EST LISTO PARA EL ISO/IEC 27001:2013?

Este documento ha sido diseado para la evaluacin de su compaa, respecto

al ISO/IEC 27001 Sistema de Gestin de la Seguridad de la Informacin.
Al completar este cuestionario, los resultados le permitirn autoevaluar su
organizacin e identificar en qu punto del proceso del ISO/IEC 27001 se
encuentra. Si usted desea que realicemos este anlisis por usted. Por favor
complete el cuestionario (incluyendo su informacin de contacto), gurdelos y
envelos a certification.sales@bsigroup.com
1. La organizacin y el contexto
Se han determinado los problemas internos y externos, que son relevantes
para el SGSI, as como el impacto en los logros de los resultados esperado?
2. Las necesidades y expectativas de las partes interesadas
La organizacin ha determinado las partes interesadas, que son relevantes
para el SGSI?
Se han determinado los requisitos de dichas partes interesadas, incluyendo
los requisitos legales, reguladores y contractuales?
3. Campo de aplicacin del SGSI
Se han determinado los lmites y la aplicacin del SGSI para establecer el
alcance del mismo, tomando en cuenta los problemas internos y externos, los
requisitos de las partes interesadas, as como de las interfaces y dependencias
con otras organizaciones?
Est documentado el campo de alcance del SGSI?
4. Compromiso de la direccin
El compromiso de la direccin organizacional para el SGSI, est demostrado al:
Establecer los objetivos y polticas sobre la seguridad de la informacin,
considerando la direccin estratgica de la organizacin y una promocin
continua del mejoramiento?
Asegurar la integracin de los requisitos del SGSI dentro de los procesos
de su negocio?
Asegurar que los recursos estn disponibles para el SGSI, dirigiendo y
apoyando a los individuos, quienes contribuyen a su efectividad,
incluyendo a la direccin misma?
Comunicar la importancia de una seguridad efectiva de la informacin y
de conformidad a los requisitos del SGSI?
5. Poltica de seguridad de la informacin
Existe alguna poltica de seguridad de la informacin que sea apropiada, que
de un marco de referencia para establecer objetivos y demuestre el
compromiso por instaurar los requisitos y un continuo mejoramiento?
Dicha poltica est documentada y es del conocimiento de los empleados y de
las partes interesadas?
6. Roles y responsabilidades
Los roles dentro del SGSI estn claramente definidos y dados a conocer?
Estn asignadas las responsabilidades y autoridades por conformidad que
reportarn el desempeo del SGSI?

7. Riesgos y beneficios por implementar el SGSI

Se han considerado los problemas internos y externos, los requisitos de las
partes interesadas para determinar los riesgos y beneficios que necesitan
sealarse para asegurar que el SGSI alcance su objetivo, que se reduzcan o
prevengan los efectos no deseados y que se ha logrado un mejoramiento
continuo?
Se han planeado acciones para sealar los riesgos y beneficios, integrarlas a
los procesos del SGSI y evaluar su efectividad?
8. Evaluacin de riesgos hacia la seguridad de la informacin
Se ha definido un proceso de evaluacin de riesgos hacia la seguridad de la
informacin, que establezca los criterios para realizar evaluaciones de riesgos
hacia la seguridad de la informacin, incluyendo los criterios de la aceptacin
de riesgos?
El proceso de evaluacin de riesgos hacia la seguridad de la informacin
puede repetirse y produce resultados consistentes, vlidos y comparables?
El proceso de evaluacin de riesgos hacia la seguridad de la informacin
identifica riesgos asociados con la prdida de confidencialidad, integridad y
disponibilidad de la informacin, as como la identificacin de los propietarios
en riesgo, dentro del campo de aplicacin del SGSI?
Se han analizado los riesgos hacia la seguridad de la informacin para evaluar
las probabilidades reales y consecuencias potenciales que podran resultar, si
llegaran a ocurrir, as como la determinacin de los niveles de riesgo?
Se han comparado los riesgos hacia la seguridad de la informacin con los
criterios de riesgo establecidos y priorizados?
Se tiene disponible la informacin documentada sobre el proceso de
evaluacin del riesgo hacia la seguridad de la informacin?
9. Tratamiento de riesgos en la seguridad de la informacin

Se ha elegido algn proceso de tratamiento de riesgos hacia la seguridad de

la informacin, para seleccionar las opciones de tratamiento de riesgos
apropiada acorde con los resultados de la evaluacin de riesgos hacia la
seguridad de la informacin, de igual manera, se han determinado los controles
que se implementarn en dicha opcin de tratamiento de riesgos?

Se han comparado los controles determinados con el ISO/IEC 27001:2013

Anexo A, para verificar que no se excluy ningn control?

Se produjo una declaracin de Aplicabilidad para justificar los puntos excluidos

e incluidos del Anexo A, tomando en cuenta el estado del control que se
implement?
Se ha formulado y aprobado un plan de tratamiento de riesgos hacia la
seguridad de la informacin, por los propietarios en riesgo, de igual manera, se
han autorizado los riesgos residuales hacia la seguridad de la informacin, por
los propietarios en riesgo?

