Check List Auditoria Controles SGSI

Fecha Auditoria FOR GSI 050

Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Un conjunto de políticas para la seguridad de la

Políticas para la
información debe ser definido, aprobado por la
A.5.l.l seguridad de la SI
dirección, publicado y comunicado a los empleados
información
y partes externas relevantes.

Las políticas de seguridad de la información deben

Revisión de las políticas revisarse a intervalos planificados o siempre que se
A.5.1.2 para la seguridad de la produzcan cambios significativos, a fin de asegurar SI
información que se mantenga su idoneidad, adecuación y
eficacia.

Roles y
responsabilidades en Todas las responsabilidades en seguridad de la
A.6.1.1 Si
seguridad de la información deben ser definidas y asignadas.
información

Las funciones y áreas de responsabilidad deben

segregarse para reducir la posibilidad de que se
A.6.1.2 Segregación de tareas produzcan modificaciones no autorizadas o no Si
intencionadas o usos indebidos de los activos de la
organización.

Contacto con las Deben mantenerse los contactos apropiados con las
A.6.1.3 Si
autoridades autoridades pertinentes.

Deben mantenerse los contactos apropiados con

Contacto con grupos de grupos de interés especial, u otros foros y
A.6.1.4 Si
interés especial asociaciones profesionales especializados en
seguridad

Seguridad de la La seguridad de la información debe tratarse

A.6.1.5 información en la gestión dentro de la gestión de proyectos, Si
de proyectos independientemente de la naturaleza del proyecto.

Se debe adoptar una política y unas medidas de

Política de dispositivos
A.6.2.1 seguridad adecuadas para la protección contra los Si
móviles
riesgos de la utilización de dispositivos móviles.

Se debe implementar una política y unas medidas

de seguridad adecuadas para proteger la
A.6.2.2 Teletrabajo No
información accedida, tratada o almacenada en
emplazamientos de teletrabajo.

La comprobación de los antecedentes de todos los

candidatos al puesto de trabajo se debe llevar a
cabo de acuerdo con las leyes, normas y códigos
Investigación de
A.7.1.1 éticos que sean de aplicación y debe ser Si
antecedentes
proporcional a las necesidades del negocio, la
clasificación de la información a la que se accede y
los riesgos percibidos.
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Cómo parte de sus obligaciones contractuales, los

empleados y contratistas deben establecer los
Términos y condiciones
A.7.1.2 términos y condiciones de su contrato de trabajo en SI
del empleo
lo que respecta a la seguridad de la información,
tanto hacia el empleado como hacia la organización

La dirección debe exigir a los empleados y

Responsabilidades de contratistas, que apliquen la seguridad de la
A.7.2.1 SI
gestión información de acuerdo con las políticas y
procedimientos establecidos en la organización

Todos los empleados de la organización y,

Concienciación,
educación y capacitación
A.7.2.2
en seguridad de la
información
cuando corresponda, los contratistas, deben
recibir una adecuada educación, concienciación
y capacitación con actualizaciones periódicas SI
sobre las políticas y procedimientos de la
organización, según corresponda a su puesto de
trabajo.

Debe existir un proceso disciplinario formal que

haya sido comunicado a los empleados, que
A.7.2.3 Proceso disciplinario SI
recoja las acciones a tomar ante aquellos que
hayan provocado alguna brecha de seguridad.

Las responsabilidades en seguridad de la

información y obligaciones que siguen vigentes
Responsabilidades ante
A.7.3.1 después del cambio o finalización del empleo SI
la finalización o cambio
deben definirse, comunicarse al empleado o
contratista y se deben cumplir.

Los activos asociados a la información y a los

recursos para el tratamiento de la información
A.8.1.1 Inventario de activos SI
deben estar claramente identificados y debe
elaborarse y mantenerse un inventario

Todos los activos que figuran en el inventario deben

A.8.1.2 Propiedad de los activos SI
tener un propietario.

Se deben identificar, documentar e implementar las

Uso aceptable de los reglas de uso aceptable de la información y de los
A.8.1.3 SI
activos activos asociados con los recursos para el
tratamiento de la información.

Todos los empleados y terceras partes deben

devolver todos activos de la organización que estén
A.8.1.4 Devolución de activos SI
en su poder al finalizar su empleo, contrato o
acuerdo.

