CUESTIONARIO

Empresa: _________________________________________________ ISO 9001:2000

Fecha: _____________
Asesor: ________________________

Proceso de Auditorias No. 007

Proceso (s) Auditado (s):

Requisitos de la Norma que le aplican

NUMERAL TÍTULO REQUISITO/PREGUNTA CLASIFICACIÓN

A.8 GESTIÓN DE ACTIVOS

A.8.1 Responsabilidad por los activos
¿Se identifica los activos asociados con información e instalaciones
A.8.1.1 Inventario de activos de procesamiento de información, y se elaboran y mantener un
inventario de estos activos?
A.8.1.2 Propiedad de los activos ¿Los activos mantenidos en el inventario tienen un propietario?.

Página 1 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

A.8.1.3 Uso aceptable de los ¿Se realizan las siguientes actividades: identificar, documentar e
activos implementar reglas para el uso aceptable de información y de
activos asociados con información e instalaciones de procesamiento
de información?

¿Todos los empleados y usuarios de partes externas realizan

A.8.1.4 Devolución de activos devolución de todos los activos de la Organización que se
encuentren a su cargo, al terminar su empleo, contrato o acuerdo?

A.8.2 Clasificación de la información

¿La información se encuentra clasificada en función de los
Clasificación de la
A.8.2.1 requisitos legales, valor, criticidad y susceptibilidad a divulgación o
información
a modificación no autorizada.?
¿Se han desarrollado e implementado un conjunto adecuado de
Etiquetado de la procedimientos para el etiquetado de la información, de acuerdo
A.8.2.2
información con el esquema de clasificación de información adoptado por la
Organización.
¿Se desarrollaron e implementaron procedimientos para el manejo
A.8.2.3 Manejo de activos de activos, de acuerdo con el esquema de clasificación de
información adoptado por la Organización?
A.8.3 Manejo de medios
¿Se implementaron procedimientos para la gestión de medios
Gestión de medios
A.8.3.1 removibles, de acuerdo con el esquema de clasificación adoptado
removibles
por la Organización?
¿Se dispone en forma segura de los medios cuando ya no se
A.8.3.2 Disposición de los medios
requieran, utilizando procedimientos formales?.
¿Los medios que contienen información se protegen contra
Transferencia de medios
A.8.3.3 acceso no autorizado, uso indebido o corrupción durante el
físicos
transporte?
A.9 CONTROL DE ACCESO
A.9.1 Requisitos del negocio para control de acceso

Página 2 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

¿Se realizan las siguientes actividades: establecer, documentar y

Política de control de
A.9.1.1 revisar una política de control de acceso con base en los requisitos
acceso
del negocio y de seguridad de la información?

Acceso a redes y a ¿Solo se permite acceso de los usuarios a la red y a los servicios de
A.9.1.2
servicios en red red para los que hayan sido autorizados específicamente?

A.9.2 Gestión de acceso de usuarios

¿Se implementó un proceso formal de registro y de cancelación de
Registro y cancelación
A.9.2.1 registro de usuarios, para posibilitar la asignación de los derechos
del registro de usuarios
de acceso?.
¿Se implementór un proceso de suministro de acceso formal de
Suministro de acceso de
A.9.2.2 usuarios para asignar o revocar los derechos de acceso para todo
usuarios
tipo de usuarios para todos los sistemas y servicios?
Gestión de derechos de ¿Se realizan las siguientes actividades: restringir y controlar la
A.9.2.3
acceso privilegiado asignación y uso de derechos de acceso privilegiado?
Gestión de información
¿La asignación de información de autenticación secreta se controla
A.9.2.4 de autenticación secreta de
por medio de un proceso de gestión formal?
usuarios
Revisión de los derechos de ¿Los propietarios de los activos revisan los derechos de acceso de
A.9.2.5
acceso de usuarios los usuarios, a intervalos regulares?
¿Los derechos de acceso de todos los empleados y de usuarios
Retiro o ajuste de los externos a la información y a las instalaciones de procesamiento de
A.9.2.6
derechos de acceso información se retiran al terminar su empleo, contrato o acuerdo, o
se deben ajustar cuando se hagan cambios?
A.9.3 Responsabilidades de los usuarios

Uso de información de ¿Se exige a los usuarios que cumplan las prácticas de la
A.9.3.1
autenticación secreta Organización para el uso de información de autenticación secreta?

A.9.4 Control de acceso a sistemas y aplicaciones

Página 3 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________
¿El acceso a la información y a las funciones de los sistemas
Restricción de acceso a la
A.9.4.1 de las aplicaciones se debe restringir de acuerdo con la
información
política de control de acceso?
¿Cuando lo requiere la política de control de acceso, el acceso a
Procedimiento de
A.9.4.2 sistemas y aplicaciones se controla mediante un proceso de ingreso
ingreso seguro
seguro?
Sistema de gestión de ¿Los sistemas de gestión de contraseñas son interactivos y
A.9.4.3
contraseñas aseguran la calidad de las contraseñas?.
¿Se debe restringe y controlar estrictamente el uso de programas
Uso de programas utilitarios que podrían tener capacidad de anular el sistema y los
A.9.4.4
utilitarios privilegiados controles de las aplicaciones?.

Control de acceso a códigos

A.9.4.5 ¿Se restringe el acceso a los códigos fuente de los programas?
fuente de programas

A.10 CRIPTOGRAFÍA
A.10.1 Controles criptográficos
Política sobre el uso de ¿Se desarrolló e implementó una política sobre el uso de controles
A.10.1.1
controles criptográficos criptográficos para la protección de la información?

¿Se desarrolló e implementar una política sobre el uso, protección y

A.10.1.2 Gestión de llaves tiempo de vida de las llaves criptográficas, durante todo su ciclo de
vida?

A.11 SEGURIDAD FÍSICA Y DEL ENTORNO

A.11.1 Áreas seguras
¿Se encuentran definidos y se usan perímetros de seguridad, para
Perímetro de seguridad
A.11.1.1 proteger áreas que contengan información confidencial o crítica, e
física
instalaciones de manejo de información?
¿Las áreas seguras se protegen mediante controles de acceso
Controles de acceso
A.11.1.2 apropiados para asegurar que solo se permite el acceso a
físicos
personal autorizado?
Seguridad de oficinas, ¿Se diseñó y se aplica seguridad física a oficinas, recintos e
A.11.1.3
recintos e instalaciones instalaciones?

Página 4 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Protección contra amenazas ¿Se diseñó y aplicó protección física contra desastres naturales,
A.11.1.4
externas y ambientales ataques maliciosos o accidentes?

Trabajo en áreas Se deben diseñar y aplicar procedimientos para trabajo en áreas

A.11.1.5
seguras seguras.

¿Se controlan los puntos de acceso tales como áreas de despacho

Áreas de despacho y y de carga y otros puntos en donde pueden entrar personas no
A.11.1.6
carga autorizadas, y si es posible, aislarlos de las instalaciones de
procesamiento de información para evitar el acceso no autorizado?.

A.11.2 Equipos

Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la
Organización.

¿Los equipos están ubicados y protegidos para reducir los riesgos

Ubicación y protección de de amenazas y peligros del entorno, y las posibilidades de
A.11.2.1
los equipos acceso no autorizado?

¿Los equipos se encuentran protegidos contra fallas de

A.11.2.2 Servicios de suministro energía y otras interrupciones causadas por fallas en los servicios
de suministro?
¿El cableado de energía eléctrica y de telecomunicaciones que
A.11.2.3 Seguridad del cableado porta datos o brinda soporte a los servicios de información se
encontró protegido contra interceptación, interferencia o daño?
Mantenimiento de ¿Se realiza mantenimiento de los equipos para asegurar su
A.11.2.4 disponibilidad e integridad continuas?
equipos
¿Los equipos, información o software se retirar de su sitio sin
A.11.2.5 Retiro de activos autorización previa?
¿Se aplican medidas de seguridad a los activos que se encuentran
Seguridad de equipos y fuera de las instalaciones de la Organización, teniendo en cuenta
A.11.2.6 activos fuera de las los diferentes riesgos de trabajar fuera de dichas instalaciones?.
instalaciones

Página 5 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

¿Se realiza verificación todos los elementos de equipos que

contengan medios de almacenamiento para asegurar que
Disposición segura o
A.11.2.7 cualquier dato confidencial o software licenciado haya sido
reutilización de equipos
retirado o sobreescrito en forma segura antes de su disposición o
reuso?.
Equipos de usuario ¿Los usuarios aseguran de que a los equipos desatendidos se les
A.11.2.8
desatendido da protección apropiada?.
¿Se adoptó una política de escritorio limpio para los papeles y
Política de escritorio medios de almacenamiento removibles, y una política de pantalla
A.11.2.9
limpio y pantalla limpia limpia en las instalaciones de procesamiento de información?
A.12 SEGURIDAD DE LAS OPERACIONES
A.12.1 Procedimientos operacionales y responsabilidades

Procedimientos de ¿Los procedimientos de operación se documentan y poner

A.12.1.1
operación documentados a disposición de todos los usuarios que los necesitan?

¿Se controlan los cambios en la Organización, en los procesos de

A.12.1.2 Gestión de cambios negocio, en las instalaciones y en los sistemas de procesamiento de
información que afectan la seguridad de la información?

¿La organización realiza seguimiento al uso de recursos, hacer los

A.12.1.3 Gestión de capacidad ajustes, y hacer proyecciones de los requisitos de capacidad futura,
para asegurar el desempeño requerido del sistema?
Separación de los ¿Se encontraron separados los ambientes de desarrollo, prueba y
A.12.1.4 ambientes de desarrollo, operación, para reducir los riesgos de acceso o cambios no
pruebas, y operación autorizados al ambiente de operación?
A.12.2 Protección contra códigos maliciosos

Página 6 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________
¿La organización implementó controles de detección, de prevención
Controles contra y de recuperación, combinados con la toma de conciencia
A.12.2.1
códigos maliciosos apropiada de los usuarios, para protegerlos contra códigos
maliciosos?
A.12.3 Copias de respaldo

¿Se realizan copias de respaldo de la información, software e

A.12.3.1 Respaldo de la información imágenes de los sistemas, y se ponen a prueba regularmente
de acuerdo con una política de copias de respaldo acordadas?

A.12.4 Registro y seguimiento

¿La organización elabora, conserva y revisa regularmente los

A.12.4.1 Registro de eventos registros acerca de actividades del usuario, excepciones, fallas y
eventos de seguridad de la información?

Protección de la ¿Las instalaciones y la información de registro se protegen contra

A.12.4.2
información de registro alteración y acceso no autorizado?

Registros del administrador ¿Las actividades del administrador y del operador del sistema se
A.12.4.3
y del operador registran, y los registros se protegen y revisan con regularidad?.

¿Los relojes de todos los sistemas de procesamiento de

información pertinentes dentro de una Organización o ámbito de
A.12.4.4 Sincronización de relojes
seguridad se sincronizan con una única fuente de referencia de
tiempo?
A.12.5 Control de software operacional
Instalación de software ¿Se implementan procedimientos para controlar la instalación de
A.12.5.1
en sistemas operativos software en sistemas operativos?.
A.12.6 Gestión de la vulnerabilidad técnica

Página 7 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Gestión de las ¿La organización previene el aprovechamiento de las

A.12.6.1 vulnerabilidades técnicas?
vulnerabilidades técnicas
Restricciones sobre la ¿Se establecen e implementan las reglas para la instalación de
A.12.6.2
instalación de software software por parte de los usuarios?.

A.12.7 Consideraciones sobre auditorías de sistemas de información

¿Los requisitos y actividades de auditoría que involucran la

Controles de auditorías de
A.12.7.1
sistemas de información
A.13 SEGURIDAD DE LAS COMUNICACIONES
A.13.1 Gestión de la seguridad de las redes
A.13.1.1 Controles de redes
Seguridad de los servicios
A.13.1.2
de red
A.13.1.3 Separación en las redes
A.13.2 Transferencia de información
verificación de los sistemas operativos se planifican y acuerdan
cuidadosamente para minimizar las interrupciones en los procesos
del negocio?.
¿La organización asegura la protección de la información en las
redes, y sus instalaciones de procesamiento de información de
soporte?
¿Se identifican los mecanismos de seguridad, los niveles de
servicio y los requisitos de gestión de todos los servicios de red, e
incluirlos en los acuerdos de servicio de red, ya sea que los
servicios se presten internamente o se contraten externamente?.
¿Los grupos de servicios de información, usuarios y sistemas de
información se separan en las redes?.

Políticas y procedimientos ¿Se cuenta con políticas, procedimientos y controles de

A.13.2.1 de transferencia de transferencia formales para proteger la transferencia de información
información mediante el uso de todo tipo de instalaciones de comunicaciones?

Acuerdos sobre ¿Los acuerdos de transferencia segura de información del

A.13.2.2
transferencia de información negocio entre la Organización y las partes externas?.

¿Se protege adecuadamente la información incluida en la

A.13.2.3 Mensajería electrónica
mensajería electrónica?

Página 8 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

¿Se realizan las siguientes actividades: identificar, revisar

Acuerdos de
regularmente y documentar los requisitos para los acuerdos de
A.13.2.4 confidencialidad o de no
confidencialidad o no divulgación que reflejen las necesidades de la
divulgación
Organización para la protección de la información?
¿Para los sistemas de información nuevos, actualizaciones y
Prueba de aceptación de
A.14.2.9 nuevas versiones, se establecen programas de prueba para
sistemas
aceptación y criterios de aceptación relacionados?.
A.16 Gestión de incidentes de seguridad de la información
A.16.1 Gestión de incidentes y mejoras en la seguridad de la información

Se encuentran establecidas las responsabilidades y procedimientos

Responsabilidades y
A.16.1.1 de gestión para asegurar una respuesta rápida, eficaz y ordenada a
procedimientos
los incidentes de seguridad de la información.

Reporte de eventos ¿Los eventos de seguridad de la información se informaN a

A.16.1.2 de seguridad de la través de los canales de gestión apropiados, tan pronto como sea
información posible?.

¿Se exige a todos los empleados y contratistas que usan los

Reporte de debilidades
servicios y sistemas de información de la Organización, que
A.16.1.3 de seguridad de la
observen y reporten cualquier debilidad de seguridad de la
información
información observada o sospechada en los sistemas o servicios?

Evaluación de eventos de ¿Los eventos de seguridad de la información se evalùan y se debe

A.16.1.4 seguridad de la información decidir si se van a clasificar como incidentes de seguridad de la
y decisiones sobre ellos. información?.

Respuesta a incidentes
¿Se da respuesta a los incidentes de seguridad de la información
A.16.1.5 de seguridad de la
de acuerdo con procedimientos documentados?
información

Aprendizaje obtenido de los ¿El conocimiento adquirido al analizar y resolver incidentes

A.16.1.6 incidentes de seguridad de de seguridad de la información se usa para reducir la posibilidad o
la información el impacto de incidentes futuros?.

Página 9 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

¿La Organización define y aplica procedimientos para la

A.16.1.7 Recolección de evidencia identificación, recolección, adquisición y preservación de
información que pueda servir como evidencia?

Página 10 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Version: 1 Preparado por:MDV Código: FR-055

Fecha:10-11-2015 Aprobado por:NZ

Lista de chequeo

Infraestructura:

ENTREGABLE
OBSERVACIÓN DOCUMENTADO IMPLEMENTADO
(Evidencia)

Página 11 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 12 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 13 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 14 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 15 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 16 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 17 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 18 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 19 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 20 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

REGISTROS DE IMPLEM.

Página 21 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 22 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 23 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 24 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 25 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 26 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 27 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 28 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 29 de 32 F02-P042
 CUESTIONARIO
Empresa: _________________________________________________ ISO 9001:2000
Fecha: _____________
Asesor: ________________________

Página 30 de 32 F02-P042
 Instrucciones para Diligenciar la Lista de chequeo
Con esta herramienta se podrán realizar las preguntas de apoyo para auditar cualquier proceso de un sistema de
gestión.
Ubíquese en cadacontinene
Este documento una de las preguntas
unas preguntaspreviamente realizadas
de manera general y coloque
que aplican los resultados
para todos encontrados
los procesos, los cuales seen
la casilla que cumplimientos
consideran corresponda según
básicoslas siguientes
para cualquier opciones:
Norma

Requisito Implementado, con resultados, registros y evidencias.

DOCUMENTADO: Puede colocar OK, si no tiene comentarios adicionales.

Requisito Implementado y auditado con resultados conformes.

IMPLEMENTADO: Puede colocar OK, si no tiene comentarios adicionales.

REGISTROS DE Nombre de los registros que verifican documentación e implementación.

IMPLEMENTACIÓN: Escriba los nombres exactos de los registros de evidencia.

Escriba los resultados generals encontrados durante la realización de la pregunta:

Describir lo solicitado, a quien, y su respuesta, bien sea el requisitio cumplido o
OBSERVACIONES incumpido, la evidencia de cumplimiento o incumplimiento, definir concretamente si
se incumplió o no el requisito.

Colocar las iniciales de la clasificación final de lo encontrado:

CLASIFICACION C: Conformidad (Cumplimineto de requisitio)
NC: No conformidad (Incumplimiento de requisitio)
OBS: Observación (Una oportunidad de mejora)
queo
roceso de un sistema de

ultados encontrados
s procesos, los cuales seen

cias.

mes.

plementación.

zación de la pregunta:
equisitio cumplido o
, definir concretamente si

o: