Autoevaluación ISO27001

Nombre y apellidos *

Nombre

Apellidos

Email *

Teléfono *

Empresa *

Web / URL *

Controles organizacionales

Controles asociados a RRHH

	No lo se	No	Parcialmente	Si
6.1 Evaluación previa: ¿Tiene su organización un proceso de evaluación previa para el personal antes de la contratación que incluye verificación de antecedentes?	No lo se6.1 Evaluación previa: ¿Tiene su organización un proceso de evaluación previa para el personal antes de la contratación que incluye verificación de antecedentes? No lo se	No6.1 Evaluación previa: ¿Tiene su organización un proceso de evaluación previa para el personal antes de la contratación que incluye verificación de antecedentes? No	Parcialmente6.1 Evaluación previa: ¿Tiene su organización un proceso de evaluación previa para el personal antes de la contratación que incluye verificación de antecedentes? Parcialmente	Si6.1 Evaluación previa: ¿Tiene su organización un proceso de evaluación previa para el personal antes de la contratación que incluye verificación de antecedentes? Si
6.2 Términos y condiciones de empleo: ¿Están claramente definidos y comunicados los términos y condiciones de seguridad de la información en los contratos de empleo?	No lo se6.2 Términos y condiciones de empleo: ¿Están claramente definidos y comunicados los términos y condiciones de seguridad de la información en los contratos de empleo? No lo se	No6.2 Términos y condiciones de empleo: ¿Están claramente definidos y comunicados los términos y condiciones de seguridad de la información en los contratos de empleo? No	Parcialmente6.2 Términos y condiciones de empleo: ¿Están claramente definidos y comunicados los términos y condiciones de seguridad de la información en los contratos de empleo? Parcialmente	Si6.2 Términos y condiciones de empleo: ¿Están claramente definidos y comunicados los términos y condiciones de seguridad de la información en los contratos de empleo? Si
6.3 Concienciación, educación y formación en seguridad de la información: ¿Proporciona su organización formación y sensibilización en seguridad de la información de manera regular a todos los empleados?	No lo se6.3 Concienciación, educación y formación en seguridad de la información: ¿Proporciona su organización formación y sensibilización en seguridad de la información de manera regular a todos los empleados? No lo se	No6.3 Concienciación, educación y formación en seguridad de la información: ¿Proporciona su organización formación y sensibilización en seguridad de la información de manera regular a todos los empleados? No	Parcialmente6.3 Concienciación, educación y formación en seguridad de la información: ¿Proporciona su organización formación y sensibilización en seguridad de la información de manera regular a todos los empleados? Parcialmente	Si6.3 Concienciación, educación y formación en seguridad de la información: ¿Proporciona su organización formación y sensibilización en seguridad de la información de manera regular a todos los empleados? Si
6.4 Proceso disciplinario: ¿Existen procesos disciplinarios establecidos para las violaciones de las políticas de seguridad de la información?	No lo se6.4 Proceso disciplinario: ¿Existen procesos disciplinarios establecidos para las violaciones de las políticas de seguridad de la información? No lo se	No6.4 Proceso disciplinario: ¿Existen procesos disciplinarios establecidos para las violaciones de las políticas de seguridad de la información? No	Parcialmente6.4 Proceso disciplinario: ¿Existen procesos disciplinarios establecidos para las violaciones de las políticas de seguridad de la información? Parcialmente	Si6.4 Proceso disciplinario: ¿Existen procesos disciplinarios establecidos para las violaciones de las políticas de seguridad de la información? Si
6.5 Responsabilidades después de la terminación o cambio de empleo: ¿Se informa y se gestionan adecuadamente las responsabilidades de seguridad de la información cuando un empleado deja la empresa o cambia de puesto?	No lo se6.5 Responsabilidades después de la terminación o cambio de empleo: ¿Se informa y se gestionan adecuadamente las responsabilidades de seguridad de la información cuando un empleado deja la empresa o cambia de puesto? No lo se	No6.5 Responsabilidades después de la terminación o cambio de empleo: ¿Se informa y se gestionan adecuadamente las responsabilidades de seguridad de la información cuando un empleado deja la empresa o cambia de puesto? No	Parcialmente6.5 Responsabilidades después de la terminación o cambio de empleo: ¿Se informa y se gestionan adecuadamente las responsabilidades de seguridad de la información cuando un empleado deja la empresa o cambia de puesto? Parcialmente	Si6.5 Responsabilidades después de la terminación o cambio de empleo: ¿Se informa y se gestionan adecuadamente las responsabilidades de seguridad de la información cuando un empleado deja la empresa o cambia de puesto? Si
6.6 Acuerdos de confidencialidad o de no divulgación: ¿Requiere su organización que los empleados firmen acuerdos de confidencialidad o de no divulgación al iniciar su relación laboral?	No lo se6.6 Acuerdos de confidencialidad o de no divulgación: ¿Requiere su organización que los empleados firmen acuerdos de confidencialidad o de no divulgación al iniciar su relación laboral? No lo se	No6.6 Acuerdos de confidencialidad o de no divulgación: ¿Requiere su organización que los empleados firmen acuerdos de confidencialidad o de no divulgación al iniciar su relación laboral? No	Parcialmente6.6 Acuerdos de confidencialidad o de no divulgación: ¿Requiere su organización que los empleados firmen acuerdos de confidencialidad o de no divulgación al iniciar su relación laboral? Parcialmente	Si6.6 Acuerdos de confidencialidad o de no divulgación: ¿Requiere su organización que los empleados firmen acuerdos de confidencialidad o de no divulgación al iniciar su relación laboral? Si
6.7 Trabajo remoto: ¿Tiene su organización políticas y controles de seguridad establecidos para el trabajo remoto?	No lo se6.7 Trabajo remoto: ¿Tiene su organización políticas y controles de seguridad establecidos para el trabajo remoto? No lo se	No6.7 Trabajo remoto: ¿Tiene su organización políticas y controles de seguridad establecidos para el trabajo remoto? No	Parcialmente6.7 Trabajo remoto: ¿Tiene su organización políticas y controles de seguridad establecidos para el trabajo remoto? Parcialmente	Si6.7 Trabajo remoto: ¿Tiene su organización políticas y controles de seguridad establecidos para el trabajo remoto? Si
6.8 Reporte de eventos de seguridad de la información: ¿Existen mecanismos y procedimientos claramente establecidos para el reporte de eventos de seguridad de la información?	No lo se6.8 Reporte de eventos de seguridad de la información: ¿Existen mecanismos y procedimientos claramente establecidos para el reporte de eventos de seguridad de la información? No lo se	No6.8 Reporte de eventos de seguridad de la información: ¿Existen mecanismos y procedimientos claramente establecidos para el reporte de eventos de seguridad de la información? No	Parcialmente6.8 Reporte de eventos de seguridad de la información: ¿Existen mecanismos y procedimientos claramente establecidos para el reporte de eventos de seguridad de la información? Parcialmente	Si6.8 Reporte de eventos de seguridad de la información: ¿Existen mecanismos y procedimientos claramente establecidos para el reporte de eventos de seguridad de la información? Si

