ISO 27001 Compliance Checklist

Referencia Area de Auditoría, objectivo y pregunta Resultado

Checklist Estandar Sección Pregunta de Auditoría Observaciones
Política de Seguridad
1.1 5.1 Políticas de Seguridad de Información
Existe una Política de Seguridad de la Información, que
es aprobada por la dirección, publicada y comunicada
Documento de la Política de Seguridad de según proceda, a todos los empleados?
1.1.1 5.1.1
Información Establecen las políticas un compromiso de las Gerencias
con relación al método de la organización para la
gestión de la seguridad de la información?

Las políticas de seguridad son revisadas a intervalos

regulares, o cuando hay cambios significativos para
asegurar la adecuación y efectividad?
Las políticas de Seguridad de la Información tiene un Administrador de Seguridad,
propietario, que ha aprobado la responsabilidad de la CISO (Chief Information
gestión para el desarrollo, revisión y evaluación de la Security Officer) o CSO (Chief
política de seguridad? Security Officer).
1.1.2 5.1.2 Revisión de la Política de Seguridad

Existen procedimientos de revisión de las políticas de Revisión Anual o cada vez que
seguridad y estos incluyen requerimientos para el haya cambios importantes
manejo de su revisión?
Los resultados del revisión de la gestión son tenidos en
cuenta?
Se obtiene la aprobación de la alta gerencia con relació a
las políticas revisadas?
Organization de la Seguridad de Información
2.1 6.1
Si la gerencia demuestra soporte activo a las medidas de
seguridad dentro de la organización. Esto puede ser
Gestión de Compromiso con la Seguridad realizado por direcciones claras, compromiso
2.11 6.11 demostrado, asignaciones explícitas y conocimiento de
de Información
las responsabilidades de la seguridad de información.

Vinod Kumar
Page 1 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Si las actividades de seguridad de información son

Coordinación de la Seguridad de coordinadas por representantes de distintas partes de la
2.1.2 6.1.2
Información organización, con sus roles pertinentes y
responsabilidades.
Están establecidas las responsabilidades de protección
Asignación de Responsabilidades de de activos individuales y llevar a cabo procesos de
2.1.3 6.1.3 seguridad específicos que estén claramente identificados
Seguridad de Información
y definidos?

Si el proceso de gestión de autorización está definido e

Proceso de autorizacion de instalaciones implementado para cada nuevo equipo de
2.1.4 6.1.4
de Procesamiento de Información procesamiento de información dentro de la
organización.
Si la organización necesita de confidencialidad o Hacer firmar acuerdos de
Acuerdos de no Divulgación para protección de confidencialidad a los
información que estén claramente definidos y revisados empleados.
2.1.5 6.1.5 Acuerdos de Confidencialidad periódicamente.
¿Tiene esta dirección la exigencia de proteger la
información confidencial utilizando términos legales
exigibles?
Existe algún procedimiento que describa cuando y
2.1.6 6.1.6 Contacto con las Autoridades quienes deben contactar a las autoridades competentes,
departamento de bomberos, etc y cómo deben
reportarse los incidentes?
Participación en
Contacto con Grupos de Intereses Existen los contactos apropiados con grupos especiales colectividades o asociaciones
2.1.7 6.1.7
Especiales de interés, foros de seguridad o asociaciones de seguridad para estar
profesionales relacionadas con la seguridad? actualizado
Tiene la organización un enfoque sobre la gestión de la
Revisión Independiente sobre la seguridad de información, su implementación, revisión
2.1.8 6.1.8
Seguridad de Información independiente a intervalos regulares o cuando ocurran
cambios significativos?
2.2 6.2 Partes Externas
Los riesgos inherentes a equipos o sistemas de
Identificación de los riesgos relacionados información de terceros son identificados y luego
2.2.1 6.2.1
con partes externas implementadas medidas de control apropiadas antes de
permitir el acceso?

Vinod Kumar
Page 2 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Son identificados todos los requerimientos de seguridad

Abordar la seguridad al tratar con los
2.2.2 6.2.2 sean cumplidos antes de conceder acceso a los clientes a
clientes
los activos de la organización?
Los acuerdos con terceros incluyen accesos,
Abordar la seguridad en acuerdos con procesamiento, comunicaciones, manejo de la
2.2.3 6.2.3 información o equipos que involucren almacenamiento
terceros
de información que cumplan con todos los
requerimientos de seguridad?
Administración de Activos
3.1 7.1 Responsibilidad por Activos
Son los activos debidamente identificados e Hardware, Software e
3.1.1 7.1.1 Inventario de Activos inventariados o se mantiene un registro de los activos Información (PO2.3 Cobit)
importantes?
Los activos tienen identificados a sus respectivos
propietarios y definidas con ellos clasificaciones de
3.1.2 7.1.2 Propiedad de Activos datos y restricciones de acceso en base a la criticidad, y
estas restricciones revisadas periodicamente?

Son identificadas, documentadas e implementadas LOPD o similares.

todas las regulaciones existentes con respecto al uso
3.1.3 7.1.3 Uso aceptable de Activos
aceptable de información y activos asociados con el
procesamiento de información?
3.2 7.2 Clasificación de la Información
La información es clasificada en terminos de su valor,
3.2.1 7.2.1 Directrices de Clasificación requerimientos legales, sensibilidad y criticidad para la
organización?
Son definidos conjuntos de procedimientos para
3.2.2 7.2.2 Etiquetado y manejo de información etiquetado y manejo de la información en concordancia
con el esquema de clasificación atoptado por la
organización?
Seguridad de Recursos Humanos
4.1 8.1 Previo al Empleo
Están claramente definidos y documentados de acuerdo
a las políticas de seguridad de información de la
organización los roles y responsabilidades de los
empleados, contratistas y terceros?
4.1.1 8.1.1 Roles y Responsabilidades

Vinod Kumar
Page 3 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist
4.1.1 8.1.1 Roles y Responsabilidades

Son los roles y responsabilidades definidos

previamente, comunicados claramente a los candidatos
a empleo durante el proceso de pre empleo?
Los controles de verificación de antecedentes para todos
los candidatos a empleo, contratistas y terceros, son
llevados a cabo de acuerdo a las regulaciones
relevantes?
4.1.2 8.1.2 Proyección

