Criptogrficos
Cumplimiento con Polticas de

Seguridad y Estndares
Chequeo de Cumplimiento Tcnico
Los Administradores se aseguran que todos los

procedimientos dentro de su area de
responsabilidad, se llevan a cabo correctamente
para lograrl el cumplimiento de las normas y
polticas
de seguridad?
Los Administradores,
revisan regularmente el
cumplimiento de las instalaciones de
procesamiento de informacin dentro del area de
su responsabilidad de modo a cumplir con los
procedimientos y polticas de seguridad
pertinentes?
Los sistemas de informacin son regularmente
revisados con respecto al cumplimiento de
estndares de seguridad?
La verificacin tcnica es llevada a cabo por, o

bajo la supervisin de, personal tcnico
competente y autorizado?
Consideraciones de Auditora de Sistemas
Controles de Auditora de los

Sistemas de Informacin
Los requerimientos y actividades de auditora,

incluyen verificacin de sistemas de informacin
que fueron previamente planeados
cuidadosamente de modo a minimizar los riesgos
de interrupciones en el proceso de negocio?
Los requerimientos de auditoria son alcanzables
y de acuerdo con una gestin adecuada?
11.3.2
15.3.2
Vinod Kumar
La informacin a la que se accede por medio de

las herramientas de auditora, ya sean software o
archivos de datos, estn protegidos para prevenir
Proteccin de la informacin contra el mal uso o fuga no autorizada?
las heramientas de auditora
Page 23
04/12/2016

11.3.2
15.3.2
Vinod Kumar
Proteccin de la informacin contra

las heramientas de auditora
El ambiente de auditora est separado de los
Servidores de auditora
ambientes operacionales y de desarrollo, a penos (ACL, IDEA, etc.)
que haya un nivel apropiado de proteccin?
separados de los
ambientes de desarrollo y
oltp.
Page 24
04/12/2016

Resultado
Estado (%)
Vinod Kumar
Page 25
04/12/2016
Vinod Kumar
Page 26
04/12/2016
Vinod Kumar
Page 27
04/12/2016
Vinod Kumar
Page 28
04/12/2016
Vinod Kumar
Page 29
04/12/2016
Vinod Kumar
Page 30
04/12/2016
Vinod Kumar
Page 31
04/12/2016
Vinod Kumar
Page 32
04/12/2016
Vinod Kumar
Page 33
04/12/2016
Vinod Kumar
Page 34
04/12/2016
Vinod Kumar
Page 35
04/12/2016
Vinod Kumar
Page 36
04/12/2016
Vinod Kumar
Page 37
04/12/2016
Vinod Kumar
Page 38
04/12/2016
Vinod Kumar
Page 39
04/12/2016
Vinod Kumar
Page 40
04/12/2016
Vinod Kumar
Page 41
04/12/2016
Vinod Kumar
Page 42
04/12/2016
Vinod Kumar
Page 43
04/12/2016
Vinod Kumar
Page 44
04/12/2016
Vinod Kumar
Page 45
04/12/2016
Vinod Kumar
Page 46
04/12/2016
Vinod Kumar
Page 47
04/12/2016
Vinod Kumar
Page 48
04/12/2016

Dominio
Objetivos
Politicas de Seguridad
Organizacin de la Seguridad de Informacin
Manejo de Activos
Seguridad Fsica y Ambiental
0%
Organizacin Interna
Partes Externas
0%
0%
Responsabilidad de Activos
Clasificacin de Informacin
0%
0%
Previo al Empleo
Durante al Empleo
0%
0%
Terminacin o Cambio de empleo
0%
Areas Seguras
0%
Equipamiento de Seguridad
0%
Procedimientos y Responsabilidades Operativas

Manejo de Entrega de Servicios Tercerizados
0%
Planeamiento y Aceptacin de Sistemas

Proteccin contra Cdigo Malicioso y Mvil
Control de Acceso
Cumplimiento
Vinod Kumar
0%
0%
Copias de Respaldo
Administracin de la Seguridad en la Red
0%
0%
0%
Manejo de Medios
Intercambio de Informacin
0%
0%
Servicios de Comercio Electrnico

Monitoreo
0%
0%
Requerimientos del Negocio para Control de Acceso

Administracin de Accesos de Usuarios
0%
0%
Responsabilidades de Usuarios
Control de Acceso a la Red
0%
0%
Control de Acceso a Sistemas Operativos

Control de Acceso a las Aplicaciones y a la Informacin
0%
0%
Computacin Mvil y Teletrabajo
0%
Requerimientos de Seguridad de los Sistemas de Informacin
0%
Procesamiento Correcto en las Aplicaciones

Controles Criptogrficos
Desarrollo, Adquisicin y Mantenimiento de Sistemas de Inforacin
Seguridad de los Archivos de Sistemas
Estado (%)
Polticas de Seguridad de Informacin
0%
0%
Seguridad en el Desarrollo y Servicios de Soporte