Controles fisicos

	No lo se	No	Parcialmente	Si
7.1 Perímetros de seguridad física: ¿Dispone su organización de barreras físicas y controles para proteger el perímetro de las instalaciones?	No lo se7.1 Perímetros de seguridad física: ¿Dispone su organización de barreras físicas y controles para proteger el perímetro de las instalaciones? No lo se	No7.1 Perímetros de seguridad física: ¿Dispone su organización de barreras físicas y controles para proteger el perímetro de las instalaciones? No	Parcialmente7.1 Perímetros de seguridad física: ¿Dispone su organización de barreras físicas y controles para proteger el perímetro de las instalaciones? Parcialmente	Si7.1 Perímetros de seguridad física: ¿Dispone su organización de barreras físicas y controles para proteger el perímetro de las instalaciones? Si
7.2 Entrada física: ¿Se controla y se registra el acceso físico a las instalaciones de su organización?	No lo se7.2 Entrada física: ¿Se controla y se registra el acceso físico a las instalaciones de su organización? No lo se	No7.2 Entrada física: ¿Se controla y se registra el acceso físico a las instalaciones de su organización? No	Parcialmente7.2 Entrada física: ¿Se controla y se registra el acceso físico a las instalaciones de su organización? Parcialmente	Si7.2 Entrada física: ¿Se controla y se registra el acceso físico a las instalaciones de su organización? Si
7.3 Aseguramiento de oficinas, habitaciones e instalaciones: ¿Están aseguradas adecuadamente las oficinas y otras áreas críticas para prevenir accesos no autorizados?	No lo se7.3 Aseguramiento de oficinas, habitaciones e instalaciones: ¿Están aseguradas adecuadamente las oficinas y otras áreas críticas para prevenir accesos no autorizados? No lo se	No7.3 Aseguramiento de oficinas, habitaciones e instalaciones: ¿Están aseguradas adecuadamente las oficinas y otras áreas críticas para prevenir accesos no autorizados? No	Parcialmente7.3 Aseguramiento de oficinas, habitaciones e instalaciones: ¿Están aseguradas adecuadamente las oficinas y otras áreas críticas para prevenir accesos no autorizados? Parcialmente	Si7.3 Aseguramiento de oficinas, habitaciones e instalaciones: ¿Están aseguradas adecuadamente las oficinas y otras áreas críticas para prevenir accesos no autorizados? Si
7.4 Monitoreo de seguridad física: ¿Se monitorean las instalaciones para detectar y responder a actividades no autorizadas?	No lo se7.4 Monitoreo de seguridad física: ¿Se monitorean las instalaciones para detectar y responder a actividades no autorizadas? No lo se	No7.4 Monitoreo de seguridad física: ¿Se monitorean las instalaciones para detectar y responder a actividades no autorizadas? No	Parcialmente7.4 Monitoreo de seguridad física: ¿Se monitorean las instalaciones para detectar y responder a actividades no autorizadas? Parcialmente	Si7.4 Monitoreo de seguridad física: ¿Se monitorean las instalaciones para detectar y responder a actividades no autorizadas? Si
7.5 Protección contra amenazas físicas y ambientales: ¿Están protegidas sus instalaciones contra amenazas físicas y ambientales como incendios, inundaciones y desastres naturales?	No lo se7.5 Protección contra amenazas físicas y ambientales: ¿Están protegidas sus instalaciones contra amenazas físicas y ambientales como incendios, inundaciones y desastres naturales? No lo se	No7.5 Protección contra amenazas físicas y ambientales: ¿Están protegidas sus instalaciones contra amenazas físicas y ambientales como incendios, inundaciones y desastres naturales? No	Parcialmente7.5 Protección contra amenazas físicas y ambientales: ¿Están protegidas sus instalaciones contra amenazas físicas y ambientales como incendios, inundaciones y desastres naturales? Parcialmente	Si7.5 Protección contra amenazas físicas y ambientales: ¿Están protegidas sus instalaciones contra amenazas físicas y ambientales como incendios, inundaciones y desastres naturales? Si
7.6 Trabajo en áreas seguras: ¿Tiene su organización áreas seguras donde se maneja información sensible y se restringe el acceso solo al personal autorizado?	No lo se7.6 Trabajo en áreas seguras: ¿Tiene su organización áreas seguras donde se maneja información sensible y se restringe el acceso solo al personal autorizado? No lo se	No7.6 Trabajo en áreas seguras: ¿Tiene su organización áreas seguras donde se maneja información sensible y se restringe el acceso solo al personal autorizado? No	Parcialmente7.6 Trabajo en áreas seguras: ¿Tiene su organización áreas seguras donde se maneja información sensible y se restringe el acceso solo al personal autorizado? Parcialmente	Si7.6 Trabajo en áreas seguras: ¿Tiene su organización áreas seguras donde se maneja información sensible y se restringe el acceso solo al personal autorizado? Si
7.7 Escritorio limpio y pantalla limpia: ¿Se promueve y cumple la política de escritorio limpio y pantalla limpia en su organización para reducir el riesgo de fuga de información?	No lo se7.7 Escritorio limpio y pantalla limpia: ¿Se promueve y cumple la política de escritorio limpio y pantalla limpia en su organización para reducir el riesgo de fuga de información? No lo se	No7.7 Escritorio limpio y pantalla limpia: ¿Se promueve y cumple la política de escritorio limpio y pantalla limpia en su organización para reducir el riesgo de fuga de información? No	Parcialmente7.7 Escritorio limpio y pantalla limpia: ¿Se promueve y cumple la política de escritorio limpio y pantalla limpia en su organización para reducir el riesgo de fuga de información? Parcialmente	Si7.7 Escritorio limpio y pantalla limpia: ¿Se promueve y cumple la política de escritorio limpio y pantalla limpia en su organización para reducir el riesgo de fuga de información? Si