La información debe ser clasificada en términos de

Clasificación de la la importancia de su revelación frente a requisitos
A.8.2.l SI
información legales, valor, sensibilidad y criticidad ante
revelación o modificación no autorizadas.
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Debe desarrollarse e implantarse un conjunto

Etiquetado de la adecuado de procedimientos para etiquetar la
A.8.2.2 SI
información información, de acuerdo con el esquema de
clasificación adoptado por la organización.

Debe desarrollarse e implantarse un conjunto

Manipulado de la adecuado de procedimientos para la manipulación
A.8.2.3 SI
información de la información, de acuerdo con el esquema de
clasificación adoptado por la organización

Se deben implementar procedimientos para la

Gestión de soportes gestión de los soportes extraíbles, de acuerdo con
A8.3.1 SI
extraíbles el esquema de clasificación adoptado por la
organización

Los soportes deben eliminarse de forma segura

A.8.3.2 Eliminación de soportes cuando ya no vayan a ser necesarios, mediante SI
procedimientos formales.

Durante el transporte fuera de los límites físicos de

Soportes físicos en la organización, los soportes que contengan
A.8.3.3 SI
tránsito información deben estar protegidos contra accesos
no autorizados

Se debe establecer, documentar y revisar una

Política de control de política de control de acceso basada en los
A.9.1.1 SI
acceso requisitos de negocio y de seguridad de la
información.

Únicamente se debe proporcionar a los usuarios el

Acceso a las redes y a
A.9.1.2 acceso a las redes y a los servicios en red para SI
los servicios de red
cuyo uso hayan sido específicamente autorizados.

Debe implantarse un procedimiento formal de

Registro y baja de
A.9.2.1 registro y retirada de usuarios que haga posible la SI
usuario
asignación de los derechos de acceso.

Debe implantarse un procedimiento formal para

Provisión de acceso de asignar o revocar los derechos de acceso para
A.9.2.2 SI
usuario todos los tipos de usuarios de todos los
sistemas y servicios.

Gestión de privilegios La asignación y el uso de privilegios de acceso

A.9.2.3 SI
de acceso debe estar restringida y controlada.
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Gestión de la
La asignación de la información secreta de
información secreta de
A.9.2.4 autenticación debe ser controlada a través de un SI
autenticación de los
proceso formal de gestión.
usuarios

Los propietarios de los activos deben revisar los

Revisión de los derechos
A.9.2.5 derechos de acceso de usuario a intervalos SI
de acceso de usuario
regulares

Los derechos de acceso de todos los empleados y

Retirada o reasignación terceras partes, a la información y a los recursos de
A.9.2.6 de los derechos de tratamiento de la información deben ser retirados a SI
acceso la finalización del empleo, del contrato o del
acuerdo, o ajustados en caso de cambio

Se debe requerir a los usuarios que sigan las

Uso de la información
A.9.3.1 prácticas de la organización en el uso de la SI
secreta de autenticación
información secreta de autenticación.

Se debe restringir el acceso a la información y a

Restricción del acceso a
A.9.4.1 las funciones de las aplicaciones, de acuerdo con SI
la información
la política de control de acceso definida

Cuando así se requiera en la política de control de

Procedimientos seguros acceso, el acceso a los sistemas y a las
A.9.4.2 SI
de inicio de sesión aplicaciones se debe controlar por medio de un
procedimiento seguro de inicio de sesión.

Los sistemas para la gestión de contraseñas

Sistema de gestión de
A.9.4.3 deben ser interactivos y establecer contraseñas SI
contraseñas
seguras y robustas.

Se debe restringir y controlar rigurosamente el uso

Uso de utilidades con
A.9.4.4 de utilidades que puedan ser capaces de invalidar SI
privilegios del sistema
los controles del sistema y de la aplicación.

Control de acceso al
Se debe restringir el acceso al código fuente de los
A.9.4.5 código fuente de los SI
programas.
programa

Se debe desarrollar e implementar una política

Política de uso de los
A.10.1.1 sobre el uso de los controles criptográficos para SI
controles criptográficos
proteger la información.
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Se debe desarrollar e implementar una política de

A.10.1.2 Gestión de claves sobre el uso, la protección y la duración de las SI
claves de cifrado a lo largo de todo su ciclo de vida.