Incluye la verificación referencias sobre el carácter,

confirmación de titulos académicos, cualidades
profesionales y chequeos independientes de identidad?
Son firmados con los empleados, contratistas y terceros,
contratos de confidencialidad y acuerdos de no
divulgación como parte inicial de los términos y
4.1.3 8.1.3 Términos y condiciones de empleo condiciones de contratos de trabajo?
Estos acuerdos y contratos cubren las responsabilidades
de seguridad de información de la organización, los
empleados, contratistas y terceros?
4.2 8.2 Durante el Empleo
La gestión requiere a los empleados, contratistas y
4.2.1 8.2.1 Administración de Responsabilidades terceros a que apliquen la seguridad en concordancia
con las Políticas y Procedimientos establecidos en la
Organización?
Los empleados, contratistas y terceros reciben la
Sensibilización, educación y formación apropiada sensibilización, educación y formación
4.2.2 8.2.2
sobre la Seguridad de la Información permanente sobre la Seguridad de Información con
respecto a sus funciones laborales específicas?
Existe un proceso disciplinario para aquellos empleados
4.2.3 8.2.3 Proceso Disciplinario
que incumplen las políticas de seguridad?
4.3 8.3 Terminación o Cambio de Empleo
Las responsabilidades de procedimiento de terminación
4.3.1 8.3.1 Responsabilidades de Terminación o cambio de empleo están claramente definidas y
asignadas?
Existe un procedimiento a seguir con respecto a
asegurar que los empleados, contratistas y terceros
4.3.2 8.3.2 Retorno de activos
devuelvan los activos de la organización que estén en su
poder al terminar el contrato de empleo?

Vinod Kumar
Page 4 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Son removidos los derechos de acceso de todos los Eliminar todos los usuarios al
empleados, contratistas y terceros a los sistemas de salir un empleado o cuando
4.3.3 8.3.3 Remoción de Derechos de Acceso Lógico
información al termino de empleo o adecuación en caso cambia de puesto.
de que cambien de función?
Seguridad Fisica y Ambiental
5.1 9.1 Areas Seguras
Existen mecanismos de control de acceso
implementados con respecto al acceso a los sitios de
5.1.1 9.1.1 Perímetro de Seguridad Física procesamiento de información? Algunos ejemplos son
controles biométricos, tarjetas de acceso, separación por
muros, control de visitantes, etc.

Existen controles de acceso de tal modo a que solo las

5.1.2 9.1.2 Controles Físicos de Entrada personas autorizadas puedan ingresar a las distintas
areas de la organización?
Las salas de servidores u otros equipos de
Aseguramiento de Oficinas, Salas de procesamiento (routers, switches, etc.), están
5.1.3 9.1.3
Servidores e Instalaciones apropiadamente resguardadas bajo llave o en cabinas
con llave?
Se tienen implementadas protecciones o resguardos
contra fuego, inundaciones, temblores, explosiones,
manifestaciones y otras formas de desastres naturales o
Protección contra Amenazas Exteriores y provocadas por el hombre?
5.1.4 9.1.4
Ambientales/Climáticas
Verificar locales de posibles
Existe alguna amenaza potencial en los locales vecinos problemas en las cercanías en
del lugar donde se encuentran las instalaciones? caso de conflictos.
Se tienen procedimientos designados e implementados
5.1.5 9.1.5 Trabajando en Areas Seguras
sobre como trabajar en las areas seguras?
Con respecto a las zonas de acceso público, entrega,
Zonas de Acceso Público, Entrega y descarga donde personas no autorizadas pueden
5.1.6 9.1.6 acceder, las zonas de procesamiento de información y
Descarga
equipos delicados son aislados y asegurados para
prevenir el acceso no autorizado?
5.2 9.2 Equipamiento de Seguridad
Los equipos son protegidos para reducir los riesgos de
5.2.1 9.2.1 Equipamiento y Protección del Sitio daños ambientales y oportunidades de acceso no
autorizado?
Los equipos son protegidos contra fallas eléctricas y
otras fallas que pudieran tener (redundancia)?
5.2.2 9.2.2 Utilidades Soportadas
Vinod Kumar
Page 5 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

5.2.2 9.2.2 Utilidades Soportadas

Que mecanismos de protección eléctrica son utilizados?
Alimentación multiple, UPS, generador de backup, etc?

Los cables de suministro eléctrico y comunicaciones son

debidamente protegidos contra intercepción y/o daños?
5.2.3 9.2.3 Cableado de Seguridad
Existen controles adicionales de seguridad con respecto
al transporte de información crítica? Por ej. Encriptado
en las comunicaciones.
Se realiza mantenimiento periódico de los equipos de
modo a asegurar la continua disponibilidad e
integridad?
En la realización de mantenimientos, son respetados los
intervalos y recomendaciones de los fabricantes?
Los mantenimientos son realizados unicamente por
personal capacitado y autorizado?
5.2.4 9.2.4 Mantenimiento de Equipos Los logs de alertas de los equipos, son revisados
periodicamente para detectar y corregir posibles fallas
en los mismos? (principalmente fallas en discos)
Se aplican los controles adecuados cuando se envían los No deben contener
equipos fuera de la organización? información confidencial.

Todos los equipos están cubiertos por pólizas de seguro

y los requerimientos de la Compañía de Seguros están
apropiadamente realizados?
Existen mecanismos de control y mitigación de riesgos Utilizar encripción de los
implementados con relación a equipos utilizados fuera datos de las notebooks
de la organización? (encripción de discos de las (Truecrypt es gratuito y muy
Aseguramiento de Equipos fuera de las notebooks, seguro, etc.)
5.2.5 9.2.5 bueno)
Oficinas
En caso de utilización de equipos fuera de la
organización, estos cuentan con la autorización
respectiva de las gerencias?
Cuando se disponga la reutilización de equipos o
Disposiciones de Seguridad de cuando sean dados de baja, son verificados los medios
5.2.6 9.2.6 de almacenamiento con respecto a datos y software
Reutilización de Equipos
licenciado y luego destruidos totalmente antes de su
entrega?