7.8 Ubicación y protección del equipo: ¿Está el equipo crítico ubicado en áreas seguras y protegido contra amenazas potenciales?	No lo se7.8 Ubicación y protección del equipo: ¿Está el equipo crítico ubicado en áreas seguras y protegido contra amenazas potenciales? No lo se	No7.8 Ubicación y protección del equipo: ¿Está el equipo crítico ubicado en áreas seguras y protegido contra amenazas potenciales? No	Parcialmente7.8 Ubicación y protección del equipo: ¿Está el equipo crítico ubicado en áreas seguras y protegido contra amenazas potenciales? Parcialmente	Si7.8 Ubicación y protección del equipo: ¿Está el equipo crítico ubicado en áreas seguras y protegido contra amenazas potenciales? Si
7.9 Seguridad de los activos fuera de las instalaciones: ¿asegura su organización la seguridad de los activos cuando se encuentran fuera de las instalaciones?	No lo se7.9 Seguridad de los activos fuera de las instalaciones: ¿asegura su organización la seguridad de los activos cuando se encuentran fuera de las instalaciones? No lo se	No7.9 Seguridad de los activos fuera de las instalaciones: ¿asegura su organización la seguridad de los activos cuando se encuentran fuera de las instalaciones? No	Parcialmente7.9 Seguridad de los activos fuera de las instalaciones: ¿asegura su organización la seguridad de los activos cuando se encuentran fuera de las instalaciones? Parcialmente	Si7.9 Seguridad de los activos fuera de las instalaciones: ¿asegura su organización la seguridad de los activos cuando se encuentran fuera de las instalaciones? Si
7.10 Medios de almacenamiento: ¿Se manejan y almacenan de manera segura los medios de almacenamiento que contienen información sensible?	No lo se7.10 Medios de almacenamiento: ¿Se manejan y almacenan de manera segura los medios de almacenamiento que contienen información sensible? No lo se	No7.10 Medios de almacenamiento: ¿Se manejan y almacenan de manera segura los medios de almacenamiento que contienen información sensible? No	Parcialmente7.10 Medios de almacenamiento: ¿Se manejan y almacenan de manera segura los medios de almacenamiento que contienen información sensible? Parcialmente	Si7.10 Medios de almacenamiento: ¿Se manejan y almacenan de manera segura los medios de almacenamiento que contienen información sensible? Si
7.11 Utilidades de soporte: ¿Cuenta su organización con medidas para proteger las utilidades de soporte críticas como el suministro eléctrico y el agua?	No lo se7.11 Utilidades de soporte: ¿Cuenta su organización con medidas para proteger las utilidades de soporte críticas como el suministro eléctrico y el agua? No lo se	No7.11 Utilidades de soporte: ¿Cuenta su organización con medidas para proteger las utilidades de soporte críticas como el suministro eléctrico y el agua? No	Parcialmente7.11 Utilidades de soporte: ¿Cuenta su organización con medidas para proteger las utilidades de soporte críticas como el suministro eléctrico y el agua? Parcialmente	Si7.11 Utilidades de soporte: ¿Cuenta su organización con medidas para proteger las utilidades de soporte críticas como el suministro eléctrico y el agua? Si
7.12 Seguridad del cableado: ¿Están protegidos los cables de red y de energía de su organización para evitar daños y accesos no autorizados?	No lo se7.12 Seguridad del cableado: ¿Están protegidos los cables de red y de energía de su organización para evitar daños y accesos no autorizados? No lo se	No7.12 Seguridad del cableado: ¿Están protegidos los cables de red y de energía de su organización para evitar daños y accesos no autorizados? No	Parcialmente7.12 Seguridad del cableado: ¿Están protegidos los cables de red y de energía de su organización para evitar daños y accesos no autorizados? Parcialmente	Si7.12 Seguridad del cableado: ¿Están protegidos los cables de red y de energía de su organización para evitar daños y accesos no autorizados? Si
7.13 Mantenimiento del equipo: ¿Se realiza el mantenimiento regular del equipo para asegurar la continuidad y la seguridad de la información?	No lo se7.13 Mantenimiento del equipo: ¿Se realiza el mantenimiento regular del equipo para asegurar la continuidad y la seguridad de la información? No lo se	No7.13 Mantenimiento del equipo: ¿Se realiza el mantenimiento regular del equipo para asegurar la continuidad y la seguridad de la información? No	Parcialmente7.13 Mantenimiento del equipo: ¿Se realiza el mantenimiento regular del equipo para asegurar la continuidad y la seguridad de la información? Parcialmente	Si7.13 Mantenimiento del equipo: ¿Se realiza el mantenimiento regular del equipo para asegurar la continuidad y la seguridad de la información? Si
7.14 Eliminación segura o reutilización del equipo: ¿Dispone su organización de procedimientos para la eliminación segura o la reutilización del equipo que eviten la fuga de información?	No lo se7.14 Eliminación segura o reutilización del equipo: ¿Dispone su organización de procedimientos para la eliminación segura o la reutilización del equipo que eviten la fuga de información? No lo se	No7.14 Eliminación segura o reutilización del equipo: ¿Dispone su organización de procedimientos para la eliminación segura o la reutilización del equipo que eviten la fuga de información? No	Parcialmente7.14 Eliminación segura o reutilización del equipo: ¿Dispone su organización de procedimientos para la eliminación segura o la reutilización del equipo que eviten la fuga de información? Parcialmente	Si7.14 Eliminación segura o reutilización del equipo: ¿Dispone su organización de procedimientos para la eliminación segura o la reutilización del equipo que eviten la fuga de información? Si