Se deben utilizar perímetros de seguridad para

Perímetro de seguridad proteger las áreas que contienen información
A.11.1.1 SI
física sensible así como los recursos de tratamiento de la
información.

Las áreas seguras deben estar protegidas mediante

Controles físicos de controles de entrada adecuados, para asegurar que
A.11.1.2 SI
entrada únicamente se permite el acceso al personal
autorizado.

Seguridad de oficinas, Para las oficinas, despachos y recursos, se

A.11.1.3 SI
despachos y recursos debe diseñar y aplicar la seguridad física.

Protección contra las Se debe diseñar y aplicar una protección física

A.11.1.4 amenazas externas y contra desastres naturales, ataques provocados SI
ambientales por el hombre o accidentes

El trabajo en áreas Se deben diseñar e implementar procedimientos

A.11.1.5 SI
seguras para trabajar en las áreas seguras.

Deben controlarse los puntos de acceso tales como

las áreas de carga y descarga y otros puntos,
Áreas de carga y donde pueda acceder personal no autorizado a las
A.11.1.6 SI
descarga instalaciones, y si es posible, aislar dichos puntos
de los recursos de tratamiento de la información
para evitar accesos no autorizados.

Los equipos deben situarse o protegerse de forma

Emplazamiento y
que se reduzcan los riesgos de las amenazas y los
A.11.2.1 protección de los SI
riesgos ambientales así como las oportunidades de
equipos
que se produzcan accesos no autorizados.

Los equipos deben estar protegidos contra fallos de

Instalaciones de
A.11.2.2 alimentación y otras alteraciones causadas por SI
suministro
fallos en las instalaciones de suministro.

El cableado eléctrico y de telecomunicaciones que

transmite datos o que sirve de soporte a los
A.11.2.3 Seguridad del cableado SI
servicios de información debe estar protegido frente
a interceptaciones, interferencias o daños
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Los equipos deben recibir un mantenimiento

Mantenimiento de los
A.11.2.4 correcto que asegure su disponibilidad y su SI
equipos
integridad continuas.

Retirada de materiales Sin autorización previa, los equipos, la información

A.11.2.5 SI
propiedad de la empresa o el software no deben sacarse de las instalaciones.

Deben aplicarse medidas de seguridad a los

Seguridad de los equipos situados fuera las instalaciones de la
A.11.2.6 equipos fuera de las organización, teniendo en cuenta los diferentes SI
instalaciones riesgos que conlleva trabajar fuera de dichas
instalaciones.

Todos los soportes de almacenamiento deben ser

Reutilización o
comprobados para confirmar que todo dato sensible
A.11.2.7 eliminación segura de SI
y software bajo licencia se ha eliminado de manera
equipos
segura, antes de deshacerse de ellos.

Equipo de usuario Los usuarios deben asegurarse que el equipo

A.11.2.8 SI
desatendido desatendido tiene la protección adecuada

Debe adoptarse una política de puesto de trabajo

Política de puesto de
despejado de papeles y medios de almacenamiento
A.11.2.9 trabajo despejado y SI
desmontables y una política de pantalla limpia para
pantalla limpia
los recursos de tratamiento de la información

Documentación de Deben documentarse y mantenerse procedimientos

A.12.1.1 procedimientos de los de operación y ponerse a disposición de todos los SI
operación usuarios que los necesiten.

Los cambios en la organización, los procesos de

negocio, instalaciones de tratamiento de la
A.12.1.2 Gestión de cambios SI
información y los sistemas que afectan a la
seguridad de información deben ser controlados.

Se debe supervisar y ajustar la utilización de los

recursos, así como realizar proyecciones de los
A.12.1.3 Gestión de capacidades SI
requisitos futuros de capacidad, para garantizar el
rendimiento requerido del sistema.

Deben separarse los recursos de desarrollo,

Separación de los
pruebas y operación, para reducir los· riesgos de
A.12.1.4 recursos de desarrollo, SI
acceso no autorizado o los cambios del sistema en
prueba y operación
producción.
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Se deben implementar los controles de detección,

prevención y recuperación que sirvan como
Controles contra el
A.12.2.1 protección contra el código malicioso, así como SI
código malicioso
procedimientos adecuados de concienciación al
usuario

Se deben realizar copias de seguridad de la

Copias de seguridad de información, del software y del sistema y se deben
A.12.3.1 SI
la información verificar periódicamente de acuerdo a la política de
copias de seguridad acordada.

Se deben registrar, proteger y revisar

periódicamente las actividades de los usuarios,
A.12.4.1 Registro de eventos SI
excepciones, fallos y eventos de seguridad de la
información.

Los dispositivos de registro y la información del

Protección de la
, A.12.4.2 registro deben estar protegidos contra SI
información de registro
manipulaciones indebidas y accesos no autorizados

Registro de Se deben de registrar, proteger y revisar

A.12.4.3 administración y regularmente las actividades del administrador del SI
operación sistema y del operador del sistema

Los relojes de todos los sistemas de tratamiento de

información dentro de una organización o de un
A.12.4.4 Sincronización del reloj SI
dominio de seguridad, deben estar sincronizados
con una única fuente precisa y acordada de tiempo.

Instalación de Software Se deben implementar procedimientos para

A.12.5.1 SI
en explotación controlar la instalación del software en explotación.

Se debe obtener información oportuna acerca de las

vulnerabilidades técnicas de los sistemas de
Gestión de las
información utilizados, evaluar la exposición de la
A.12.6.1 vulnerabilidades SI
organización a dichas vulnerabilidades y adoptar las
técnicas
medidas adecuadas para afrontar el riesgo
asociado.

Restricción en la Se deben establecer y aplicar reglas que rijan la

A.12.6.2 SI
instalación de software instalación de software por parte de los usuarios

Los requisitos y las actividades de auditoría que

impliquen comprobaciones en los sistemas
Controles de auditoría de
A.12.7.1 operativos deben ser cuidadosamente planificados y SI
sistemas de información
acordados para minimizar el riesgo de
interrupciones en los procesos de negocio.
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Las redes deben ser gestionadas y controladas para

A.13.1.1 Controles de red proteger la información en los sistemas y SI
aplicaciones.

Se deben identificar los mecanismos de seguridad,

los niveles de servicio, y los requisitos de gestión de
Seguridad de los todos los servicios de red y se deben incluir en
A.13.1.2 SI
servicios de red cualquier acuerdo de servicios de red, tanto si estos
servicios se prestan dentro de la organización como
si se subcontratan.

Los grupos de servicios de información, los

A.13.1.3 Segregación en redes usuarios y los sistemas de información deben estar SI
segregados en redes distintas.

Políticas y Deben establecerse políticas, procedimientos y

procedimientos de controles formales que protejan el intercambio de
A...13.2. l SI
intercambio de información mediante el uso de todo tipo de
información recursos de comunicación

Deben establecerse acuerdos para el intercambio

Acuerdos de intercambio
A.13.2.2 seguro de información del negocio y software entre SI
de información
la organización y terceros.

La información que sea objeto de mensajería

A.13.2.3 Mensajería electrónica SI
electrónica debe estar adecuadamente protegida

Acuerdos de Deben identificarse, documentarse y revisarse

A.13.2.4 confidencialidad o no regularmente los requisitos de los acuerdos de SI
revelación confidencialidad o no revelación

Análisis de requisitos y Los requisitos relacionados con la seguridad de la

especificaciones de información deben incluirse en los requisitos para
A.14.1.1 SI
seguridad de la los nuevos sistemas de información o mejoras a los
información sistemas de información existentes.

La información involucrada en aplicaciones que

Asegurar los servicios de
pasan a través de redes públicas debe ser protegida
A.14.1.2 aplicaciones en redes SI
de cualquier actividad fraudulenta, disputa de
públicas
contrato, revelación y modificación no autorizados.

La información involucrada en las transacciones de

servicios de aplicaciones debe ser protegida para
Protección de las
prevenir la transmisión incompleta, errores de
A.14.1.3 transacciones de SI
enrutamiento, alteración no autorizada del mensaje,
servicios de aplicaciones
revelación, duplicación, o reproducción de mensaje
no autorizadas
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Se deben establecer y aplicar reglas dentro de

Política de desarrollo
A.14.2.1 la organización para el desarrollo de aplicaciones SI
seguro
y sistemas.

