Checklist

Checklist de preparacion ISO 27001

Lista de verificacion con 25 puntos criticos para evaluar el estado de preparacion de tu organizacion ante una auditoria ISO 27001.

Esta lista de verificacion permite evaluar el grado de madurez del Sistema de Gestion de Seguridad de la Informacion (SGSI) de tu organizacion frente a los requisitos de ISO/IEC 27001:2022. Cada punto referencia la clausula normativa correspondiente.

Puntos de verificacion

Contexto y liderazgo

Se han identificado las cuestiones internas y externas relevantes para el SGSI[4.1]

Se han determinado las partes interesadas y sus requisitos de seguridad de la informacion[4.2]

El alcance del SGSI esta definido y documentado, incluyendo limites y aplicabilidad[4.3]

La alta direccion ha emitido una politica de seguridad de la informacion alineada con los objetivos estrategicos[5.2]

Se han asignado roles, responsabilidades y autoridades para el SGSI[5.3]

Planificacion de riesgos

Existe un proceso documentado de evaluacion de riesgos de seguridad de la informacion[6.1.2]

Se han identificado los riesgos asociados a la perdida de confidencialidad, integridad y disponibilidad[6.1.2]

Existe un plan de tratamiento de riesgos con propietarios asignados[6.1.3]

Se ha elaborado la Declaracion de Aplicabilidad (SoA) con justificacion de inclusiones y exclusiones[6.1.3]

Se han establecido objetivos de seguridad de la informacion medibles y coherentes con la politica[6.2]

Soporte y recursos

Se han asignado recursos adecuados para el establecimiento, implementacion y mejora del SGSI[7.1]

El personal con roles en el SGSI cuenta con competencia demostrable (formacion, experiencia)[7.2]

Existe un programa de concientizacion sobre seguridad de la informacion para todo el personal[7.3]

Los canales de comunicacion interna y externa sobre seguridad de la informacion estan definidos[7.4]

La informacion documentada del SGSI esta controlada (versionado, aprobacion, distribucion)[7.5]

Operacion

Los procesos operativos del SGSI se planifican, implementan y controlan segun lo previsto[8.1]

Las evaluaciones de riesgos se realizan a intervalos planificados o ante cambios significativos[8.2]

El plan de tratamiento de riesgos se implementa y se conservan registros de los resultados[8.3]

Los controles del Anexo A seleccionados estan implementados y operativos[8.1]

Se gestionan los cambios que pueden afectar la seguridad de la informacion de forma controlada[8.1]

Evaluacion y mejora

Se monitorean y miden los procesos y controles del SGSI con indicadores definidos[9.1]

Se realizan auditorias internas del SGSI a intervalos planificados[9.2]

La alta direccion revisa el SGSI a intervalos planificados para asegurar su conveniencia y eficacia[9.3]

Las no conformidades se registran, analizan y se toman acciones correctivas documentadas[10.1]

Se identifican oportunidades de mejora continua del SGSI y se implementan acciones[10.2]

CriticoRecomendadoOpcional

Preguntas frecuentes

El tiempo de preparacion tipico oscila entre 6 y 12 meses, dependiendo del tamano de la organizacion, la madurez de los controles existentes y la disponibilidad de recursos dedicados. Un diagnostico de brechas (gap analysis) permite estimar con precision el esfuerzo necesario.

Las no conformidades mas recurrentes incluyen: falta de evidencia en la evaluacion de riesgos (6.1.2), Declaracion de Aplicabilidad incompleta (6.1.3), ausencia de indicadores de eficacia de controles (9.1), y deficiencias en el programa de auditoria interna (9.2).

No. La norma requiere que la organizacion determine que controles del Anexo A son aplicables segun su evaluacion de riesgos. Los controles que no apliquen deben justificarse en la Declaracion de Aplicabilidad (SoA). El criterio de seleccion debe ser trazable al analisis de riesgos documentado.

Evaluacion profesional de tu estado de preparacion

Diagnostico en 72 horas operativas. Metodologia ISO. Sin vinculacion con certificadores.

Solicitar diagnostico

Loading content…

Preguntas frecuentes