Vinod Kumar
Page 6 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Existen controles implementados con respecto a que

5.2.7 9.2.7 Autorizaciones de Sacar Equipos ningún equipo, información y software sea sacado de la
organización sin la autorización respectiva?
Gestión de Comunicaciones y Operaciones
6.1 10.1 Procedimientos y Responsabilidades Operativas
Los procedimientos operativos son documentados,
actualizados y están disponibles para todos los usuarios
Documentación de Procedimientos que puedan necesitarlos?
6.1.1 10.1.1
Operativos Dichos procedimientos son tratados como documentos
formales y cualquier cambio en los mismos necesita la
autorización pertinente?
Son controlados todos los cambios en los sistemas y
6.1.2 10.1.2 Manejo de Cambios
equipos de procesamiento de información?
Son separadas las tareas y responsabilidades de modo a
6.1.3 10.1.3 Segregación de Tareas reducir las oportunidades de modificación o mal uso de
los sistemas de información?
Los equipos de desarrollo y pruebas están separados de
los equipos operacionales? Por ejemplo desarrollo de
Separación de desarrollo, test e Separar ambientes y ponerlos
6.1.4 10.1.4 software debe estar en un equipo separado del de
instalaciones operativas en VLANes distintas que no se
producción. Cuando sea necesario, incluso deben estar
vean entre sí. Los datos de
en segmentos de red distintos unos del otro.
desarrollo deben ser ilegibles.
6.2 10.2 Manejo de Entrega de Servicios Tercerizados
Existen medidas que son tomadas para asegurar que los
controles de seguridad, niveles de servicio y entrega
6.2.1 10.2.1 Entrega de Servicios sean incluidos y verificados en los contratos de servicios
con terceros, así como su revisión periódica de
cumplimiento?
Son los servicios, reportes y registros proveídos por
teceros regularmente monitoreados y revisados?
Monitoreo y revisión de servicios
6.2.2 10.2.2 Existen controles de auditoría que son realizados a
tercerizados
intervalos regulares sobre los servicios, reportes y
registros suministrados por terceros?
Se gestionan los cambios en la provisión de servicios,
incluyendo mantenimiento y la mejora en las políticas
Manejo de Cambios de servicios de seguridad de información existentes, procedimientos
6.2.3 10.2.3
tercerizados y controles?
Se tienen en cuenta sistemas de negocio críticos,
procesos involucrados y re-evaluación de riesgos?

Vinod Kumar
Page 7 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

6.3 10.3 Planeamiento y Aceptación de Sistemas

La capacidad de procesamiento de los sistemas son

monitoreados en base a la demanda y proyectados en
base a requerimientos futuros, de modo a asegurar que
6.3.1 10.3.1 Gestión de la Capacidad la capacidad de proceso y almacenamiento estén
disponibles?
Ejemplo: Monitoreo de espacio en disco, Memoria RAM,
CPU en los servidores críticos.
Son establecidos criterios de aceptación para nuevos
sistemas de información, actualizaciones y nuevas
6.3.2 10.3.2 Aceptación de Sistemas versiones?
Son realizadas pruebas antes de la aceptación de los
mismos?
6.4 10.4 Protección contra código malicioso y móvil
Existen controles para detección, prevención y
recuperado contra código malicioso y son desarrollados
6.4.1 10.4.1 Controles contra código malicioso
e implementados procedimientos apropiados de
advertencia a los usuarios?
En caso de necesitarse código móvil, este solo debe
utilizarse una vez que haya sido autorizado.
Las configuraciones del código móvil autorizado deben
realizarse y operarse de acuerdo a las Políticas de
Seguridad. La ejecución del código móvil no autorizado,
debe prevenirse.
6.4.2 10.4.2 Controles contra código movil (Código Móvil es código de software que se transfiere
de una computadora a otra y que se ejecuta
automáticamente. Realiza una función específica con
muy poca o casi ninguna intervención del usuario. El
código móvil está asociado a un gran número de
servicios de middleware)

6.5 10.5 Copias de Respaldo

Se realizan copias de respaldo de la información y
software y son testeados regularmente en
conconrdancia con las políticas de backup?
6.5.1 10.5.1 Respaldo de la Información
Toda la información y el software esencial puede ser
recuperado en caso de ocurrencia de un desastre o fallo Ver donde se va a recuperar el
de medios? backup en caso de desastre.

Vinod Kumar
Page 8 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Administración de la Seguridad de la
6.6 10.6 Red
La red es adecuadamente administrada y controlada
para protegerse de tretas y en orden a mantener la
seguridad de los sistemas y aplicaciones en uso a traves
de la red, incluyendo la información en transito?
6.6.1 10.6.1 Controles de Red

Existen controles implementados para asegurar el

transito de la información en la red y evitar que esta sea
leída o accesada de forma no autorizada?
Las características de seguridad, niveles de servicio y
requerimientos de administración de todos los servicios
de red son identificados e incluidos en cualquier
acuerdo de servicio de red?
6.6.2 10.6.2 Seguridad en los Servicios de Red La capacidad del proveedor de servicios de red de
proporcionar los servicios de forma segura, es
determinada y regularmente monitoreada y se tienen
derechos de auditoría acordada para medir niveles de
servicio?
6.7 10.7 Manejo de Medios
Existen procedimientos para el manejo de medios
removibles como cintas, diskettes, tarjetas de memoria,
6.7.1 10.7.1 Manejo de medios removibles lectores de CD, pendrives, etc.?
Los procedimientos y niveles de autorización están
claramente definidos y documentados?
En caso de que los medios ya no sean requeridos, estos
6.7.2 10.7.2 Disposición de los medios son eliminados de forma segura bajo procedimientos
formalmente establecidos?
Existen procedimientos para el manejo del
Procedimientos de manejo de la almacenamiento de la información?
6.7.3 10.7.3
información Aborda este procedimiento temas como: protección de
la información contra acceso no autorizado o mal uso?
Seguridad en la Documentación de los La documentación de los sistemas está protegida contra
6.7.4 10.7.4
Sistemas acceso no autorizado?
6.8 10.8 Intercambio de Información

Existe una política formal, procedimientos y/o controles

Políticas y Procedimientos de intercambio aplicados para asegurar la protección a la información?
6.8.1 10.8.1
de información
Vinod Kumar
Page 9 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist
Políticas y Procedimientos de intercambio
6.8.1 10.8.1
de información Estos procedimientos y controles cubren el uso de
equipos de comunicación electrónica en el intercambio
de información?
Existen acuerdos de intercambio de información y
software entre la organización y partes externas?
6.8.2 10.8.2 Acuerdos de Intercambio El contenido de los acuerdos con respecto a la seguridad
refleja la sensibilidad y criticidad de la información de
negocio envuelta en el proceso?