La implantación de cambios a lo largo del ciclo de

Procedimiento de control
A.14.2.2 vida del desarrollo debe controlarse mediante el uso SI
de cambios en sistemas
de procedimientos formales de control de cambios.

Cuando se modifiquen los sistemas operativos, las

Revisión técnica de las
aplicaciones de negocio críticas deben ser
aplicaciones tras
A.14.2.3 revisadas y probadas para garantizar que no existen SI
efectuar cambios en el
efectos adversos en las operaciones o la seguridad
sistema operativo
de la organización

Se deben desaconsejar las modificaciones· en los

Restricciones a los
paquetes de software, limitándose a los cambios
A.14.2.4 cambios en los paquetes SI
necesarios, y todos los cambios deben ser objeto de
de software
un control riguroso

Principios de ingeniería de sistemas seguros se

Principios de ingeniería deben establecer, documentar, mantener y
A.14.2.5 SI
de sistemas seguros aplicarse a todos los esfuerzos de implementación
de sistemas de información.

Las organizaciones deben establecer y proteger

adecuadamente los entornos de desarrollo seguro
Entorno de desarrollo
A.14.2.6 para el desarrollo del sistema y los esfuerzos de SI
seguro
integración que cubren todo el ciclo de vida de
desarrollo del sistema.

Externalización del del El desarrollo de software externalizado debe ser

A.14.2.7 SI
desarrollo del software supervisado y controlado por la organización

Pruebas funcionales de Se deben llevar a cabo pruebas de la

A.14.2.8 SI
seguridad de sistemas seguridad funcional durante el desarrollo.

Se deben establecer programas de pruebas de

Pruebas de aceptación aceptación y criterios relacionados para nuevos
A.14.2.9 SI
de sistemas sistemas de información, actualizaciones y nuevas
versiones.

Protección de los datos Los datos de prueba se deben seleccionar con

A.14.3.1 SI
de prueba cuidado y deben ser protegidos y controlados.
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Los requisitos de seguridad de la información para

Política de seguridad de
la mitigación de los riesgos asociados con el acceso
la información en las
A.15.1.1 del proveedor a los activos de la organización SI
relaciones con los
deben acordarse con el proveedor y quedar
proveedores
documentados.

Todos los requisitos relacionados con la seguridad

Requisitos de seguridad de la información deben establecerse y acordarse
A.15.1.2 en contratos con con cada proveedor que puede acceder, tratar, SI
terceros almacenar, comunicar, o proporcionar componentes
de la infraestructura IT.

Los acuerdos con proveedores deben incluir

Cadena de suministro de
requisitos para hacer frente a los riesgos de
tecnología de la
A.15.1.3 seguridad de la información relacionados con las SI
información y de las
tecnologías de la información y las comunicaciones
comunicaciones
y con la cadena de suministro de productos.

Control y revisión de la Las organizaciones deben controlar, revisar y

A.15.2.1 provisión de servicios del auditar regularmente la provisión de servicios del SI
proveedor proveedor

Se deben gestionar los cambios en la provisión del

servicio, incluyendo el mantenimiento y la mejora de
Gestión de cambios en las políticas, los procedimientos y controles de
A.15.2.2 la provisión del servicio seguridad de la información existentes, teniendo en SI
del proveedor cuenta la criticidad de los procesos y sistemas de
negocio afectados así como la reapreciación de los
riesgos

Se deben establecer las responsabilidades y

Responsabilidades y procedimientos de gestión para garantizar una
A.16.1.1 SI
procedimientos respuesta rápida, efectiva y adecuada a los
incidentes de seguridad de la información.

Notificación de los Los eventos de seguridad de la información se

A.16.1.2 eventos de seguridad de deben notificar por los canales de gestión SI
la información adecuados lo antes posible.

Todos los empleados, contratistas, terceras partes

usuarias de los sistemas y servicios de información
Notificación de puntos
A.16.1.3 deben ser obligados a anotar y notificar cualquier SI
débiles de la seguridad
punto débil que observen o que sospechen que
exista, en los sistemas o servicios

Evaluación y decisión Los eventos de seguridad de la información

sobre los eventos de deben ser evaluados y debe decidirse si se
A.16.1.4 SI
seguridad de clasifican como incidentes de seguridad de la
información información.

Respuesta a incidentes Los incidentes de seguridad de la información

A.16.1.5 de seguridad de la deben ser respondidos de acuerdo con los SI
información procedimientos documentados
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

El conocimiento obtenido a partir del análisis y la

Aprendizaje de los resolución de incidentes de seguridad de
A.16.1.6 incidentes de seguridad información debe utilizarse para reducir la SI
de la información probabilidad o el impacto de los incidentes en el
futuro

La organización debe definir y aplicar

Recopilación de procedimientos para la identificación recogida,
A.16.1.7 SI
evidencias adquisición y preservación de información que
puede servir de evidencia.

La organización debe determinar sus necesidades

Planificación de la
de seguridad de la información y de continuidad
continuidad de la
A.17.1.l para la gestión de seguridad de la información en SI
seguridad de la
situaciones adversas, por ejemplo, durante una
información
crisis o desastre.

La organización debe establecer, documentar,

Implementar la
implementar y mantener procesos, procedimientos y
continuidad de la
A.17.1.2 controles para asegurar el nivel requerido de SI
seguridad de la
continuidad de la seguridad de la información
información
durante una situación adversa.

Verificación, revisión y
La organización debe comprobar los controles
evaluación de la
establecidos e implementados a intervalos
A.17.1.3 continuidad de la SI
regulares para asegurar que son válidos y eficaces
seguridad de la
durante situaciones adversas
información

Los recursos de tratamiento de la información

Disponibilidad de los
deben ser implementados con la redundancia
A.17.2.1 recursos de tratamiento SI
suficiente para satisfacer los requisitos de
de la información
disponibilidad.

Todos los requisitos pertinentes, tanto legales como

Identificación de la regulatorios, estatutarios o contractuales, y el
legislación aplicable y enfoque de la organización para cumplirlos, deben
A.18.1.1 SI
de. los requisitos definirse de forma explícita, documentarse y
contractuales mantenerse actualizados para cada sistema de
información de la organización.

Deben implementarse procedimientos adecuados

para garantizar el cumplimiento de los requisitos
Derechos de propiedad legales, regulatorios y contractuales sobre el uso de
A.18.1.2 SI
intelectual (DPJ) materiales, con respecto a los cuales puedan existir
derechos de propiedad intelectual y sobre el uso de
productos de software patentados.

Los registros deben estar protegidos contra la

Protección de los
pérdida, destrucción, falsificación, revelación o
A.18.1.3 registros de la SI
acceso no autorizados de acuerdo con los requisitos
organización
legales, regulatorios, contractuales y de negocio.

Protección y privacidad Deber garantizarse la protección y la privacidad

A.18.1.4 de la información de de los datos, según se requiera en la legislación y SI
carácter personal la reglamentación aplicables
 Check List Auditoria Controles SGSI
Fecha Auditoria FOR GSI 050
Area V-1
Auditado Auditor Jul-18

# Ctrol Control Descripción Aplica? Responsable Evidencia Hallazgo NC/OBS

Los controles criptográficos se deben utilizar de

Regulación de los
A.18.1.5 acuerdo con todos los contratos, leyes y NO
controles criptográficos
regulaciones pertinentes.

El enfoque de la organizac1on para la

gestión de seguridad de la información y su
implantación (es decir, objetivos de control,
Revisión independiente
controles, políticas, procesos y procedimientos para
A.18.2.1 de la seguridad de la SI
la seguridad de la información), debe someterse a
información
una revisión independiente a intervalos planificados
o siempre que se produzcan cambios significativos
en la implantación de la seguridad.

Los directivos deben asegurarse de que todos los

Cumplimiento de las procedimientos de seguridad dentro de su área de
A.18.2.2 políticas y normas de responsabilidad se realizan correctamente con el SI
seguridad fin de cumplir las políticas y normas de seguridad y
cualquier otro requisito de seguridad aplicable

Debe comprobarse periódicamente que los

Comprobación del sistemas de información cumplen las políticas y
A.18.2.3 SI
cumplimiento técnico normas de seguridad de la información de la
organización: