100% encontró este documento útil (1 voto)

1K vistas32 páginas

ISO 27001 Checklist GETA

Este documento proporciona una lista de verificación para ayudar a las organizaciones a prepararse para la implementación y certificación de ISO 27001. La lista de verificación incluye los requisitos clave de ISO 27001 organizados por cláusula, como el liderazgo, la planificación, los objetivos de seguridad de la información y los recursos. El documento también incluye una breve descripción general sobre cómo la lista de verificación puede usarse como parte del viaje de certificación de una organización.

Cargado por

Julio Albeiro Londoño Patiño

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como XLSX, PDF, TXT o lee en línea desde Scribd

Temas abordados

identificación de riesgos,
fortalezas del personal,
evaluación de cumplimiento,
oportunidades de mejora,
responsabilidades organizacion…,
indicadores de eficacia,
análisis de riesgos,
gestión de cambios,
interesados,
caracterización de procesos

100% encontró este documento útil (1 voto)

1K vistas32 páginas

ISO 27001 Checklist GETA

Cargado por

Julio Albeiro Londoño Patiño

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como XLSX, PDF, TXT o lee en línea desde Scribd

Temas abordados

identificación de riesgos,
fortalezas del personal,
evaluación de cumplimiento,
oportunidades de mejora,
responsabilidades organizacion…,
indicadores de eficacia,
análisis de riesgos,
gestión de cambios,
interesados,
caracterización de procesos

ISO 27001 Checklist & Gap Analisis: Determinar el estado inicial y continuo de la implemen

Descripción general: complete la siguiente lista de verificación a medida que completa su viaje de certificaci
Estos pasos lo ayudarán a prepararse para la implementación y certificación de ISO 27001, pero esta lista de verifica
Solución integral: cada empresa tiene necesidades de seguridad únicas que deben ser evaluadas por un experto an

Para hablar con nuestros expertos sobre la consultoría práctica de ISO 27001

ISO 27001
Requisito obligatorio para el SGSI
clausula

4 Sistema de gestión de seguridad de la información

4.1 Comprender la organización y su contexto
La organización debe determinar los problemas externos e internos
que sean relevantes para su propósito y que afecten su capacidad
4.1
para lograr los resultados previstos de su sistema de gestión de
seguridad de la información.
4.2 Comprender las necesidades y expectativas de las partes interesadas.
La organización debe determinar:
a) partes interesadas que sean relevantes para el sistema de gestión
4.2 de seguridad de la información; y
b) los requisitos de estas partes interesadas relevantes para la
seguridad de la información
4.3 Determinar el alcance del sistema de gestión de seguridad de la información.
La organización debe determinar los límites y la aplicabilidad del
4.3 sistema de gestión de seguridad de la información para establecer su
alcance.
4.4 Sistema de gestión de seguridad de la información

La organización debe establecer, implementar, mantener y mejorar

4.4 continuamente un sistema de gestión de seguridad de la información,
de acuerdo con los requisitos de esta Norma Internacional.

5 Liderazgo
5.1 Liderazgo y compromiso

La gerencia deberá proporcionar evidencia de su compromiso con

5.1 el establecimiento, implementación, operación, monitoreo,
revisión, mantenimiento y mejora del SGSI mediante:

asegurar que la política de seguridad de la información y los objetivos

5.1 (a) de seguridad de la información se establezcan y sean compatibles con
la dirección estratégica de la organización;

asegurar la integración de los requisitos del sistema de gestión de

5.1 (b)
seguridad de la información en los procesos de la organización;

asegurar que los recursos necesarios para el sistema de gestión de

5.1 (c)
seguridad de la información estén disponibles;
comunicar la importancia de una gestión eficaz de la seguridad de la
5.1 (d) información y de cumplir con los requisitos del sistema de gestión de la
seguridad de la información;
garantizar que el sistema de gestión de la seguridad de la información
5.1 (e)
logre los resultados previstos;

dirigir y apoyar a las personas para que contribuyan a la eficacia del

5.1 (f)
sistema de gestión de la seguridad de la información;

5.1 (g) promover la mejora continua; y

Apoyar otros roles gerenciales relevantes para demostrar su liderazgo

5.1 (h)
en lo que se refiere a sus áreas de responsabilidad.

