Home / Checklists /

Checklist de preparacion ISO 27001

Esta lista de verificacion permite evaluar el grado de madurez del Sistema de Gestion de Seguridad de la Informacion (SGSI) de tu organizacion frente a los requisitos de ISO/IEC 27001:2022. Cada punto referencia la clausula normativa correspondiente.

0 de 25 completados

Contexto y liderazgo

Se han identificado las cuestiones internas y externas relevantes para el SGSI

Alta4.1

Se han determinado las partes interesadas y sus requisitos de seguridad de la informacion

Alta4.2

El alcance del SGSI esta definido y documentado, incluyendo limites y aplicabilidad

Alta4.3

La alta direccion ha emitido una politica de seguridad de la informacion alineada con los objetivos estrategicos

Alta5.2

Se han asignado roles, responsabilidades y autoridades para el SGSI

Alta5.3

Planificacion de riesgos

Existe un proceso documentado de evaluacion de riesgos de seguridad de la informacion

Alta6.1.2

Se han identificado los riesgos asociados a la perdida de confidencialidad, integridad y disponibilidad

Alta6.1.2

Existe un plan de tratamiento de riesgos con propietarios asignados

Alta6.1.3

Se ha elaborado la Declaracion de Aplicabilidad (SoA) con justificacion de inclusiones y exclusiones

Alta6.1.3

Se han establecido objetivos de seguridad de la informacion medibles y coherentes con la politica

Media6.2

Soporte y recursos

Se han asignado recursos adecuados para el establecimiento, implementacion y mejora del SGSI

Alta7.1

El personal con roles en el SGSI cuenta con competencia demostrable (formacion, experiencia)

Alta7.2

Existe un programa de concientizacion sobre seguridad de la informacion para todo el personal

Media7.3

Los canales de comunicacion interna y externa sobre seguridad de la informacion estan definidos

Media7.4

La informacion documentada del SGSI esta controlada (versionado, aprobacion, distribucion)

Alta7.5

Operacion

Los procesos operativos del SGSI se planifican, implementan y controlan segun lo previsto

Alta8.1

Las evaluaciones de riesgos se realizan a intervalos planificados o ante cambios significativos

Alta8.2

El plan de tratamiento de riesgos se implementa y se conservan registros de los resultados

Alta8.3

Los controles del Anexo A seleccionados estan implementados y operativos

Alta8.1

Se gestionan los cambios que pueden afectar la seguridad de la informacion de forma controlada

Media8.1

Evaluacion y mejora

Se monitorean y miden los procesos y controles del SGSI con indicadores definidos

Media9.1

Se realizan auditorias internas del SGSI a intervalos planificados

Alta9.2

La alta direccion revisa el SGSI a intervalos planificados para asegurar su conveniencia y eficacia

Alta9.3

Las no conformidades se registran, analizan y se toman acciones correctivas documentadas

Alta10.1

Se identifican oportunidades de mejora continua del SGSI y se implementan acciones

Media10.2

Preguntas frecuentes

Cuanto tiempo toma prepararse para una auditoria ISO 27001

El tiempo de preparacion tipico oscila entre 6 y 12 meses, dependiendo del tamano de la organizacion, la madurez de los controles existentes y la disponibilidad de recursos dedicados. Un diagnostico de brechas (gap analysis) permite estimar con precision el esfuerzo necesario.

Cuales son las no conformidades mas frecuentes en auditorias ISO 27001

Las no conformidades mas recurrentes incluyen: falta de evidencia en la evaluacion de riesgos (6.1.2), Declaracion de Aplicabilidad incompleta (6.1.3), ausencia de indicadores de eficacia de controles (9.1), y deficiencias en el programa de auditoria interna (9.2).

Es necesario implementar todos los controles del Anexo A

No. La norma requiere que la organizacion determine que controles del Anexo A son aplicables segun su evaluacion de riesgos. Los controles que no apliquen deben justificarse en la Declaracion de Aplicabilidad (SoA). El criterio de seleccion debe ser trazable al analisis de riesgos documentado.

¿Necesitás ayuda con la implementación?

Solicitar diagnóstico→