Los medios físicos que contengan información es

6.8.3 10.8.3 Medios físicos en transito protegida contra acceso no autorizado, mal uso o
corrupción de datos durante el transporte entre las
organizaciones?
La información que se envía por mensajería electrónica Correos importantes que van
es bien protegida? afuera deben ser encriptados
6.8.4 10.8.4 Mensajería Electrónica (Mensajería Electrónica incluye pero no es restringida GPG, y lo demás por VPNs.
solamente a email, intercambio electrónico de datos,
mensajería instantanea, etc.)
Las políticas y procedimientos son desarrolladas y
6.8.5 10.8.5 Sistema de información empresarial tendientes a fortalecer la protección de información
asociada con la interconexión de sistemas de negocio?
6.9 10.9 Servicios de Comercio Electrónico
La información envuelta en el comercio electrónico No permitir conexiones a
cruza a través de redes publicas y está protegida contra través de redes públicas sin
actividades fraudulenteas, posibles disputas encripción.
contractuales o cualquier acceso no autorizado que
permita lectura o manipulación de esos datos?
6.9.1 10.9.1 Comercio Electrónico En los controles de seguridad son tenidos en cuenta la
aplicación de controles criptográficos?
El comercio electrónico entre los socios comerciales
incluyen un acuerdo, que compromete a ambas partes a
la negociación de los términos convenidos, incluidos los
detalles de las cuestiones de seguridad?
La información envuelta en transacciones en línea está Procesadores de POS,
protegida contra transmisiones incompletas, mal ruteo, Homebanking, etc.
6.9.2 10.9.2 Transacciones On-line alteración de mensajería, divulgación no autorizada,
duplicación no autorizada o replicación?

Vinod Kumar
Page 10 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

La integridad de la información disponible Protección de datos de la

6.9.3 10.9.3 Información disponible públicamente publicamente está protegida contra modificación no página web.
autorizada?
6.10 10.10 Monitoreo
Los registros de auditoría que guardan la actividad de
los usuarios, excepciones, eventos de seguridad de
información que ocurren, se guardan por un periodo
razonable de tiempo de tal modo a poder realizar
6.10.1 10.10.1 Registros de Auditoría investigaciones futuras y monitoreo de acceso?

Se tienen en consideración medidas de protección a la

privacidad en el mantenimiento de registros de
auditoría?
Son desarrollados procedimientos de monitoreo de
equipos de procesamiento de datos?
El resultado de la actividad de monitoreo es revisada
6.10.2 10.10.2 Uso de Sistemas de Monitoreo regularmente de forma periódica?
Los niveles de monitoreo requeridos por los equipos de
procesamiento de información son determinados por un
análisis de riesgos?
Los equipos que contienen los registros y logs de
6.10.3 10.10.3 Protección de los Logs auditoría son bien protegidos contra posibles
manipulaciones y acceso no autorizado?
Las actividades de los Administradores y Operadores
Log de actividades de Administradores y de sistemas son registradas en los logs?
6.10.4 10.10.4
Operadores
Son revisados regularmente los logs?
Las fallas son registradas en logs, y luego analizadas y
acciones apropiadas realizadas en consecuencia?

6.10.5 10.10.5 Registro de Fallas Los niveles de registros en logs requeridos para cada
sistema individual son determinados en base a análisis
de riesgos y la degradación de performance es tenida en
cuenta?

Los relojes de todos los sistemas de información están

6.10.6 10.10.6 Sincronización de relojes sincronizados en base a una misma fuente de tiempo
exacta acordada?
(La correcta sincronización de los relojes es importante
para asegurar la cronología de eventos en los logs)
Access Control

Vinod Kumar
Page 11 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

7.1 11.1 Requerimientos del Negocio para Control de Acceso

Las políticas de control de acceso son desarrolladas y
revisadas basadas en los requerimientos de seguridad
del negocio?

Los controles de acceso tanto físico como lógico son

7.1.1 11.1.1 Política de Control de Acceso
tenidos en cuenta en las políticas de control de acceso?

Tanto a los usuarios como a los proveedores de servicios

se les dio una clara declaración de los requisitos de la
empresa en cuanto a control de acceso?
7.2 11.2 Administración de Accesos de Usuarios
Existe algún procedimiento formal de altas/bajas de
7.2.1 11.2.1 Registración de Usuarios
usuarios para acceder a los sistemas?
La asignación y uso de privilegios en los sistemas de
7.2.2 11.2.2 Gestión de Privilegios información, es restringida y controlada en base a las
necesidades de uso y dichos privilegios son solo
otorgados bajo un esquema formal de autorización?
La asignación y reasignación de contraseñas debe
Administración de Contraseñas de controlarse a través de un proceso de gestión formal.
7.2.3 11.2.3
Usuarios Se les solicita a los usuarios que firmen un acuerdo de
confidencialidad del password?
Existe un proceso de revisión de privilegios y derechos
de acceso a intervalos regulares. Por ejemplo: Privilegios
Revisión de Roles de Usuarios
especiales cada 3 meses, privilegios normales cada 6
7.2.4 11.2.4 meses?
7.3 11.3 Responsabilidades de Usuarios
Existe alguna práctica de seguridad en el sitio para
7.3.1 11.3.1 Uso de Password guiar a la selección y mantenimiento de contraseñas
seguras?
Los usuarios y terceros son concientes de los requisitos
de seguridad y procedimientos para proteger los
equipos desatendidos?
7.3.2 11.3.2 Equipos desatendidos de Usuarios Por ejemplo: Salir del sistema cuando las sesiones son
terminadas o configurar terminación automática de
sesiones por tiempo de inactividad, etc.

Vinod Kumar
Page 12 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

La organización ha adoptado una política de escritorio

limpio con relación a los papeles y dispositivos de
Política de Escritorio Limpio y Pantalla almacenamiento removibles?
7.3.3 11.3.3
Limpia La organización ha adoptado una política de pantalla
limpia con relación a los equipos de procesamiento de
información?
7.4 11.4 Control de Acceso a la Red
Se le provee a los usuarios acceso unicamente a los
servicios de red a los cuales han sido autorizados
7.4.1 11.4.1 Políticas sobre Servicios de Red específicamente?
Existen políticas de seguridad relacionadas con la red y
los servicios de red?