5.2

La alta dirección debe establecer una política de seguridad de la

información que:
a) es apropiado para el propósito de la organización;
b) incluye objetivos de seguridad de la información (ver 6.2) o
proporciona el marco para establecer objetivos de seguridad de la
información;
c) incluye el compromiso de satisfacer los requisitos aplicables
5.2 relacionados con la seguridad de la información; y
d) incluye un compromiso con la mejora continua del sistema de
gestión de seguridad de la información.

La política de seguridad de la información deberá:

e) estar disponible como información documentada;
f) comunicarse dentro de la organización; y
g) estar disponible para las partes interesadas, según corresponda

5.3 Organizational roles, responsibilities and authorities

Top management shall ensure that the responsibilities and authorities
5.3 for roles relevant to information security are assigned and
communicated.
6 Planning
6.1 Actions to address risks and opportunities
6.1.1 General

Al planificar el sistema de gestión de la seguridad de la información, la

organización debe considerar los problemas mencionados en 4.1 y los
requisitos mencionados en 4.2 y determinar los riesgos y
oportunidades que deben abordarse para:
6.1.1
a) garantizar que el sistema de gestión de la seguridad de la
información pueda lograr los resultados previstos;
b) prevenir o reducir efectos no deseados; y
c) lograr una mejora continua

La organización debe planificar acciones para abordar estos riesgos y

6.1.1 (d)
oportunidades; y
La organización debe planificar cómo:
1) integrar e implementar estas acciones en su sistema de gestión de
6.1.1 (e)
seguridad de la información de los procesos; y
2) evaluar la efectividad de estas acciones.
6.1.2 Evaluación de riesgos de seguridad de la información
ThLa organización debe definir y aplicar un proceso de evaluación
6.1.2
de riesgos de seguridad de la información que:

establece y mantiene criterios de riesgo de seguridad de la información

que incluyen:
6.1.2 (a) 1) los criterios de aceptación del riesgo; y
2) criterios para realizar evaluaciones de riesgos de seguridad de la
información;

asegura que las evaluaciones repetidas de riesgos de seguridad de la

6.1.2 (b)
información produzcan resultados consistentes, válidos y comparables;

identifica los riesgos de seguridad de la información:

1) aplicar el proceso de evaluación de riesgos de seguridad de la
información para identificar los riesgos asociados con la pérdida de
6.1.2 (c)
confidencialidad, integridad y disponibilidad de la información dentro
del alcance del sistema de gestión de seguridad de la información; y
2) identificar a los propietarios del riesgo;

analiza los riesgos de seguridad de la información:

1) evaluar las consecuencias potenciales que resultarían si los riesgos
identificados en 6.1.2 c) 1) se materializaran;
6.1.2 (d)
2) evaluar la probabilidad realista de que ocurran los riesgos
identificados en 6.1.2 c) 1); y
3) determinar los niveles de riesgo;
evalúa los riesgos de seguridad de la información:
1) comparar los resultados del análisis de riesgo con los criterios de
6.1.2 (e)
riesgo establecidos en 6.1.2 a); y
2) priorizar los riesgos analizados para el tratamiento de riesgos.
6.1.3 Tratamiento de riesgos de seguridad de la información