Gestin de Vulnerabilidades Tcnicas
0%
0%
0%
Reportando Eventos de Seguridad y Vulnerabilidades

Gestin de Incidentes de Seguridad de la Informacin y Proceso de Mejo
0%
0%
Aspectos de Seguridad en la Gestin de la Continuidad del Negocio
0%
Cumplimiento con Requerimientos Legales
0%
Cumplimiento con las Polticas, Estndares y Regulaciones Tcnicas

Consideraciones de Auditora de Sistemas
0%
0%
Page 49
04/12/2016

Estado (%)
Vinod Kumar
Page 50
04/12/2016

Dominio
Estado (%)
Polticas de Seguridad
Manejo de Activos
Control de Acceso
Desarrollo, Adquisicin y Mantenimiento de Sistemas de In
Cumplimiento
Vinod Kumar
Page 51
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
04/12/2016
Polticas de Seguridad
0%

0%
Manejo de Activos
0%
Cumplimiento por Dominio

0%

0%

0%
Control de Acceso
0%
Dominio
Desarrollo, Adquisicin y Mantenimiento de Sistemas de Inforacin

0%

0%

0%
Cumplimiento
Estado
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
0%

Chequeo de Cumplimiento
Un formato condicional ha sido provedo sobre la hoja de "Chequeo de Cumplimiento" bajo el campo
1 a 25
26 a 75
76 a 100
En el campo "Observaciones" comente la evidencia que usted vi o los comentarios sobre la impleme
En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arriba
Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en
Cumplimiento por Control
Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada Ob
control en base al estado que se carga en la hoja "Chequeo de Cumplimiento"
Cumplimiento por Dominio
Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada do
al estado que se carga en la hoja "Chequeo de Cumplimiento".
Representacin Grfica
Esto le proporcionar una representacin grfica del estado por dominio, el cual puede ser incorporad
Vinod Kumar
Page 53
04/12/2016
mplimiento" bajo el campo "Estado (%)" y se mencio
mentarios sobre la implementacin

la mencionada mas arriba
denote que ese control en particular no es aplicable para la
ado pertinente por cada Objetivo de

nto"
ado pertinente por cada dominio en base
l cual puede ser incorporado a su presentacin a las Gerencia
Vinod Kumar
Page 54
04/12/2016

ISO 27001 Chequeo de Cumplimiento

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ISO 27001 Chequeo de Cumplimiento

Caricato da

Copyright:

Formati disponibili

ISO 27001 Compliance Checklist

Area de Auditora, objectivo y pregunta

Polticas de Seguridad de Informacin

Las polticas de Seguridad de la Informacin tiene

Existen procedimientos de revisin de las

Revisin Anual o cada vez

Revisin de la Poltica de Seguridad

Los resultados del revisin de la gestin son

Organization de la Seguridad de Informacin

Gestin de Compromiso con la

Si la gerencia demuestra soporte activo a las

ISO 27001 Compliance Checklist

Si las actividades de seguridad de informacin

Estn establecidas las responsabilidades de

Si el proceso de gestin de autorizacin est

Hacer firmar acuerdos de

Tiene esta direccin la exigencia de proteger la

Contacto con las Autoridades

Contacto con Grupos de Intereses

Revisin Independiente sobre la

Existe algn procedimiento que describa cuando

Identificacin de los riesgos

Los riesgos inherentes a equipos o sistemas de

ISO 27001 Compliance Checklist

Son identificados todos los requerimientos de

Los acuerdos con terceros incluyen accesos,

Responsibilidad por Activos

Uso aceptable de Activos

Son los activos debidamente identificados e

Los activos tienen identificados a sus respectivos

Son definidos conjuntos de procedimientos para

Seguridad de Recursos Humanos

Estn claramente definidos y documentados de

ISO 27001 Compliance Checklist

Trminos y condiciones de empleo

Son los roles y responsabilidades definidos

Art. 65 inciso "k" del

Estos acuerdos y contratos cubren las

La gestin requiere a los empleados, contratistas

Las responsabilidades de procedimiento de

ISO 27001 Compliance Checklist

Existe un procedimiento a seguir con respecto a

Remocin de Derechos de Acceso

Son removidos los derechos de acceso de todos

Eliminar todos los usuarios

Permetro de Seguridad Fsica

Controles Fsicos de Entrada

Las salas de servidores u otros equipos de

Trabajando en Areas Seguras

Zonas de Acceso Pblico, Entrega y

Existen mecanismos de control de acceso

implementados sobre como trabajar en las areas

ISO 27001 Compliance Checklist

Los equipos son protegidos para reducir los

Que mecanismos de proteccin elctrica son

Los mantenimientos son realizados unicamente

Todos los equipos estn cubiertos por plizas de

Existen mecanismos de control y mitigacin de

Utilizar encripcin de los

ISO 27001 Compliance Checklist

Autorizaciones de Sacar Equipos

Cuando se disponga la reutilizacin de equipos o

Gestin de Comunicaciones y Operaciones