Autenticaciones de Usuarios para

Son utilizados mecanismos apropiados de autenticación
conexiones externas
7.4.2 11.4.2 para controlar el acceso remoto de los usuarios?
Son considerados equipos de identificación automática
Identificación de equipamientos en la red para autenticar conexiones desde equips y direcciones
7.4.3 11.4.3 específicas?
Los accesos físicos y lógicos a puertos de diagnóstico
Diagnóstico Remoto y configuración de
están apropiadamente controlados y protegidos por
protección de puertos
7.4.4 11.4.4 mecanismos de seguridad?
Los grupos de servicios de información, usuarios y
sistemas de información son segregados en la red?
La red (desde donde asociados de negocios o terceros
necesitan acceder a los sistemas de información) es
7.4.5 11.4.5 Segregación en la Red segregada utilizando mecanismos de seguridad
perimetral como firewalls?
En la segregación de la red son hechas las
consideraciones para separar las redes wireles en
internas y privadas?
Existe una política de control de acceso que verifique
7.4.6 11.4.6 Control de Conexiones de Red conexiones provenientes de redes compartidas,
especialmente aquellas que se extienden mas allá de los
límites de la organización?
Existen políticas de control de acceso que establezcan
los controles que deben ser realizados a los ruteos
7.4.7 11.4.7 Control de Ruteo de Red implementados en la red?

Vinod Kumar
Page 13 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist
7.4.7 11.4.7 Control de Ruteo de Red
Los controles de ruteo, están basados en mecanismos de
identificación positiva de origen y destino?
7.5 11.5 Controles de Acceso a Sistemas Operativos
Los accesos a sistemas operativos son controlados por
Procedimientos de log-on seguro
7.5.1 11.5.1 procedimientos de log-on seguro?
Un único identificador de usuario (user ID) es proveído
a cada usuario incluyendo operadores, administradores
de sistemas y otros técnicos?
Se eligen adecuadas técnicas de autenticación para
Identificación y Autenticación de demostrar la identidad declarada de los usuarios?
7.5.2 11.5.2
Usuarios
El uso de cuentas de usuario genéricas son
suministradas sólo en circunstancias especiales
excepcionales, donde se especifícan los beneficios claros
de su utilización. Controles adicionales pueden ser
necesarios para mantener la seguridad.

Existe un sistema de gestión de contraseñas que obliga

al uso de controles como contraseña individual para
7.5.3 11.5.3 Gestión de Contraseñas auditoría, periodicidad de caducidad, complejidad
mínima, almacenamiento encriptado, no despliegue de
contraseñas por pantalla, etc.?
En caso de existir programas utilitarios capaces de
7.5.4 11.5.4 Utilidades de Uso de Sistemas saltarse los controles de aplicaciones de los sistemas,
estos están restringidos y bien controlados?

Las aplicaciones son cerradas luego de un periodo

determinado de inactividad?
7.5.5 11.5.5 Expiración de Sesiones (Un tiempo determinado de inactividad puede ser
determinado por algunos sistemas, que limpian la
pantalla para prevenir acceso no autorizado, pero no
cierra la aplicación o las sesiones de red)

Existen restricciones limitando el tiempo de conexión de

7.5.6 11.5.6 Limitación de tiempo de conexión aplicaciones de alto riesgo? Este tipo de configuraciones
debe ser considerada para aplicaciones sensitivas cuyas
terminales de acceso se encuentran en lugares de riesgo.
7.6 11.6 Control de Acceso a las Aplicaciones y a la Información

Vinod Kumar
Page 14 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

El acceso a la información y los sistemas de aplicaciones

7.6.1 11.6.1 Restricción de Acceso a la Información por parte los usuarios y personal de soporte, está
restringido en concordancia con las políticas de control
de acceso definidas?
Aquellos sistemas considerados sensibles, están en
7.6.2 11.6.2 Aislamiento de Sistemas Sensibles ambientes aislados, en computadoras dedicadas para el
efecto, con recursos compartidos con aplicaciones
seguras y confiables, etc?
7.7 11.7 Computación Móvil y Teletrabajo
Existe una política formal y medidas apropiadas de Encripción de discos en las
seguridad adoptadas para protegerse contra riesgo de notebooks
utilización de computación móvil y equipos de
comunicación?
Algunos ejemplos de computación móvil y equipos de
7.7.1 11.7.1 Computación Móvil y Comunicaciones
telecomunicación incluyen: notebooks, palmtops,
laptops, smart cards, celulares.
Son tenidos en cuenta los riesgos tales como trabajar en
ambientes no protegidos en cuanto a las políticas de
computación móvil?
Se desarrollan e implementan políticas, planes
7.7.2 11.7.2 operativos y procedimientos con respecto a tareas de
teletrabajo?
Teletrabajo
Las actividades de teletrabajo, son autorizadas y
controladas por las gerencias y existen mecanismos
adecuados de control para esta forma de trabajo?
Desarrollo, Adquisición y Mantenimiento de Sistemas de Información
8.1 12.1 Requerimientos de Seguridad de los Sistemas de Información
Los requerimientos de seguridad para nuevos sistemas
de información y fortalecimiento de los sistemas
existentes, especifican los requerimientos para los
controles de seguridad?

Análisis y Especificaciones de Los requerimientos y controles identificados reflejan el

8.1.1 12.1.1
Rquerimientos de Seguridad valor económico de los activos de información envueltos
y las consecuencias de un fallo de seguridad?

Vinod Kumar
Page 15 02/15/2022
[email protected]
 8.1.1 12.1.1
Rquerimientos de Seguridad
ISO
Análisis y Especificaciones de
27001 Compliance Checklist

Los requerimientos para la seguridad de información de

los sistemas y prcesos para implementar dicha
seguridad, son integrados en las primeras etapas de los
proyectos de sistemas?
8.2 12.2 Procesamiento Correcto en Aplicaciones
Los datos introducidos a los sistemas, son validados
para asegurar que son correctos y apropiados?
Los controles tales como: Diferentes tipos de mensajes
8.2.1 12.2.1 Validación de Datos de Entrada de error para datos mal ingresados, Procedimientos
para responder a los errores de validación, definición de
responsabilidades para todo el personal envuelto en la
carga de datos, etc. son considerados?