La organización debe definir y aplicar un proceso de tratamiento

6.1.3
de riesgos de seguridad de la información para:

seleccionar las opciones adecuadas de tratamiento de riesgos de

6.1.3 (a) seguridad de la información, teniendo en cuenta los resultados de la
evaluación de riesgos;
determinar todos los controles que son necesarios para implementar
6.1.3 (b) las opciones de tratamiento de riesgos de seguridad de la información
elegidas;

comparar los controles determinados en 6.1.3 (b) con los del Anexo A
6.1.3 (c)
y verificar que no se hayan omitido los controles necesarios;

producir una Declaración de aplicabilidad que contenga los controles

necesarios (ver [Link]) y la justificación de las inclusiones, ya sea
6.1.3 (d)
que se implementen o no, y la justificación de las exclusiones de los
controles del Anexo A;
formular un plan de tratamiento de riesgos de seguridad de la
6.1.3 (e)
información; y

obtener la aprobación de los propietarios del riesgo del plan de

6.1.3 (f) tratamiento de riesgos de seguridad de la información y la aceptación
de los riesgos residuales de seguridad de la información.

6.2 Objetivos de seguridad de la información y planes para lograrlos

La organización debe establecer objetivos de seguridad de la
6.2
información en las funciones y niveles relevantes.

Los objetivos de seguridad de la información deberán:

a) ser coherente con la política de seguridad de la información;
b) ser medible (si es posible);
c) tener en cuenta los requisitos de seguridad de la información
6.2
aplicables y los resultados de la evaluación de riesgos y el tratamiento
de riesgos;
d) ser comunicado; y
e) actualizarse según corresponda.

Al planificar cómo lograr sus objetivos de seguridad de la información,

la organización debe determinar:
f) qué se hará;
6.2 g) qué recursos se requerirán;
h) quién será el responsable;
i) cuándo se completará; y
j) cómo se evaluarán los resultados.

7 Suporte
7.1 Recursos

La organización debe determinar y proporcionar los recursos

7.1 necesarios para el establecimiento, implementación, mantenimiento y
mejora continua del sistema de gestión de seguridad de la información.

7.2 Competencia
7.2 La organización debe:

determinar la competencia necesaria de la (s) persona (s) que realizan

7.2 (a) trabajos bajo su control que afectan su desempeño en seguridad de la
información;

asegurarse de que estas personas sean competentes sobre la base de

7.2 (b)
una educación, formación o experiencia adecuadas;

en su caso, tomar acciones para adquirir la competencia necesaria y

7.2 (c)
evaluar la efectividad de las acciones tomadas; y

conservar la información documentada adecuada como prueba de

7.2 (d)
competencia.

7.3 Conciencia
Las personas que realicen trabajos bajo el control de la organización
7.3
deberán conocer:
7.3 (a) la política de seguridad de la información;
su contribución a la eficacia del sistema de gestión de la seguridad de
7.3 (b) la información, incluidos los beneficios de un mejor desempeño de la
seguridad de la información; y
las implicaciones de no cumplir con los requisitos del sistema de
7.3 (c)
gestión de seguridad de la información.
7.4 Comunicacion

La organización debe determinar la necesidad de comunicaciones

7.4 internas y externas relevantes para el sistema de gestión de
seguridad de la información, incluyendo:

7.4 (a) sobre qué comunicar;

7.4 (b) cuando comunicarse;
7.4 (c) con quien comunicarse;
7.4 (d) quién se comunicará; y
7.4 (e) los procesos mediante los cuales se efectuará la comunicación.
7.5 Información documentada
7.5.1 General

El sistema de gestión de seguridad de la información de la

7.5.1
organización debe incluir:

