C V.A./C-SGSI Exp.

n Hoja 1 de 22

CUESTIONARIO PARA LA REALIZACIN DE VISITAS DE ACOMPAAMIENTO A ENTIDADES DE CERTIFICACIN DE SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI)
INSTRUCCIONES GENERALES AL EXPERTO DE ENAC 1. Durante la reunin inicial y una vez haya sido presentado por el auditor jefe de la entidad de certificacin, el experto de ENAC debe declarar que: a) El objetivo de su presencia es evaluar la actividad del equipo auditor, enfatizando que, en ningn caso, su trabajo interferir en la normal marcha de la auditora. b) Dispone de un compromiso de confidencialidad con ENAC para todo lo relativo a su actividad en la auditora. c) En ningn caso dar recomendaciones al equipo auditor relativas al SGSI de la empresa. d) Podr manejar la misma documentacin y registros que use investigue el equipo auditor. Podr, en algn caso solicitar copias de determinados documentos o registros si entiende que son necesarios para documentar sus hallazgos
2. Durante la visita, incluidas las reuniones internas del equipo auditor, el experto de ENAC se abstendr de

e)

realizar comentarios tanto de sus hallazgos como de lo que haya observado. 3. Debern registrarse todas las evidencias necesarias para defender la pertinencia de los incumplimientos detectados.
4. El presente cuestionario debe ser cumplimentado por el experto de ENAC durante el desarrollo de la visita.

5. Los incumplimientos se clasifican de acuerdo con lo indicado en el punto 8 del cuestionario.

6. Una vez finalizada la visita, el experto de ENAC deber reunirse con el equipo auditor para:

a)

aclarar puntos con los auditores que no le hubiesen quedado claros durante la visita y que deban ser aclarados para poder confirmar o descartar sus propias observaciones b) informarles verbalmente de los hallazgos que hayan surgido de la visita, indicando cuales de dichos hallazgos podran dar lugar a incumplimientos en el informe. Asimismo aclarar que dichos incumplimientos no necesariamente sern considerados como no conformidades o desviaciones por ENAC c) informar al auditor jefe de su derecho de presentar por escrito en ese momento a cualquier comentario del experto de ENAC, usando para ello el lugar reservado en el cuestionario.
7. La reunin descrita en el punto anterior podr hacerse al final de la ltima reunin que mantenga el equipo

auditor previo a la reunin final, en cuyo caso el experto de ENAC deber esperar a que el auditor jefe haya dado por finalizada dicha reunin o, si la naturaleza de la auditora y el tiempo lo permite, una vez finalizada la reunin final con la empresa, en cuyo caso deber de haberlo acordado previamente primero con el auditor jefe y despus con la propia empresa. En cualquier caso esta reunin deber hacerse sin estar presentes representantes del cliente de la entidad de certificacin.
8. El informe que se presente a ENAC debe ir firmado por el experto, paginado incluyendo nmero total de

pginas. Se debe enviar a ENAC en papel y disquete a poder ser en WORD 6.0 o posteriores y utilizar el modelo de informe suministrado por ENAC. 9. En el caso de utilizar hojas suplementarias se codificarn como VA-EC/SGSI y el nmero de pgina, y en el cuestionario se har, cuando proceda, referencia a la hoja suplementaria correspondiente. El nmero total de pginas suplementarias se indica en la ltima pgina del presente cuestionario. 10.En visitas de acompaamiento, los expertos de ENAC deben complementar lo indicado aqu.
EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 2 de 22

1.

DATOS DE LA VISITA DE ACOMPAAMIENTO

ENTIDAD DE CERTIFICACIN Nombre: Expediente: Tipo de auditora de acreditacin ( Inicial, Seguimiento, Extraordinaria, Renovacin, Ampliacin)

FECHA DE LA VISITA: FECHA DE RECEPCIN DEL INFORME DE AUDITORA: DATOS DEL SOLICITANTE: Nombre completo de la empresa: Direccin: Telfono /Fax: Actividad de la empresa:

Sistemas de Informacin que entran dentro del alcance de la certificacin SGSI

En el caso de estar presente un consultor de la empresa, comprobar que se mantiene como observador:

Requisitos legales del sector de actividad de la empresa solicitante

Complejidad del o de los Sistemas de Informacin que entran dentro del alcance de la certificacin de SGSI

Dimensin de las instalaciones o Sistemas de Informacin que entran dentro del alcance de la certificacin SGSI

Otros factores a tener en cuenta en los sistemas o sector de actividad para la certificacin SGSI

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 3 de 22

ALCANCE DE LA CERTIFICACIN Indicar el alcance indicado en el certificado para empresas ya certificadas o el acordado en la reunin inicial en auditoras iniciales. Si no se ha acordado, solicitar el alcance previsto al auditor jefe, y hacerlo constar aqu y en el informe. Indicar la norma de referencia para la certificacin.)

TIPO DE LA VISITA DE LA ENTIDAD DE CERTIFICACIN Visita previa Auditora Inicial Auditora de renovacin Auditora de seguimiento Auditora extraordinaria Auditora de ampliacin EQUIPO AUDITOR DE LA ENTIDAD DE CERTIFICACIN (Nombre /Cargo):

OBSERVADOR/ES DE ENAC:

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 4 de 22

2.

DOCUMENTACIN DE REFERENCIA DEL TCNICO DE ENAC

Plan de auditoria del SGSI para la empresa a certificar. Fecha:

Procedimientos de las actividades de la entidad de certificacin - Metodologa de Auditora

- Procedimientos de certificacin

- Otros procedimientos relevantes para la auditora

EA-7/03 ISO/IEC 17021

Otros (especificar)

Documentos de trabajo utilizados durante la auditora por la entidad de certificacin Indicar si existen como documento controlado (codificado, etc), preimpreso (lista de comprobacin o similar) o una hoja en blanco). Comprobar las versiones vigentes con respecto a las normas objeto de la certificacin.

Normativa aplicable a la certificacin

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 5 de 22

Procedimiento de auditora de la Entidad de Certificacin Registrar ttulo y revisin del utilizado en la visita. Realizar aqu los comentarios que considere oportunos sobre dicho documento.

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 6 de 22

3.

PREPARACIN DE LA AUDITORA POR PARTE DEL EQUIPO AUDITOR DE LA ENTIDAD DE CERTIFICACIN

COMPROBAR:
Plan de auditora Indicar si es completo, se comentar si los planes que no contemplen los departamentos o reas de la empresa a auditar y la hora aproximada. El plan debe abarcar todo el alcance de auditora previsto.

Anlisis de la documentacin del SGSI de la empresa solicitante Indicar si existen evidencias de dicho estudio por el equipo de auditora. Analizar tambin si el auditor jefe ha preparado documentos de trabajo como resultado del estudio de la documentacin (cuestionarios o similar). Si se detecta poca preparacin (p.e duracin excesiva de la reunin inicial, auditora lenta, etc. ), se registrar este hecho aqu.

Anlisis de los perfiles y experiencia de los integrantes del equipo de auditora Identificar si cubren las necesidades de conocimiento tcnico para realizar la auditora segn la especificidad del alcance de esta.

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 7 de 22

Asignacin de reas de investigacin por parte del auditor jefe a los miembros del equipo Indicar si la asignacin se ha realizado de manera formal, en el plan de auditora o similar, de manera informal, en una reunin inicial por ejemplo, o no se ha realizado. Indicar si se han asignado las revisiones de acuerdo a los perfiles y experiencia de cada integrante del equipo de auditora.

Indicar si se ha cumplido con lo indicado en el procedimiento aplicable de la entidad de certificacin

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 8 de 22

4.

REUNIN INICIAL COMPROBAR (Indicar para cada punto si se cita o no en la reunin y la actitud general del equipo)
Presentacin del equipo auditor

Revisin del alcance de la certificacin solicitada y de los objetivos de la auditora

Explicacin breve de los mtodos y procedimientos de auditora

Establecimiento de los cauces de comunicacin auditor-auditado

Comunicar y confirmar los medios y recursos auditados necesarios (sala de reuniones, equipos

informticos, personal administrativo, etc.)

Confirmar las horas para la reunin final e intermedios entre auditor-auditado

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 9 de 22

Comentar y clarificar el programa de auditora

Posibles aclaraciones

Observaciones (Indicar observaciones generales y si el tiempo dedicado a la reunin inicial es

adecuado)

Indicar si se ha cumplido con lo indicado el procedimiento aplicable de la entidad de certificacin

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 10 de 22

5.

DESARROLLO DE LA AUDITORA
SE INVESTIGARN LOS SIGUIENTES ASPECTOS
Utilizacin de los documentos de trabajo Indicar si se registra informacin suficiente sobre los aspectos investigados. Tanto positivos como negativos. Documentar las actividades realizadas por el auditor as como la opinin del experto relativa a las decisiones del auditor.

Tcnicas de investigacin Indicar si las investigaciones han incluido entrevistas con el personal con un nmero y posicin suficientes y si se han perseguido adecuadamente las lneas de investigacin. Indicar aquellas posibles no conformidades no detectadas por el equipo auditor.

Documentacin de las no conformidades Se informa a la empresa conforme van apareciendo? Indicar si se registra la clusula de la norma afectada. Evaluar la capacidad del equipo auditor para redactar No Conformidades que subyacen a las evidencias encontradas. Incluir ejemplos de No Conformidades redactadas y el problema encontrado. Evaluar la correcta categorizacin de las No Conformidades detectadas y de los puntos de mejora. Si la entidad identifica oportunidades de mejora en ningn caso pueden sustituir a No conformidades.

Analizar la profundidad de la revisin de los puntos de la auditora (revisin de evidencias,

documentos, etc.)

Comprobar si se incluyen en la revisin los puntos 4 a 8 de la ISO 27001. Evaluar la profundidad de la revisin de estos puntos.

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 11 de 22

Clusula de ISO 27001 Clusulas Generales del SGSI1

AUDITOR2

COMENTARIOS

4 Sistema de Gestin de la Seguridad de la Informacin

4.1. Requerimientos Generales

4.2 Creacin y Gestin del SGSI

4.3 Requerimientos de Informacin

5 Responsabilidad de la Gerencia

5.1 Compromiso de la Gerencia

5.2 Gestin de los recursos

6 Auditora Internas de SGSI

1 2

Comprobar si se ha revisado en auditora previas, si la presente es de seguimiento. Indicar si est realizado por el Auditor Jefe, o por cul de los auditores del equipo. EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 12 de 22

Clusula de ISO 27001 Clusulas Generales del SGSI3

AUDITOR4

COMENTARIOS

7 Revisin del SGSI por la Gerencia

7.1. General

7.2 Informacin entregada (input) para la revisin

7.3 Resultados (output) de la revisin

8 Mejora del SGSI

8.1. Mejora continua

8.2 Accin correctiva

8.3 Accin Preventiva

3 4

Comprobar si se ha revisado en auditora previas, si la presente es de seguimiento. Indicar si est realizado por el Auditor Jefe, o por cul de los auditores del equipo. EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 13 de 22

Clusula de ISO 27001 Clusulas Generales del SGSI5

AUDITOR6

COMENTARIOS

Objetivos de Control y Controles7 8

Seguridad de la informacin
Poltica de la seguridad de la informacin

Organizacin de la seguridad de la informacin

Organizacin interna

Terceras partes

Gestin de Activos
Responsabilidad por los activos

Clasificacin de la informacin

5 6

Comprobar si se ha revisado en auditora previas, si la presente es de seguimiento. Indicar si est realizado por el Auditor Jefe, o por cul de los auditores del equipo. 7 Indicar en los comentarios si es aplicable, y si los controles seleccionados para la revisin se corresponden con los seleccionados por la entidad a certificar, de acuerdo al Anlisis de Riesgos realizado por esta entidad. 8 Indicar en las lneas siguientes la numeracin o identificacin del control, segn el plan de auditora de la entidad certificadora, y el de la entidad a certificar. EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 14 de 22

Clusula de ISO 27001 Clusulas Generales del AUDITOR SGSI Seguridad de los recursos humanos
Antecedentes

COMENTARIOS

Desarrollo actual

Cese de contratacin o cambio de funciones

Seguridad fsica y de medioambiental

reas de seguridad

Seguridad del equipo

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 15 de 22

Clusula de ISO 27001 Clusulas Generales del AUDITOR SGSI Gestin de las comunicaciones y las operaciones
Procedimientos y responsabilidades operacionales

COMENTARIOS

Gestin de la entrega de servicios por terceras partes

Planificacin y Aceptacin del Sistema

Proteccin contra cdigo malicioso o mvil

Respaldo

Gestin de la seguridad de la red

Manejo de dispositivos

Intercambio de informacin

Servicios de Comercio Electrnico

Monitorizacin

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 16 de 22

Clusula de ISO 27001 Clusulas Generales del SGSI Control de Acceso

Requerimientos del negocio para el control de acceso

AUDITOR

COMENTARIOS

Gestin del acceso de usuarios

Responsabilidades de los usuarios

Control del acceso a la red

Control del acceso al sistema operativo

Control del acceso a las aplicaciones e informacin

Computacin y teletrabajo mvil

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 17 de 22

Clusula de ISO 27001 Clusulas Generales del SGSI

Requerimientos de seguridad para los sistemas de informacin

AUDITOR

COMENTARIOS

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

Procesamiento correcto en las aplicaciones

Controles criptogrficos

Seguridad de los ficheros del sistema

Seguridad en el desarrollo y soporte de los procesos

Gestin de las vulnerabilidades tcnicas

Gestin de las incidencias de seguridad de la informacin

Comunicacin de eventos y debilidades de seguridad

Gestin de incidencias de seguridad de la informacin y mejoras

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 18 de 22

Clusula de ISO 27001 Clusulas Generales del SGSI

Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio

AUDITOR

COMENTARIOS

Gestin de la continuidad del negocio

Cumplimiento
Cumplimiento con requerimientos legales

Cumplimiento con las polticas y normas de seguridad, y cumplimiento tcnico

Consideraciones de auditora de los sistemas de informacin

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 19 de 22 Control de los elementos esenciales

Indicar, si la auditora no profundiza suficientemente en aspectos tcnicos Es imprescindible registrar evidencias para poder redactar incumplimientos en este punto, desde el punto de vista del auditor / tcnico de ENAC. Dichas evidencias pueden ser la aceptacin por el equipo auditor de tolerancias inapropiadas, la ausencia o deficiencias en controles crticos, la aceptacin como buena de explicaciones no tcnicas, etc.

Comprobar si se han incluido las clusulas y criterios obligados de la 27001 (clusulas 4, 5, 6, 7 y 8). Indicar si se han visto todos los puntos incluidos en el plan de auditora

Comprobar si se ha incluido en la presente auditora, o en las previas la auditora y evaluacin del Anlisis de Riesgos.
Criterios de aplicacin de ISO 27001

Indicar aspectos del sistema de la empresa o de su implantacin que seran no conformidades a juicio del experto de ENAC y que han sido consideradas como aceptables por el equipo auditor o viceversa.

Conducta del equipo auditor (Educacin, capacidad de comunicacin, capacidad de comprensin,

auditora, etc. En seguimientos, evaluar la relacin de la entidad /auditor con la empresa)

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 20 de 22

6.

PREPARACIN, PLANIFICACIN Y DESARROLLO DE LA REUNIN FINAL

6.1 PREPARACIN
COMPROBAR: Liderazgo del auditor jefe

Cumplimiento plan de la auditora

Indicar desviaciones respecto al plan y justificacin. Indicar tiempo efectivo de la auditora (exceptuando comidas y reuniones inicial y final)

Alcance y objetivos de la auditora

Indicar si se ha cubierto el alcance previsto. Se debe evaluar si la auditora ha cubierto todo el alcance del certificado.

6.2

REUNIN FINAL
Presentacin de las no conformidades por parte del equipo auditor Claridad de explicacin. Quin las presenta? Se declara el derecho a apelar a las no conformidades? Conclusiones del equipo auditor relativas al sistema de calidad para cumplir los requisitos de la calidad Indicar si se indica en la reunin. Si la entidad en su procedimiento puede informar sobre reas de mejora indicar cules ha detectado o si no ha detectado ninguna. Evaluar si se est de acuerdo con lo dicho por la entidad.

Personal asistente por parte de la entidad a certificar (indicar si es el adecuado)

Registro de la reunin

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 21 de 22

7.

INFORME FINAL DE LA AUDITORA

COMPROBAR
Emisin del informe en plazo segn procedimiento de la entidad de certificacin

Contenido del informe 1. 2. 3. 4. 5. 6. 7. 8. Objetivos y alcance de la auditora Identificacin de la organizacin auditada Detalle del plan de la auditora Identificacin de los miembros del equipo auditor y de los representantes del auditado Fechas de la auditora Identificacin de los documentos de referencia de la auditora No conformidades Apreciacin del equipo auditor sobre el grado de conformidad del SGSI del auditado con la norma y otra documentacin aplicable 9. Fecha y firma del informe por el Auditor Jefe

Coherencia del informe con el desarrollo de la auditora

EV 56 Rev. 1 Septiembre 2006

C V.A./C-SGSI Exp.n Hoja 22 de 22

8.

ALEGACIONES DEL AUDITOR JEFE (en el caso de alegaciones del Auditor jefe a lo
indicado por el experto de ENAC se recogern aqu tanto el comentario que ha dado lugar a la alegacin documentndola tanto como sea posible como la propia alegacin) 8.1 Comentario del Experto de ENAC

8.2 Alegaciones del Auditor Jefe

El presente cuestionario consta de

pginas suplementarias

EV 56 Rev. 1 Septiembre 2006