Son incorporadas validaciones en las aplicaciones para

detectar/prevenir que puedan ser ingresados datos no
válidos por error o deliberadamente?
8.2.2 12.2.2 Control de Procesamiento Interno Se tiene en cuenta en el diseño y la implementación de
las aplicaciones que el riesgo de falllas en el
procesamiento que conduzcan a perdida de integridad
de datos sea minimizado?
Los requerimientos para aseguramiento y protección de
la integridad de los mensajes en las aplicaciones, son
debidamente identificados e implementados los
controles necesarios?
8.2.3 12.2.3 Integridad de Mensajería
Si una evaluación de riesgos de seguridad se llevó a
cabo para determinar si es necesaria la integridad del
mensaje, y para determinar el método más apropiado de
aplicación.
Los sistemas de aplicaciones de salida de datos, son
validados para asegurar que el procesamiento de
8.2.4 12.2.4 Validación de Datos de Salida
información almacenada sea correcta y apropiada a las
circustancias?
8.3 12.3 Controles Criptográficos
La organización posee políticas de uso de controlec
criptográficos para protección de la información? Estas
políticas son implementadas con éxito?

Políticas de Uso de Controles

8.3.1 12.3.1
Criptográficos

Vinod Kumar
Page 16 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Políticas de Uso de Controles

8.3.1 12.3.1
Criptográficos La política criptográfica considera el enfoque de gestión
hacia el uso de controles criptográficos, los resultados
de la evaluación de riesgo para identificar nivel
requerido de protección, gestión de claves y métodos de
diversas normas para la aplicación efectiva?
La administración de claves se utiliza efectivamente
para apoyar el uso de técnicas criptográficas en la
organización?

Las claves criptográficas están protegidas correctamente

contra modificación, pérdida y/o destrucción?
8.3.2 12.3.2 Manejo de Claves
Las claves públicas y privadas están protegidas contra
divulgación no autorizada?
Los equipos utilizados para generar o almacenar claves,
están físicamente protegidos?
Los sistemas de administración de claves, están basados
en procedimientos estandarizados y seguros?
8.4 12.4 Seguridad de los Archivos de Sistemas
Existen procedimientos para controlar la instalación de
8.4.1 12.4.1 Control de Software Operativo software en los sistemas operativos (Esto es para
minimizar el riesgo de corrupción de los sistemas
operativos)
Los sistemas de testeo de datos, están debidamente
protegidos y controlados?
Protección de Datos de Prueba de La utilización de información personal o cualquier
8.4.2 12.4.2
Sistemas información sensitiva para propósitos de testeo, está
prohibida?

Existen controles estrictos de modo a restringir el acceso

8.4.3 12.4.3 Control de Acceso a Código Fuente al código fuente? (esto es para prevenir posibles
cambios no autorizados)
8.5 12.5 Seguridad en el Desarrollo y Servicios de Soporte
Existen procedimientos de control estricto con respecto
a cambios en los sistemas de información? (Esto es para
minimizar la posible corrupción de los sistemas de
8.5.1 12.5.1 Procedimientos de Control de Cambios información)

Vinod Kumar
Page 17 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist
8.5.1 12.5.1 Procedimientos de Control de Cambios
Estos procedimientos aborda la necesidad de evaluación
de riesgos, análisis de los impactos de los cambios?

Existen procesos a seguir o procedimientos para

Revisión Técnica de Aplicaciones luego de revisión y testeo de las aplicaciones críticas de negocio y
8.5.2 12.5.2
Cambios en el Sistema Operativo seguridad, luego de cambios en el Sistema Operativo?
Periódicamente, esto es necesario cada vez que haya que
hacer un parcheo o upgrade del sistema operativo.
Las modificaciones a los paquetes de software, son
Restricciones en Cambios de Paquetes de desalentadas o limitadas extrictamente a los cambios
8.5.3 12.5.3
Software mínimos necesarios?
Todos los cambios son estrictamente controlados?

Existen controles para prevenir la fuga de información?

Controles tales como escaneo de dispositivos de salida,
8.5.4 12.5.4 Fuga de Información
monitoreo regular del personal y actividades permitidas
en los sistemas bajo regulaciones locales, monitoreo de
recursos, son considerados?
El desarrollo de software tercerizado, es supervisado y Controlar aplicaciones y
monitoreado por la organización? disclaimer contractual
Puntos como: Adquisición de licencias, acuerdos de Revisión de los contratos para
8.5.5 12.5.5 Desarrollo de Software Tercerizado garantía, requerimientos contractuales de calidad tener en cuenta los Service
asegurada, testeo antes de su instalación definitiva, Level Agreements (Acuerdos
revisión de código para prevenir troyanos, son de Niveles de Servicio).
considerados?
8.6 12.6 Gestión de Vulnerabilidades Técnicas
Se obtiene información oportuna en tiempo y forma
sobre las vulnerabilidades técnicas de los sistemas de
información que se utilizan?
8.6.1 12.6.1 Control de Vulnerabilidades Técnicas
La organización evalúa e implementa medidas
apropiadas de mitigación de riesgos a las
vulnerabilidades a las que está expuesta?
Gestión de Incidentes de Seguridad de Información
9.1 13.1 Reportando Eventos de Seguridad y Vulnerabilidades
Los eventos de seguridad de información, son
reportados a través de los canales correspondientes lo
Reportando Eventos de Seguridad de la más rápido posible?
9.1.1 13.1.1
Información

Vinod Kumar
Page 18 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist
Reportando Eventos de Seguridad de la
9.1.1 13.1.1
Información Son desarrollados e implementados procedimientos
formales de reporte, respuesta y escalación en incidentes
de seguridad?

Reportando Vulnerabilidaes de la Existen procedimientos que aseguren que todos los

9.1.2 13.1.2
Seguridad empleados deben reportar cualquier vulnerabilidad en
la seguridad en los servicios o sistemas de información?
9.2 13.2 Gestión de Incidentes de Seguridad de la Información y Proceso de Mejoras
Están claramente establecidos los procedimientos y
responsabilidades de gestión para asegurar una rápida,
efectiva y ordenada respuesta a los incidentes de
seguridad de información?
9.2.1 13.2.1 Responsabilidades y Procedimientos
Es utilizado el monitoreo de sistemas, alertas y
vulnerabilidades para detectar incidentes de seguridad?
Los objetivos de la gestión de incidentes de seguridad
de información, están acordados con las gerencias?
Existen mecanismos establecidos para identificar y
cuantificar el tipo, volumen y costo de los incidentes de
seguridad?
Aprendiendo de los Incidentes de
9.2.2 13.2.2 La información obtenida de la evaluación de incidentes
Seguridad de la Información
de seguridad que ocurrieron en el pasado, es utilizada
para determinar el impacto recurrente de incidencia y
corregir errores?
Si las medidas de seguimiento contra una persona u
organización después de un incidente de seguridad de
la información implica una acción legal (ya sea civil o
penal)
Las evidencias relacionadas con incidentes, son
9.2.3 13.2.3 Recolección de Evidencia recolectadas, retenidas y presentadas conforme las
disposiciones legales vigentes en las jurisdicciones
pertinentes?
Los procedimientos internos son desarrollados y
seguidos al pié de la letra cuando se debe recolectar y
presentar evidencia para propósitos disciplinarios
dentro de la organización?
Gestión de la Continuidad del Negocio
10.1 14.1 Aspectos de Seguridad en la Gestión de la Continuidad del Negocio

Vinod Kumar
Page 19 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Existen procesos que direccionan los requerimientos de

seguridad de información para el desarrollo y
mantenimiento de la Continuidad del Negocio dentro
de la Organización?

Incluyendo Seguridad en el Proceso de Estos procesos, entienden cuales son los riesgos que la
10.1.1 14.1.1
Gestión de Continuidad del Negocio organización enfrenta, identifican los activos críticos, los
impactos de los incidentes, consideran la
implementación de controles preventivos adicionales y
la documentación de los Planes de Continuidad del
Negocio direccionando los requerimientos de
seguridad?
Los eventos que puedan causar interrupción al negocio,
Continuidad del Negocio y Evaluación de son identificados sobre la base de probabilidad, impacto
10.1.2 14.1.2
Riesgos y posibles consecuencias para la seguridad de
información?
Son desarrollados planes para mantener y restaurar las
operaciones de negocio, asegurar disponibilidad de
información dentro de un nivel aceptable y en el rango
de tiempo requerido siguiente a la interrupción o falla
Desarrollo e Implementación de Planes de de los procesos de negocio?
10.1.3 14.1.3 Continuidad incluyendo Seguridad de la
Información
Considera el Plan, la identificación y acuerdo de
responsabilidades, identificación de pérdida aceptable,
implementación de procedimientos de recuperación y
restauración, documentación de procedimientos y testeo
periódico realizado regularmente?
Existe un marco único del Plan de Continuidad de
Negocios?
Este marco, es mantenido regularmente para asegurarse
que todos los planes son consistentes e identifican
10.1.4 14.1.4 Business continuity planning framework
prioridades para testeo y mantenimiento?
El Plan de Continuidad del Negocio direccionan los
requerimientos de seguridad de información
identificados?
Los Planes de Continuidad del Negocio, son probados
regularmente para asegurarse de que están actualizados
y son efectivos?

Prueba, Mantenimiento y Reevaluando

10.1.5 14.1.5
Planes de Continuidad del Negocio
Vinod Kumar
Page 20 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Prueba, Mantenimiento y Reevaluando

10.1.5 14.1.5 Los tests de planes de continuidad de negocio, aseguran
Planes de Continuidad del Negocio
que todos los miembros del equipo de recuperación y
otros equipos relevantes sean advertidos del contenido
y sus responsabilidades para la continuidad del negocio
y la seguridad de información, son concientes de sus
roles y funciones dentro del plan cuando este se ejecuta?
Cumplimiento
11.1 15.1 Cumplimiento con Requerimientos Legales
Todas las leyes relevantes, regulaciones, requerimientos
contractuales y organizacionales son tenidos en cuenta
de modo a que estén documentados para cada sistema
de información en la organización?
11.1.1 15.1.1 Identificación de Legislación Aplicable
Los controles específicos y responsabilidades
individuales de modo a cumplir con estos
requerimientos, son debidamente definidos y
documentados?

Existen procedimientos para asegurar el cumplimiento

de los requerimientos legales, regulatorios y
contractuales sobre el uso de materiales y software que Musica mp3, imágenes, libros,
estén protegidos por derechos de propiedad intelectual? software, etc.
Estos procedimientos, están bien implementados?
11.1.2 15.1.2 Derechos de Propiedad Intelectual
Controles tales como: Política de Cumplimiento de
Derechos de Propiedad Intelectual, Procedimientos de
Adquisición de Software, Política de concientización,
Mantenimiento de Prueba de la Propiedad,
Cumplimiento con Términos y Condiciones, son
consideradas?
Los registros importantes de la organización están
protegidos contra pérdida, destrucción y falsificación en
concordancia con los requerimientos legales,
regulatorios, contractuales y de negocio? Backup y Auditoría
Están previstas las consideraciónes con respecto al Unidades de Cintas que ya no
Protección de los Registros de la posible deterioro de medios de almacenamiento tienen repuestos, Storage de
11.1.3 15.1.3
Organización utilizados para almacenar registros? Discos fallan y ya no hay.

Vinod Kumar
Page 21 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist
Protección de los Registros de la
11.1.3 15.1.3
Organización

Los sistemas de almacenamiento son elegidos de modo

a que los datos requeridos puedan ser recuperados en
un rango de tiempo aceptable y en el formato necesario,
dependiendo de los requerimientos a ser cumplidos?
La protección de los datos y la privacidad, están
Protección de los Datos y privacidad de asegurados por legislaciones relevantes, regulaciones y
11.1.4 15.1.4
los datos personales si son aplicables, por cláusulas contractuales?

El uso de instalaciones de proceso de información para

cualquier propósito no autorizado o que no sea del
negocio, sin la aprobación pertinente, es tratada como
utilización impropia de las instalaciones?

Prevención del maluso de las Los mensajes de alerta de ingreso, son desplegados
11.1.5 15.1.5 antes de permitir el ingreso a la red o a los sistemas? El
instalaciones de procesamiento
usuario tiene conocimiento de las alertas y reacciona
apropiadamente al mensaje en pantalla?

Es realizado un asesoramiento jurídico, antes de aplicar

cualquier procedimiento de monitoreo y control?
Los controles criptográficos son usados en
11.1.6 15.1.6 Regulación de Controles Criptográficos cumplimiento de los acuerdos contractuales
establecidos, leyes y regulaciones?
11.2 15.2 Cumplimiento con las políticas, estándares y regulaciones técnicas
Los Administradores se aseguran que todos los
procedimientos dentro de su area de responsabilidad, se
llevan a cabo correctamente para lograrl el
cumplimiento de las normas y políticas de seguridad?
Cumplimiento con Políticas de Seguridad
11.2.1 15.2.1
y Estándares Los Administradores, revisan regularmente el
cumplimiento de las instalaciones de procesamiento de
información dentro del area de su responsabilidad de
modo a cumplir con los procedimientos y políticas de
seguridad pertinentes?
Los sistemas de información son regularmente
revisados con respecto al cumplimiento de estándares
de seguridad?
11.2.2 15.2.2 Chequeo de Cumplimiento Técnico
La verificación técnica es llevada a cabo por, o bajo la
supervisión de, personal técnico competente y
autorizado?

Vinod Kumar
Page 22 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

11.3 15.3 Consideraciones de Auditoría de Sistemas

Los requerimientos y actividades de auditoría, incluyen
verificación de sistemas de información que fueron
previamente planeados cuidadosamente de modo a
Controles de Auditoría de los Sistemas de
11.3.1 15.3.1 minimizar los riesgos de interrupciones en el proceso de
Información
negocio?
Los requerimientos de auditoria son alcanzables y de
acuerdo con una gestión adecuada?
La información a la que se accede por medio de las
herramientas de auditoría, ya sean software o archivos
de datos, están protegidos para prevenir el mal uso o
Protección de la información contra las fuga no autorizada?
11.3.2 15.3.2
heramientas de auditoría El ambiente de auditoría está separado de los ambientes Servidores de auditoría (ACL,
operacionales y de desarrollo, a penos que haya un nivel IDEA, etc.) separados de los
apropiado de protección? ambientes de desarrollo y
oltp.

Vinod Kumar
Page 23 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Resultado
Estado (%)

Vinod Kumar
Page 24 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 25 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 26 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 27 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 28 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 29 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 30 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 31 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 32 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 33 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 34 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 35 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 36 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 37 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 38 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 39 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 40 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 41 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 42 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 43 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 44 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 45 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Vinod Kumar
Page 46 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

Dominio Objetivos Estado (%)

Politicas de Seguridad Políticas de Seguridad de Información 0%

Organización Interna 0%
Organización de la Seguridad de Información
Partes Externas 0%

Responsabilidad de Activos 0%
Manejo de Activos
Clasificación de Información 0%

Previo al Empleo 0%
Seguridad de Recursos Humanos Durante al Empleo 0%
Terminación o Cambio de empleo 0%

Areas Seguras 0%
Seguridad Física y Ambiental
Equipamiento de Seguridad 0%

Procedimientos y Responsabilidades Operativas 0%

Manejo de Entrega de Servicios Tercerizados 0%
Planeamiento y Aceptación de Sistemas 0%
Protección contra Código Malicioso y Móvil 0%
Copias de Respaldo 0%
Gestión de Comunicaciones y Operaciones
Administración de la Seguridad en la Red 0%
Manejo de Medios 0%
Intercambio de Información 0%
Servicios de Comercio Electrónico 0%
Monitoreo 0%

Requerimientos del Negocio para Control de Acceso 0%

Administración de Accesos de Usuarios 0%
Responsabilidades de Usuarios 0%
Control de Acceso Control de Acceso a la Red 0%
Control de Acceso a Sistemas Operativos 0%
Control de Acceso a las Aplicaciones y a la Información 0%
Computación Móvil y Teletrabajo 0%

Requerimientos de Seguridad de los Sistemas de Información 0%

Procesamiento Correcto en las Aplicaciones 0%
Controles Criptográficos 0%
Desarrollo, Adquisición y Mantenimiento de Sistemas de Inforación
Seguridad de los Archivos de Sistemas 0%
Seguridad en el Desarrollo y Servicios de Soporte 0%
Gestión de Vulnerabilidades Técnicas 0%

Reportando Eventos de Seguridad y Vulnerabilidades 0%

Gestión de Incidentes de Seguridad de Información
Gestión de Incidentes de Seguridad de la Información y Proceso de Mejoras 0%

Gestión de la Continuidad del Negocio Aspectos de Seguridad en la Gestión de la Continuidad del Negocio 0%

Cumplimiento con Requerimientos Legales 0%

Cumplimiento Cumplimiento con las Políticas, Estándares y Regulaciones Técnicas 0%
Consideraciones de Auditoría de Sistemas 0%

Vinod Kumar
[email protected] Page 47 02/15/2022
 ISO 27001 Compliance Checklist

Dominio Estado (%)

Políticas de Seguridad 0%
Organización de la Seguridad de Información 0%
Manejo de Activos 0%
Seguridad de Recursos Humanos 0%
Seguridad Física y Ambiental 0%
Gestión de Comunicaciones y Operaciones 0%
Control de Acceso 0%
Desarrollo, Adquisición y Mantenimiento de Sistemas de Inforación 0%
Gestión de Incidentes de Seguridad de Información 0%
Gestión de la Continuidad del Negocio 0%
Cumplimiento 0%

Vinod Kumar
Page 48 02/15/2022
[email protected]
 0%
100%

10%
20%
30%
40%
50%
60%
70%
80%
90%
Políticas de Seguridad

0%
Organización de la Seguridad de Información

0%
Manejo de Activos Estado
0%

Seguridad de Recursos Humanos

0%

Cumplimiento por Dominio

Seguridad Física y Ambiental
0%

Gestión de Comunicaciones y Operaciones

0%

Dominio
Control de Acceso
0%

Desarrollo, Adquisición y Mantenimiento de Sistemas de In-

0%

foración

Gestión de Incidentes de Seguridad de Información

0%

Gestión de la Continuidad del Negocio

0%

Cumplimiento
0%
 ISO 27001 Compliance Checklist

Chequeo de Cumplimiento
Un formato condicional ha sido proveído sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (%)"

1 a 25
26 a 75
76 a 100

En el campo "Observaciones" comente la evidencia que usted vió o los comentarios sobre la implementación
En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arriba
Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular no

Cumplimiento por Control

Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada Objetivo de contr
estado que se carga en la hoja "Chequeo de Cumplimiento"
Cumplimiento por Dominio
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada dominio en base
carga en la hoja "Chequeo de Cumplimiento".
Representación Gráfica
Esto le proporcionará una representación gráfica del estado por dominio, el cual puede ser incorporado a su presen

Vinod Kumar
Page 50 02/15/2022
[email protected]
 ISO 27001 Compliance Checklist

o" bajo el campo "Estado (%)" y se menciona abajo:

obre la implementación
nada mas arriba
ue ese control en particular no es aplicable para la organización.

nte por cada Objetivo de control en base al

nte por cada dominio en base al estado que se

de ser incorporado a su presentación a las Gerencias

Vinod Kumar
Page 51 02/15/2022
[email protected]