7.5.1 (a) información documentada requerida por esta Norma Internacional; y

información documentada determinada por la organización como

7.5.1 (b) necesaria para la eficacia del sistema de gestión de seguridad de la
información.
7.5.2 Creando y actualizando
Al crear y actualizar información documentada, la organización debe
7.5.2
asegurarse de que sea apropiado:
identificación y descripción (por ejemplo, título, fecha, autor o número
7.5.2 (a)
de referencia);
formato (por ejemplo, idioma, versión de software, gráficos) y medios
7.5.2 (b)
(por ejemplo, papel, electrónico); y
7.5.2 (c) revisión y aprobación de idoneidad y adecuación.
7.5.3 Control de información documentada
La información documentada requerida por el sistema de gestión de
7.5.3 seguridad de la información y por esta Norma Internacional debe
controlarse para garantizar:
está disponible y es adecuado para su uso, donde y cuando se
7.5.3 (a)
necesite; y
está adecuadamente protegido (por ejemplo, contra la pérdida de
7.5.3 (b)
confidencialidad, uso indebido o pérdida de integridad).
Para el control de la información documentada, la organización debe
7.5.3
abordar las siguientes actividades, según corresponda:
7.5.3 (c) distribución, acceso, recuperación y uso;
almacenamiento y conservación, incluida la conservación de la
7.5.3 (d)
legibilidad;
7.5.3 (e) control de cambios (por ejemplo, control de versiones); y
7.5.3 (f) retención y disposición.
La información documentada de origen externo, determinada por la
organización como necesaria para la planificación y operación del
7.5.3
sistema de gestión de seguridad de la información, debe identificarse
según corresponda y controlarse.
8 Operacion
8.1 Planificación y control operacional

La organización debe planificar, implementar y controlar los procesos

necesarios para cumplir con los requisitos de seguridad de la
8.1 información y para implementar las acciones determinadas en 6.1. La
organización también debe implementar planes para lograr los
objetivos de seguridad de la información determinados en 6.2.

La organización debe mantener la información documentada en la

8.1 medida necesaria para tener confianza en que los procesos se han
llevado a cabo según lo planeado.

La organización debe controlar los cambios planificados y revisar las

8.1 consecuencias de los cambios no deseados, tomando medidas para
mitigar cualquier efecto adverso, según sea necesario.

La organización debe asegurarse de que los procesos subcontratados

8.1
estén determinados y controlados.
8.2 Evaluación de riesgos de seguridad de la información
La organización debe realizar evaluaciones de riesgos de seguridad de
la información a intervalos planificados o cuando se propongan u
8.2
ocurran cambios significativos, teniendo en cuenta los criterios
establecidos en 6.1.2.a.
La organización debe conservar información documentada de los
8.2 resultados de las evaluaciones de riesgos de seguridad de la
información.
8.3 Tratamiento de riesgos de seguridad de la información

La organización debe implementar el plan de tratamiento de riesgos de

8.3
seguridad de la información.

La organización debe conservar información documentada de los

8.3
resultados del tratamiento de riesgos de seguridad de la información.

9 Evaluación del desempeño

9.1 Seguimiento, medición, análisis y evaluación
La organización debe evaluar el desempeño de la seguridad de la
9.1 información y la efectividad del sistema de gestión de la seguridad de
la información. La organización debe determinar:
qué necesita ser monitoreado y medido, incluidos los procesos y
9.1 (a)
controles de seguridad de la información;
los métodos de seguimiento, medición, análisis y evaluación, según
9.1 (b)
corresponda, para garantizar resultados válidos;
9.1 (c) cuándo se realizará el seguimiento y la medición;
9.1 (d) quién supervisará y medirá;
cuándo deben analizarse y evaluarse los resultados del seguimiento y
9.1 (e)
la medición; y
cuándo deben analizarse y evaluarse los resultados del seguimiento y
9.1 (f)
la medición; y
9.2 Auditoría interna
La organización debe realizar auditorías internas a intervalos
9.2 planificados para proporcionar información sobre si el sistema de
gestión de seguridad de la información:
De acuerdo a
1) los propios requisitos de la organización para su sistema de gestión
9.2 (a)
de seguridad de la información; y
2) los requisitos de esta Norma Internacional;
9.2 (b) se implementa y mantiene de manera efectiva.
9.2 La organización debe:
planificar, establecer, implementar y mantener un programa o
programas de auditoría, incluida la frecuencia, los métodos, las
responsabilidades, los requisitos de planificación y los informes. El
9.2 (c)
programa o programas de auditoría deberán tener en cuenta la
importancia de los procesos en cuestión y los resultados de auditorías
anteriores;
9.2 (d) definir los criterios de auditoría y el alcance de cada auditoría;
seleccionar auditores y realizar auditorías que aseguren la objetividad
9.2 (e)
y la imparcialidad del proceso de auditoría;
asegurarse de que los resultados de las auditorías se informen a la
9.2 (f)
dirección pertinente; y
retener información documentada como evidencia del programa o
9.2 (g)
programas de auditoría y los resultados de la auditoría.
9.3 Revisión de gestión
La alta dirección debe revisar el sistema de gestión de seguridad de la
información de la organización a intervalos planificados para asegurar
9.3
su conveniencia, adecuación y eficacia continuas. La revisión por la
dirección debe incluir la consideración de:
9.3 (a) el estado de las acciones de las revisiones de gestión anteriores;
cambios en asuntos externos e internos que son relevantes para el
9.3 (b)
sistema de gestión de seguridad de la información;
retroalimentación sobre el desempeño de la seguridad de la
información, incluidas las tendencias en:
1) no conformidades y acciones correctivas;
9.3 (c)
2) resultados de seguimiento y medición;
3) resultados de la auditoría; y
4) cumplimiento de los objetivos de seguridad de la información;
9.3 (d) comentarios de las partes interesadas;
resultados de la evaluación de riesgos y estado del plan de tratamiento
9.3 (e)
de riesgos; y
9.3 (f) oportunidades de mejora continua.