Se tiene disponible la informacin documentada sobre el proceso del

tratamiento de riesgos hacia la seguridad de la informacin?

10. Objetivos de la seguridad de la informacin y cmo

alcanzarlos

Se han establecido los objetivos del SGSI que sean estimables, documentados
y comunicados a toda la organizacin? Al establecer dicho objetivos, la
organizacin ha determinado lo que se necesita hacer, cundo y por quin?

11. Competitividad y recursos del SGSI

El SGSI cuenta con los recursos necesarios y adecuados?

Existe un proceso definido y documentado para determinar la competitividad

de los roles del SGSI?

Dichas garantas de los roles el SGSI son competentes, de igual manera, esta
competitividad se encuentra documentada adecuadamente?

12. Conocimiento y comunicacin

Estn conscientes todos los involucrados en el control de la organizacin, de

la importancia de la poltica de la seguridad de la informacin, de su
contribucin a una mayor efectividad del SGSI y de las implicaciones de no
estar de acuerdo?

La organizacin ha determinado como relevante la necesidad de

comunicaciones internas y externas para el SGSI, incluyendo que se da a
conocer, cuando, con quien y por quien, as como los procesos por los cuales se
lograr?

13. Informacin documentada

La organizacin ha determinado necesaria la informacin documentada para

una mejor eficiencia del SGSI?

La informacin documentada se encuentra en un formato apropiado, se ha

identificado, revisado y aprobado como idneo?

La informacin documentada est controlada, tanto que est disponible y

protegida adecuadamente, distribuida, almacenada, conservada y bajo un
control cambiante, incluyendo documentos de origen externo, requeridos por la
organizacin para el SGSI?

14. Control y planeacin operacional

Se ha desarrollado e implementado un programa para asegurar que el SGSI

alcanza sus resultados, requisitos y objetivos?

Se ha conservado evidencia documentada para demostrar que los procesos se

llevan a cabo segn lo planeado?

Se revisan los cambios planeados y controlados, as como los cambios no

intencionados, para mitigar algn resultado adverso?

Se han determinado procesos externos y han sido controlados?

Se llevan a cabo evaluaciones de riesgos hacia la seguridad de la informacin

en intervalos planeados o cuando ocurren cambios significativos, y se conserva
la informacin documentada?

Se implementa un plan de tratamiento de riesgos hacia la seguridad de la

informacin y se conserva la informacin documentada?

15. Supervisin, moderacin y evaluacin

Se evala el desempeo y efectividad del SGSI?

Se ha determinado que requiere supervisarse y moderarse, cuando, por

quien, los mtodos que se utilizarn y cuando se evaluarn los resultados?

Se conserva la informacin documentada como evidencia de los resultados de

la supervisin y moderacin?

16. Auditora interna

Se realizan auditoras internas peridicas, para revisar la efectividad del SGSI,

conforme al ISO/IEC27001:2013 y los requisitos de la organizacin?

Las auditoras se realizan con un mtodo apropiado y a la par con un

programa basado en los resultados de evaluaciones de riesgos y auditoras
previas?

Cundo se identifican inconformidades, estn sujetas a alguna correccin?

(ver seccin 18)

17. Revisin de la direccin

La alta direccin lleva a cabo una revisin peridica del SGSI?

El resultado de la revisin de la direccin del SGSI, identifica cambios y
mejoras?

Se documentan, se toman acciones y se comunican apropiadamente los

resultados de la revisin de la direccin, a las partes interesadas?

18. Accin correctiva y mejoramiento continuo

Se han identificado las acciones que se tienen que controlar, corregir y

negociar, con las consecuencias de las inconformidades?

Se ha evaluado la necesidad de tomar accin para eliminar de raz la causa de

las inconformidades, para prevenir la recurrencia?

Se han implementado y revisado algunas acciones identificadas como

efectivas y que dieron pie a una mejora del SGSI?

Se conserv la informacin documentada como evidencia de la naturaleza de

las inconformidades, de las acciones tomadas y de los resultados?

19. Controles de seguridad como se aplican, basndose en

los resultados de su evaluacin de riesgos hacia la seguridad de
la informacin

Se revisan y definen regularmente las polticas de seguridad de la

informacin, proporcionadas por la direccin?

Se ha establecido un marco de referencia de la direccin para controlar la

implementacin y operacin de la seguridad dentro de la organizacin,
incluyendo la asignacin de responsabilidades y la separacin de tareas que
conflictuen?

Se mantiene un contacto apropiado con las autoridades y grupos de especial

inters?

Se lleva a cabo la seguridad de la informacin en los Proyectos?

Existe una poltica sobre los dispositivos mviles y el trabajo a distancia?

Los recursos humanos estn sujetos a la proyeccin y poseen trminos y

condiciones que definan sus responsabilidades con la seguridad de la
informacin?

Los empleados requieren aadirse a las polticas y procedimientos de la

seguridad de la informacin, provistos con conocimiento, educacin y
entrenamiento, as mismo, existe un proceso disciplinario?

Se comunican y refuerzan las tareas y responsabilidades de la seguridad de la

informacin para empleados que finalizan o cambian de empleo?
Existe un inventario de activos asociados con la informacin y su
procesamiento, se asignan los dueos y se definen las reglas para el uso y
devolucin aceptable de activos?

La informacin se clasifica y etiqueta apropiadamente, al igual, se han

definido los procedimientos para el manejo de activos de acuerdo con su
clasificacin?

Existen procedimientos para la eliminacin, venta y trnsito de medios que

contengan informacin?

Se ha definido una poltica de control de acceso y el acceso del usuario a la

red est controlado junto con dicha poltica?

Existe un proceso formal de registro de usuario, brindando y revocando el

acceso, derechos de acceso al sistemas y servicios, y dichos derechos de
acceso son revisados regularmente, as como removidos al trmino de ese
empleo?

Los derechos de acceso privilegiados estn restringidos y controlados, la

autenticacin secreta de la informacin est controlada, y estas prcticas son
del conocimiento de los usuarios?

El acceso a informacin est restringido junto con la poltica de control de

acceso, dicho acceso est controlado por un procedimiento de inicio de sesin
seguro?

Las contraseas de los sistemas de gestin son interactivas y se producen una

contrasea de calidad?

Se restringe el uso de programas de utilidades y el acceso al cdigo fuente del

programa?

Existe una poltica para el uso de criptografa y la gestin de claves?

Existen polticas y controles para prevenir acceso fsico no autorizado, el dao

a la informacin, as como de las instalaciones donde se procesa la
informacin?

Se han implementado polticas y controles para prevenir prdidas, daos, robo

o que se comprometan los activos y se interrumpan las operaciones?

Se documentan los procedimientos operativos, de igual manera, se controlan

los cambios en la organizacin, los procesos de negocios y los sistemas de
informacin?

Se monitorean los recursos y se realizan proyecciones sobre los requisitos de

capacidad a futuro?
Existe una separacin de los entornos de desarrollo, de prueba y operacional?

Existe proteccin contra software daino (malware)?

La informacin, el software y los sistemas; se encuentran sujetos a ser

respaldados y probados regularmente?

Se han implementado controles que generen evidencia sobre inicios de

sesiones?

Est controlada la implementacin de software relacionado a sistemas

operacionales, as como reglas que administren la instalacin de software por
otros usuarios?

Se obtiene informacin sobre vulnerabilidades tcnicas y se toman medidas

apropiadas para sealar los riesgos?

Las redes se manejan, se excluyen cuando es necesario y se controlan para

proteger los sistemas de informacin, de igual forma, los servicios de la red
estn sujetos a acuerdos de servicio?

Existen polticas y acuerdos para mantener la seguridad de la informacin que

se transfiere dentro y fuera de la organizacin?

Estn definidos los requisitos de seguridad de la informacin para los sistemas

de informacin, y esta misma informacin est protegida al pasar a travs de
redes y en el servicio de solicitudes de transaccin?

Se han establecido sistemas y reglas para el desarrollo del software, as como

un control formal de los cambios en los sistemas dentro del ciclo vital de dicho
desarrollo?

Se revisan y examinan las solicitudes de negocios de suma importancia,

despus de realizar cambios en las plataformas de los sistemas operativos, as
como restricciones a los cambios en el empaque del software?

Se han establecido, mantenido e implementado los principios de una

produccin segura, incluyendo el desarrollo de entornos seguros de desarrollo,
pruebas de seguridad, datos del uso de pruebas y la prueba de aceptacin del
sistema?

Se supervisa y monitorea el desarrollo de software externo?

Existen polticas y acuerdos para proteger la informacin de los activos, que

se encuentra disponible para los proveedores, as mismo, se monitorea y
administra el nivel de aceptacin de la seguridad de la informacin y del
servicio de entregas, incluyendo cambios en el abastecimiento de servicios?
Existe un enfoque consistente hacia la administracin de incidentes y
debilidades en la seguridad, incluyendo la asignacin de responsabilidades,
reportes, evaluaciones, anlisis y la recoleccin de evidencia?

Se incluye continuamente la seguridad de la informacin dentro del sistema

administrativo continuo de negocios, incluyendo la determinacin de los
requisitos en situaciones adversas, procedimientos, controles y la verificacin
de si efectividad?

Las instalaciones donde se procesa la informacin llevan a cabo despidos que

permitan alcanzar los requisitos de disponibilidad?

Se han definido todos los requisitos legales, jurdicos, regulatorios y

contractuales, as como el enfoque que lograr estos requisitos, para cada
sistema de informacin, junto con la organizacin; incluyendo, pero no limitado
a los procedimientos de derechos de propiedad intelectual, proteccin de
archivos, privacidad y proteccin de informacin personal, as como la
regulacin de controles criptogrficos?

Existe una revisin independiente de la seguridad de la informacin?

La direccin revisa continuamente la aprobacin del procesamiento de la

informacin y los procedimientos dentro de las reas en que son responsables?