Controles tecnológicos

Describa el sistema o el entorno donde quiere autoevaluar el cumplimiento de la iso27001 *

Objetivo de cumplir con un sistema de gestión de la seguridad de la información SGSI

Requerimiento de algun cliente
Optar a proyectos donde es requisito
Solicitado internamente concienciado de las ventajas que da la ISO27001
Solicitado por requerimiento del sector
Interesados en obtener la certificación oficial
Interesados solo en cumplir con el estándar, de momento sin necesidad de certificación oficial

Explique porque esta interesado en conocer su nivel de adaptación a la ISO27001 *

Autoevaluación ISO27001

Soy

Oficinas

	No lo se	No	Parcialmente	Si
5.1 Políticas de seguridad de la información: ¿Dispone su organización de políticas de seguridad de la información formalmente aprobadas y comunicadas a todos los empleados?	No lo se5.1 Políticas de seguridad de la información: ¿Dispone su organización de políticas de seguridad de la información formalmente aprobadas y comunicadas a todos los empleados? No lo se	No5.1 Políticas de seguridad de la información: ¿Dispone su organización de políticas de seguridad de la información formalmente aprobadas y comunicadas a todos los empleados? No	Parcialmente5.1 Políticas de seguridad de la información: ¿Dispone su organización de políticas de seguridad de la información formalmente aprobadas y comunicadas a todos los empleados? Parcialmente	Si5.1 Políticas de seguridad de la información: ¿Dispone su organización de políticas de seguridad de la información formalmente aprobadas y comunicadas a todos los empleados? Si
5.2 Roles y responsabilidades de seguridad de la información: ¿Están claramente definidos y asignados los roles y responsabilidades de seguridad de la información en su organización?	No lo se5.2 Roles y responsabilidades de seguridad de la información: ¿Están claramente definidos y asignados los roles y responsabilidades de seguridad de la información en su organización? No lo se	No5.2 Roles y responsabilidades de seguridad de la información: ¿Están claramente definidos y asignados los roles y responsabilidades de seguridad de la información en su organización? No	Parcialmente5.2 Roles y responsabilidades de seguridad de la información: ¿Están claramente definidos y asignados los roles y responsabilidades de seguridad de la información en su organización? Parcialmente	Si5.2 Roles y responsabilidades de seguridad de la información: ¿Están claramente definidos y asignados los roles y responsabilidades de seguridad de la información en su organización? Si
5.3 Segregación de funciones: ¿Tiene su organización medidas para prevenir conflictos de interés y fraude mediante la segregación de funciones?	No lo se5.3 Segregación de funciones: ¿Tiene su organización medidas para prevenir conflictos de interés y fraude mediante la segregación de funciones? No lo se	No5.3 Segregación de funciones: ¿Tiene su organización medidas para prevenir conflictos de interés y fraude mediante la segregación de funciones? No	Parcialmente5.3 Segregación de funciones: ¿Tiene su organización medidas para prevenir conflictos de interés y fraude mediante la segregación de funciones? Parcialmente	Si5.3 Segregación de funciones: ¿Tiene su organización medidas para prevenir conflictos de interés y fraude mediante la segregación de funciones? Si
5.4 Responsabilidades de gestión: ¿Se aseguran los gestores de aplicar las políticas y procedimientos de seguridad de la información en sus áreas respectivas?	No lo se5.4 Responsabilidades de gestión: ¿Se aseguran los gestores de aplicar las políticas y procedimientos de seguridad de la información en sus áreas respectivas? No lo se	No5.4 Responsabilidades de gestión: ¿Se aseguran los gestores de aplicar las políticas y procedimientos de seguridad de la información en sus áreas respectivas? No	Parcialmente5.4 Responsabilidades de gestión: ¿Se aseguran los gestores de aplicar las políticas y procedimientos de seguridad de la información en sus áreas respectivas? Parcialmente	Si5.4 Responsabilidades de gestión: ¿Se aseguran los gestores de aplicar las políticas y procedimientos de seguridad de la información en sus áreas respectivas? Si
5.5 Contacto con autoridades: ¿Existen procedimientos establecidos para el contacto y comunicación con las autoridades pertinentes en caso de incidentes de seguridad?	No lo se5.5 Contacto con autoridades: ¿Existen procedimientos establecidos para el contacto y comunicación con las autoridades pertinentes en caso de incidentes de seguridad? No lo se	No5.5 Contacto con autoridades: ¿Existen procedimientos establecidos para el contacto y comunicación con las autoridades pertinentes en caso de incidentes de seguridad? No	Parcialmente5.5 Contacto con autoridades: ¿Existen procedimientos establecidos para el contacto y comunicación con las autoridades pertinentes en caso de incidentes de seguridad? Parcialmente	Si5.5 Contacto con autoridades: ¿Existen procedimientos establecidos para el contacto y comunicación con las autoridades pertinentes en caso de incidentes de seguridad? Si
5.6 Contacto con grupos de interés especial: ¿Mantiene su organización relaciones con grupos de interés especial o comunidades de seguridad para mantenerse al día sobre las amenazas y mejores prácticas?	No lo se5.6 Contacto con grupos de interés especial: ¿Mantiene su organización relaciones con grupos de interés especial o comunidades de seguridad para mantenerse al día sobre las amenazas y mejores prácticas? No lo se	No5.6 Contacto con grupos de interés especial: ¿Mantiene su organización relaciones con grupos de interés especial o comunidades de seguridad para mantenerse al día sobre las amenazas y mejores prácticas? No	Parcialmente5.6 Contacto con grupos de interés especial: ¿Mantiene su organización relaciones con grupos de interés especial o comunidades de seguridad para mantenerse al día sobre las amenazas y mejores prácticas? Parcialmente	Si5.6 Contacto con grupos de interés especial: ¿Mantiene su organización relaciones con grupos de interés especial o comunidades de seguridad para mantenerse al día sobre las amenazas y mejores prácticas? Si
5.7 Inteligencia de amenazas: ¿Utiliza su organización inteligencia de amenazas para anticipar y mitigar potenciales ataques de seguridad?	No lo se5.7 Inteligencia de amenazas: ¿Utiliza su organización inteligencia de amenazas para anticipar y mitigar potenciales ataques de seguridad? No lo se	No5.7 Inteligencia de amenazas: ¿Utiliza su organización inteligencia de amenazas para anticipar y mitigar potenciales ataques de seguridad? No	Parcialmente5.7 Inteligencia de amenazas: ¿Utiliza su organización inteligencia de amenazas para anticipar y mitigar potenciales ataques de seguridad? Parcialmente	Si5.7 Inteligencia de amenazas: ¿Utiliza su organización inteligencia de amenazas para anticipar y mitigar potenciales ataques de seguridad? Si
5.8 Seguridad de la información en la gestión de proyectos: ¿Se integra la seguridad de la información en la gestión de proyectos de su organización desde su inicio?	No lo se5.8 Seguridad de la información en la gestión de proyectos: ¿Se integra la seguridad de la información en la gestión de proyectos de su organización desde su inicio? No lo se	No5.8 Seguridad de la información en la gestión de proyectos: ¿Se integra la seguridad de la información en la gestión de proyectos de su organización desde su inicio? No	Parcialmente5.8 Seguridad de la información en la gestión de proyectos: ¿Se integra la seguridad de la información en la gestión de proyectos de su organización desde su inicio? Parcialmente	Si5.8 Seguridad de la información en la gestión de proyectos: ¿Se integra la seguridad de la información en la gestión de proyectos de su organización desde su inicio? Si