Los resultados de la revisión por la dirección deben incluir decisiones

relacionadas con las oportunidades de mejora continua y cualquier
9.3 necesidad de cambios en el sistema de gestión de seguridad de la
información. La organización debe retener información documentada
como evidencia de los resultados de las revisiones por la dirección.

10 Mejora
10.1 No conformidades y acciones correctivas
10.1 Cuando ocurre una no conformidad, la organización debe:
reaccionar ante la no conformidad y, según corresponda:
10.1 (a) 1) tomar medidas para controlarlo y corregirlo; y
2) lidiar con las consecuencias;
evaluar la necesidad de acción para eliminar las causas de la no
conformidad, a fin de que no se repita ni ocurra en otro lugar,
mediante:
10.1 (b) 1) revisión de la no conformidad;
2) determinar las causas de la no conformidad; y
3) determinar si existen no conformidades similares, o podrían ocurrir
potencialmente;
10.1 (c) implementar cualquier acción necesaria;
10.1 (d) revisar la efectividad de cualquier acción correctiva tomada; y
realizar cambios en el sistema de gestión de seguridad de la
10.1 (e)
información, si es necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no
10.1 conformidades encontradas. La organización debe retener información
documentada como evidencia de:
la naturaleza de las no conformidades y cualquier acción posterior
10.1 (f)
tomada, y
10.1 (g) los resultados de cualquier acción correctiva.
10.2 Mejora continua

La organización debe mejorar continuamente la idoneidad, adecuación

10.2
y eficacia del sistema de gestión de seguridad de la información.

Leyenda
Contar Código de estado - Significado

0 El proceso está definido / documentado y practicado / implementado

El proceso se practica / implementa sin la documentación adecuada; El

0 proceso debe estar definido / documentado para garantizar la
repetibilidad del proceso y mitigar los riesgos.

100 El proceso está definido y no se practica

0 El proceso no es aplicable para la empresa según el alcance

100
nicial y continuo de la implementación de ISO 27001

da que completa su viaje de certificación ISO 27001 para ayudar a realizar un seguimiento de su progreso.
n de ISO 27001, pero esta lista de verificación no pretende servir como un 100%
e deben ser evaluadas por un experto antes de obtener la certificación.

¿Tiene documentos / registros de

Estado referencia para demostrar el
cumplimiento?

Not Implemented No

es interesadas.

Not Implemented No

ad de la información.

Not Implemented No

Not Implemented Yes

Not Implemented No

Not Implemented

Not Implemented No

Not Implemented No
Not Implemented No

Not Implemented No

Not Implemented Yes

Not Implemented No

Not Implemented No
Not Implemented No

Not Implemented No

lograrlos
Not Implemented No

Not Implemented No