5.9 Inventario de información y otros activos asociados: ¿Mantiene su organización un inventario actualizado de todos los activos de información y otros activos asociados?	No lo se5.9 Inventario de información y otros activos asociados: ¿Mantiene su organización un inventario actualizado de todos los activos de información y otros activos asociados? No lo se	No5.9 Inventario de información y otros activos asociados: ¿Mantiene su organización un inventario actualizado de todos los activos de información y otros activos asociados? No	Parcialmente5.9 Inventario de información y otros activos asociados: ¿Mantiene su organización un inventario actualizado de todos los activos de información y otros activos asociados? Parcialmente	Si5.9 Inventario de información y otros activos asociados: ¿Mantiene su organización un inventario actualizado de todos los activos de información y otros activos asociados? Si
5.10 Uso aceptable de la información y otros activos asociados: ¿Existen políticas de uso aceptable y son estas conocidas y seguidas por todos los usuarios?	No lo se5.10 Uso aceptable de la información y otros activos asociados: ¿Existen políticas de uso aceptable y son estas conocidas y seguidas por todos los usuarios? No lo se	No5.10 Uso aceptable de la información y otros activos asociados: ¿Existen políticas de uso aceptable y son estas conocidas y seguidas por todos los usuarios? No	Parcialmente5.10 Uso aceptable de la información y otros activos asociados: ¿Existen políticas de uso aceptable y son estas conocidas y seguidas por todos los usuarios? Parcialmente	Si5.10 Uso aceptable de la información y otros activos asociados: ¿Existen políticas de uso aceptable y son estas conocidas y seguidas por todos los usuarios? Si
5.11 Devolución de activos: ¿Tiene procesos establecidos para la devolución de activos organizativos al terminar el empleo o en cambio de roles?	No lo se5.11 Devolución de activos: ¿Tiene procesos establecidos para la devolución de activos organizativos al terminar el empleo o en cambio de roles? No lo se	No5.11 Devolución de activos: ¿Tiene procesos establecidos para la devolución de activos organizativos al terminar el empleo o en cambio de roles? No	Parcialmente5.11 Devolución de activos: ¿Tiene procesos establecidos para la devolución de activos organizativos al terminar el empleo o en cambio de roles? Parcialmente	Si5.11 Devolución de activos: ¿Tiene procesos establecidos para la devolución de activos organizativos al terminar el empleo o en cambio de roles? Si
5.12 Clasificación de la información: ¿Clasifica y maneja su organización la información basándose en su nivel de sensibilidad y criticidad?	No lo se5.12 Clasificación de la información: ¿Clasifica y maneja su organización la información basándose en su nivel de sensibilidad y criticidad? No lo se	No5.12 Clasificación de la información: ¿Clasifica y maneja su organización la información basándose en su nivel de sensibilidad y criticidad? No	Parcialmente5.12 Clasificación de la información: ¿Clasifica y maneja su organización la información basándose en su nivel de sensibilidad y criticidad? Parcialmente	Si5.12 Clasificación de la información: ¿Clasifica y maneja su organización la información basándose en su nivel de sensibilidad y criticidad? Si
5.13 Etiquetado de la información: ¿Utiliza su organización etiquetas para clasificar la información y garantizar que se maneje adecuadamente?	No lo se5.13 Etiquetado de la información: ¿Utiliza su organización etiquetas para clasificar la información y garantizar que se maneje adecuadamente? No lo se	No5.13 Etiquetado de la información: ¿Utiliza su organización etiquetas para clasificar la información y garantizar que se maneje adecuadamente? No	Parcialmente5.13 Etiquetado de la información: ¿Utiliza su organización etiquetas para clasificar la información y garantizar que se maneje adecuadamente? Parcialmente	Si5.13 Etiquetado de la información: ¿Utiliza su organización etiquetas para clasificar la información y garantizar que se maneje adecuadamente? Si
5.14 Transferencia de información: ¿Cuenta con controles y mecanismos para proteger la información durante su transferencia tanto interna como externamente?	No lo se5.14 Transferencia de información: ¿Cuenta con controles y mecanismos para proteger la información durante su transferencia tanto interna como externamente? No lo se	No5.14 Transferencia de información: ¿Cuenta con controles y mecanismos para proteger la información durante su transferencia tanto interna como externamente? No	Parcialmente5.14 Transferencia de información: ¿Cuenta con controles y mecanismos para proteger la información durante su transferencia tanto interna como externamente? Parcialmente	Si5.14 Transferencia de información: ¿Cuenta con controles y mecanismos para proteger la información durante su transferencia tanto interna como externamente? Si
5.15 Control de acceso: ¿Implementa su organización controles de acceso adecuados para limitar el acceso a la información y los sistemas de información?	No lo se5.15 Control de acceso: ¿Implementa su organización controles de acceso adecuados para limitar el acceso a la información y los sistemas de información? No lo se	No5.15 Control de acceso: ¿Implementa su organización controles de acceso adecuados para limitar el acceso a la información y los sistemas de información? No	Parcialmente5.15 Control de acceso: ¿Implementa su organización controles de acceso adecuados para limitar el acceso a la información y los sistemas de información? Parcialmente	Si5.15 Control de acceso: ¿Implementa su organización controles de acceso adecuados para limitar el acceso a la información y los sistemas de información? Si
5.16 Gestión de identidad: ¿Se gestionan las identidades digitales de manera que se pueda asegurar la autenticación y autorización apropiada?	No lo se5.16 Gestión de identidad: ¿Se gestionan las identidades digitales de manera que se pueda asegurar la autenticación y autorización apropiada? No lo se	No5.16 Gestión de identidad: ¿Se gestionan las identidades digitales de manera que se pueda asegurar la autenticación y autorización apropiada? No	Parcialmente5.16 Gestión de identidad: ¿Se gestionan las identidades digitales de manera que se pueda asegurar la autenticación y autorización apropiada? Parcialmente	Si5.16 Gestión de identidad: ¿Se gestionan las identidades digitales de manera que se pueda asegurar la autenticación y autorización apropiada? Si
5.17 Información de autenticación: ¿asegura su organización la gestión adecuada de la información de autenticación de los usuarios?	No lo se5.17 Información de autenticación: ¿asegura su organización la gestión adecuada de la información de autenticación de los usuarios? No lo se	No5.17 Información de autenticación: ¿asegura su organización la gestión adecuada de la información de autenticación de los usuarios? No	Parcialmente5.17 Información de autenticación: ¿asegura su organización la gestión adecuada de la información de autenticación de los usuarios? Parcialmente	Si5.17 Información de autenticación: ¿asegura su organización la gestión adecuada de la información de autenticación de los usuarios? Si
5.18 Derechos de acceso: ¿se asignan, revisan y eliminan los derechos de acceso en su organización?	No lo se5.18 Derechos de acceso: ¿se asignan, revisan y eliminan los derechos de acceso en su organización? No lo se	No5.18 Derechos de acceso: ¿se asignan, revisan y eliminan los derechos de acceso en su organización? No	Parcialmente5.18 Derechos de acceso: ¿se asignan, revisan y eliminan los derechos de acceso en su organización? Parcialmente	Si5.18 Derechos de acceso: ¿se asignan, revisan y eliminan los derechos de acceso en su organización? Si
5.19 Seguridad de la información en las relaciones con proveedores: ¿Evalúa y gestiona su organización los riesgos de seguridad de la información relacionados con proveedores externos?	No lo se5.19 Seguridad de la información en las relaciones con proveedores: ¿Evalúa y gestiona su organización los riesgos de seguridad de la información relacionados con proveedores externos? No lo se	No5.19 Seguridad de la información en las relaciones con proveedores: ¿Evalúa y gestiona su organización los riesgos de seguridad de la información relacionados con proveedores externos? No	Parcialmente5.19 Seguridad de la información en las relaciones con proveedores: ¿Evalúa y gestiona su organización los riesgos de seguridad de la información relacionados con proveedores externos? Parcialmente	Si5.19 Seguridad de la información en las relaciones con proveedores: ¿Evalúa y gestiona su organización los riesgos de seguridad de la información relacionados con proveedores externos? Si
5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores: ¿Incluyen sus contratos con proveedores cláusulas y requisitos claros de seguridad de la información?	No lo se5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores: ¿Incluyen sus contratos con proveedores cláusulas y requisitos claros de seguridad de la información? No lo se	No5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores: ¿Incluyen sus contratos con proveedores cláusulas y requisitos claros de seguridad de la información? No	Parcialmente5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores: ¿Incluyen sus contratos con proveedores cláusulas y requisitos claros de seguridad de la información? Parcialmente	Si5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores: ¿Incluyen sus contratos con proveedores cláusulas y requisitos claros de seguridad de la información? Si
5.21 Gestión de la seguridad de la información en la cadena de suministro TIC: ¿asegura su organización que la cadena de suministro TIC cumple con sus políticas y estándares de seguridad?	No lo se5.21 Gestión de la seguridad de la información en la cadena de suministro TIC: ¿asegura su organización que la cadena de suministro TIC cumple con sus políticas y estándares de seguridad? No lo se	No5.21 Gestión de la seguridad de la información en la cadena de suministro TIC: ¿asegura su organización que la cadena de suministro TIC cumple con sus políticas y estándares de seguridad? No	Parcialmente5.21 Gestión de la seguridad de la información en la cadena de suministro TIC: ¿asegura su organización que la cadena de suministro TIC cumple con sus políticas y estándares de seguridad? Parcialmente	Si5.21 Gestión de la seguridad de la información en la cadena de suministro TIC: ¿asegura su organización que la cadena de suministro TIC cumple con sus políticas y estándares de seguridad? Si
5.22 Monitoreo, revisión y gestión de cambios de los servicios de proveedores: ¿Cómo monitorea y gestiona su organización los cambios en los servicios prestados por proveedores?	No lo se5.22 Monitoreo, revisión y gestión de cambios de los servicios de proveedores: ¿Cómo monitorea y gestiona su organización los cambios en los servicios prestados por proveedores? No lo se	No5.22 Monitoreo, revisión y gestión de cambios de los servicios de proveedores: ¿Cómo monitorea y gestiona su organización los cambios en los servicios prestados por proveedores? No	Parcialmente5.22 Monitoreo, revisión y gestión de cambios de los servicios de proveedores: ¿Cómo monitorea y gestiona su organización los cambios en los servicios prestados por proveedores? Parcialmente	Si5.22 Monitoreo, revisión y gestión de cambios de los servicios de proveedores: ¿Cómo monitorea y gestiona su organización los cambios en los servicios prestados por proveedores? Si
5.23 Seguridad de la información para el uso de servicios en la nube: ¿Se han evaluado y mitigado los riesgos asociados con el uso de servicios en la nube?	No lo se5.23 Seguridad de la información para el uso de servicios en la nube: ¿Se han evaluado y mitigado los riesgos asociados con el uso de servicios en la nube? No lo se	No5.23 Seguridad de la información para el uso de servicios en la nube: ¿Se han evaluado y mitigado los riesgos asociados con el uso de servicios en la nube? No	Parcialmente5.23 Seguridad de la información para el uso de servicios en la nube: ¿Se han evaluado y mitigado los riesgos asociados con el uso de servicios en la nube? Parcialmente	Si5.23 Seguridad de la información para el uso de servicios en la nube: ¿Se han evaluado y mitigado los riesgos asociados con el uso de servicios en la nube? Si
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información: ¿Dispone su organización de un plan de respuesta ante incidentes de seguridad de la información?	No lo se5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información: ¿Dispone su organización de un plan de respuesta ante incidentes de seguridad de la información? No lo se	No5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información: ¿Dispone su organización de un plan de respuesta ante incidentes de seguridad de la información? No	Parcialmente5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información: ¿Dispone su organización de un plan de respuesta ante incidentes de seguridad de la información? Parcialmente	Si5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información: ¿Dispone su organización de un plan de respuesta ante incidentes de seguridad de la información? Si
5.25 Evaluación y decisión sobre eventos de seguridad de la información: ¿Tiene procedimientos para evaluar y tomar decisiones ante eventos de seguridad?	No lo se5.25 Evaluación y decisión sobre eventos de seguridad de la información: ¿Tiene procedimientos para evaluar y tomar decisiones ante eventos de seguridad? No lo se	No5.25 Evaluación y decisión sobre eventos de seguridad de la información: ¿Tiene procedimientos para evaluar y tomar decisiones ante eventos de seguridad? No	Parcialmente5.25 Evaluación y decisión sobre eventos de seguridad de la información: ¿Tiene procedimientos para evaluar y tomar decisiones ante eventos de seguridad? Parcialmente	Si5.25 Evaluación y decisión sobre eventos de seguridad de la información: ¿Tiene procedimientos para evaluar y tomar decisiones ante eventos de seguridad? Si
5.26 Respuesta a incidentes de seguridad de la información: ¿responde su organización a los incidentes de seguridad de la información?	No lo se5.26 Respuesta a incidentes de seguridad de la información: ¿responde su organización a los incidentes de seguridad de la información? No lo se	No5.26 Respuesta a incidentes de seguridad de la información: ¿responde su organización a los incidentes de seguridad de la información? No	Parcialmente5.26 Respuesta a incidentes de seguridad de la información: ¿responde su organización a los incidentes de seguridad de la información? Parcialmente	Si5.26 Respuesta a incidentes de seguridad de la información: ¿responde su organización a los incidentes de seguridad de la información? Si
5.27 Aprendizaje de incidentes de seguridad de la información: ¿Existe un proceso para aprender y mejorar a partir de los incidentes de seguridad?	No lo se5.27 Aprendizaje de incidentes de seguridad de la información: ¿Existe un proceso para aprender y mejorar a partir de los incidentes de seguridad? No lo se	No5.27 Aprendizaje de incidentes de seguridad de la información: ¿Existe un proceso para aprender y mejorar a partir de los incidentes de seguridad? No	Parcialmente5.27 Aprendizaje de incidentes de seguridad de la información: ¿Existe un proceso para aprender y mejorar a partir de los incidentes de seguridad? Parcialmente	Si5.27 Aprendizaje de incidentes de seguridad de la información: ¿Existe un proceso para aprender y mejorar a partir de los incidentes de seguridad? Si
5.28 Recolección de evidencia: ¿recolecta y preserva su organización evidencias en caso de un incidente de seguridad?	No lo se5.28 Recolección de evidencia: ¿recolecta y preserva su organización evidencias en caso de un incidente de seguridad? No lo se	No5.28 Recolección de evidencia: ¿recolecta y preserva su organización evidencias en caso de un incidente de seguridad? No	Parcialmente5.28 Recolección de evidencia: ¿recolecta y preserva su organización evidencias en caso de un incidente de seguridad? Parcialmente	Si5.28 Recolección de evidencia: ¿recolecta y preserva su organización evidencias en caso de un incidente de seguridad? Si
5.29 Seguridad de la información durante interrupciones: ¿protege su organización la información durante interrupciones en la operatividad?	No lo se5.29 Seguridad de la información durante interrupciones: ¿protege su organización la información durante interrupciones en la operatividad? No lo se	No5.29 Seguridad de la información durante interrupciones: ¿protege su organización la información durante interrupciones en la operatividad? No	Parcialmente5.29 Seguridad de la información durante interrupciones: ¿protege su organización la información durante interrupciones en la operatividad? Parcialmente	Si5.29 Seguridad de la información durante interrupciones: ¿protege su organización la información durante interrupciones en la operatividad? Si
5.30 Preparación TIC para la continuidad del negocio: ¿Está preparada su infraestructura TIC para respaldar la continuidad del negocio ante interrupciones?	No lo se5.30 Preparación TIC para la continuidad del negocio: ¿Está preparada su infraestructura TIC para respaldar la continuidad del negocio ante interrupciones? No lo se	No5.30 Preparación TIC para la continuidad del negocio: ¿Está preparada su infraestructura TIC para respaldar la continuidad del negocio ante interrupciones? No	Parcialmente5.30 Preparación TIC para la continuidad del negocio: ¿Está preparada su infraestructura TIC para respaldar la continuidad del negocio ante interrupciones? Parcialmente	Si5.30 Preparación TIC para la continuidad del negocio: ¿Está preparada su infraestructura TIC para respaldar la continuidad del negocio ante interrupciones? Si
5.31 Requisitos legales, estatutarios, regulatorios y contractuales: ¿garantiza su organización el cumplimiento con las obligaciones legales y contractuales?	No lo se5.31 Requisitos legales, estatutarios, regulatorios y contractuales: ¿garantiza su organización el cumplimiento con las obligaciones legales y contractuales? No lo se	No5.31 Requisitos legales, estatutarios, regulatorios y contractuales: ¿garantiza su organización el cumplimiento con las obligaciones legales y contractuales? No	Parcialmente5.31 Requisitos legales, estatutarios, regulatorios y contractuales: ¿garantiza su organización el cumplimiento con las obligaciones legales y contractuales? Parcialmente	Si5.31 Requisitos legales, estatutarios, regulatorios y contractuales: ¿garantiza su organización el cumplimiento con las obligaciones legales y contractuales? Si
5.32 Derechos de propiedad intelectual: ¿Tiene procesos para proteger los derechos de propiedad intelectual asociados con la información y los servicios TIC?	No lo se5.32 Derechos de propiedad intelectual: ¿Tiene procesos para proteger los derechos de propiedad intelectual asociados con la información y los servicios TIC? No lo se	No5.32 Derechos de propiedad intelectual: ¿Tiene procesos para proteger los derechos de propiedad intelectual asociados con la información y los servicios TIC? No	Parcialmente5.32 Derechos de propiedad intelectual: ¿Tiene procesos para proteger los derechos de propiedad intelectual asociados con la información y los servicios TIC? Parcialmente	Si5.32 Derechos de propiedad intelectual: ¿Tiene procesos para proteger los derechos de propiedad intelectual asociados con la información y los servicios TIC? Si
5.33 Protección de registros: ¿asegura la protección de los registros de su organización contra pérdida, destrucción y falsificación?	No lo se5.33 Protección de registros: ¿asegura la protección de los registros de su organización contra pérdida, destrucción y falsificación? No lo se	No5.33 Protección de registros: ¿asegura la protección de los registros de su organización contra pérdida, destrucción y falsificación? No	Parcialmente5.33 Protección de registros: ¿asegura la protección de los registros de su organización contra pérdida, destrucción y falsificación? Parcialmente	Si5.33 Protección de registros: ¿asegura la protección de los registros de su organización contra pérdida, destrucción y falsificación? Si
5.34 Privacidad y protección de PII: ¿Qué medidas aplica su organización para proteger la privacidad y la información personal identificable?	No lo se5.34 Privacidad y protección de PII: ¿Qué medidas aplica su organización para proteger la privacidad y la información personal identificable? No lo se	No5.34 Privacidad y protección de PII: ¿Qué medidas aplica su organización para proteger la privacidad y la información personal identificable? No	Parcialmente5.34 Privacidad y protección de PII: ¿Qué medidas aplica su organización para proteger la privacidad y la información personal identificable? Parcialmente	Si5.34 Privacidad y protección de PII: ¿Qué medidas aplica su organización para proteger la privacidad y la información personal identificable? Si
5.35 Revisión independiente de la seguridad de la información: ¿se llevan a cabo las revisiones independientes de la seguridad de la información en su organización?	No lo se5.35 Revisión independiente de la seguridad de la información: ¿se llevan a cabo las revisiones independientes de la seguridad de la información en su organización? No lo se	No5.35 Revisión independiente de la seguridad de la información: ¿se llevan a cabo las revisiones independientes de la seguridad de la información en su organización? No	Parcialmente5.35 Revisión independiente de la seguridad de la información: ¿se llevan a cabo las revisiones independientes de la seguridad de la información en su organización? Parcialmente	Si5.35 Revisión independiente de la seguridad de la información: ¿se llevan a cabo las revisiones independientes de la seguridad de la información en su organización? Si
5.36 Cumplimiento con políticas, reglas y estándares para la seguridad de la información: ¿verifica su organización el cumplimiento de las políticas, reglas y estándares de segurida	No lo se5.36 Cumplimiento con políticas, reglas y estándares para la seguridad de la información: ¿verifica su organización el cumplimiento de las políticas, reglas y estándares de segurida No lo se	No5.36 Cumplimiento con políticas, reglas y estándares para la seguridad de la información: ¿verifica su organización el cumplimiento de las políticas, reglas y estándares de segurida No	Parcialmente5.36 Cumplimiento con políticas, reglas y estándares para la seguridad de la información: ¿verifica su organización el cumplimiento de las políticas, reglas y estándares de segurida Parcialmente	Si5.36 Cumplimiento con políticas, reglas y estándares para la seguridad de la información: ¿verifica su organización el cumplimiento de las políticas, reglas y estándares de segurida Si

	No lo se	No	Parcialmente	Si
8.1 Dispositivos de punto final de usuario: ¿Tiene su organización políticas y controles para gestionar la seguridad de los dispositivos de punto final utilizados por los usuarios?	No lo se8.1 Dispositivos de punto final de usuario: ¿Tiene su organización políticas y controles para gestionar la seguridad de los dispositivos de punto final utilizados por los usuarios? No lo se	No8.1 Dispositivos de punto final de usuario: ¿Tiene su organización políticas y controles para gestionar la seguridad de los dispositivos de punto final utilizados por los usuarios? No	Parcialmente8.1 Dispositivos de punto final de usuario: ¿Tiene su organización políticas y controles para gestionar la seguridad de los dispositivos de punto final utilizados por los usuarios? Parcialmente	Si8.1 Dispositivos de punto final de usuario: ¿Tiene su organización políticas y controles para gestionar la seguridad de los dispositivos de punto final utilizados por los usuarios? Si
8.2 Derechos de acceso privilegiado: ¿gestiona y supervisa su organización los derechos de acceso privilegiado para evitar abusos?	No lo se8.2 Derechos de acceso privilegiado: ¿gestiona y supervisa su organización los derechos de acceso privilegiado para evitar abusos? No lo se	No8.2 Derechos de acceso privilegiado: ¿gestiona y supervisa su organización los derechos de acceso privilegiado para evitar abusos? No	Parcialmente8.2 Derechos de acceso privilegiado: ¿gestiona y supervisa su organización los derechos de acceso privilegiado para evitar abusos? Parcialmente	Si8.2 Derechos de acceso privilegiado: ¿gestiona y supervisa su organización los derechos de acceso privilegiado para evitar abusos? Si
8.3 Restricción de acceso a la información: ¿Están implementados mecanismos efectivos para restringir el acceso a la información sensible y asegurar que solo el personal autorizado puede acceder?	No lo se8.3 Restricción de acceso a la información: ¿Están implementados mecanismos efectivos para restringir el acceso a la información sensible y asegurar que solo el personal autorizado puede acceder? No lo se	No8.3 Restricción de acceso a la información: ¿Están implementados mecanismos efectivos para restringir el acceso a la información sensible y asegurar que solo el personal autorizado puede acceder? No	Parcialmente8.3 Restricción de acceso a la información: ¿Están implementados mecanismos efectivos para restringir el acceso a la información sensible y asegurar que solo el personal autorizado puede acceder? Parcialmente	Si8.3 Restricción de acceso a la información: ¿Están implementados mecanismos efectivos para restringir el acceso a la información sensible y asegurar que solo el personal autorizado puede acceder? Si
8.4 Acceso al código fuente: ¿Se controla y se restringe adecuadamente el acceso al código fuente de las aplicaciones de la organización?	No lo se8.4 Acceso al código fuente: ¿Se controla y se restringe adecuadamente el acceso al código fuente de las aplicaciones de la organización? No lo se	No8.4 Acceso al código fuente: ¿Se controla y se restringe adecuadamente el acceso al código fuente de las aplicaciones de la organización? No	Parcialmente8.4 Acceso al código fuente: ¿Se controla y se restringe adecuadamente el acceso al código fuente de las aplicaciones de la organización? Parcialmente	Si8.4 Acceso al código fuente: ¿Se controla y se restringe adecuadamente el acceso al código fuente de las aplicaciones de la organización? Si
8.5 Autenticación segura: ¿Utiliza su organización métodos de autenticación seguros para verificar la identidad de los usuarios antes de conceder acceso a los sistemas de información?	No lo se8.5 Autenticación segura: ¿Utiliza su organización métodos de autenticación seguros para verificar la identidad de los usuarios antes de conceder acceso a los sistemas de información? No lo se	No8.5 Autenticación segura: ¿Utiliza su organización métodos de autenticación seguros para verificar la identidad de los usuarios antes de conceder acceso a los sistemas de información? No	Parcialmente8.5 Autenticación segura: ¿Utiliza su organización métodos de autenticación seguros para verificar la identidad de los usuarios antes de conceder acceso a los sistemas de información? Parcialmente	Si8.5 Autenticación segura: ¿Utiliza su organización métodos de autenticación seguros para verificar la identidad de los usuarios antes de conceder acceso a los sistemas de información? Si
8.6 Gestión de la capacidad: ¿Monitorea y gestiona su organización la capacidad de los recursos de TI para asegurar la continuidad y eficiencia del servicio?	No lo se8.6 Gestión de la capacidad: ¿Monitorea y gestiona su organización la capacidad de los recursos de TI para asegurar la continuidad y eficiencia del servicio? No lo se	No8.6 Gestión de la capacidad: ¿Monitorea y gestiona su organización la capacidad de los recursos de TI para asegurar la continuidad y eficiencia del servicio? No	Parcialmente8.6 Gestión de la capacidad: ¿Monitorea y gestiona su organización la capacidad de los recursos de TI para asegurar la continuidad y eficiencia del servicio? Parcialmente	Si8.6 Gestión de la capacidad: ¿Monitorea y gestiona su organización la capacidad de los recursos de TI para asegurar la continuidad y eficiencia del servicio? Si
8.7 Protección contra malware: ¿Tiene su organización implementadas soluciones actualizadas de protección contra malware en todos los sistemas susceptibles?	No lo se8.7 Protección contra malware: ¿Tiene su organización implementadas soluciones actualizadas de protección contra malware en todos los sistemas susceptibles? No lo se	No8.7 Protección contra malware: ¿Tiene su organización implementadas soluciones actualizadas de protección contra malware en todos los sistemas susceptibles? No	Parcialmente8.7 Protección contra malware: ¿Tiene su organización implementadas soluciones actualizadas de protección contra malware en todos los sistemas susceptibles? Parcialmente	Si8.7 Protección contra malware: ¿Tiene su organización implementadas soluciones actualizadas de protección contra malware en todos los sistemas susceptibles? Si
8.8 Gestión de vulnerabilidades técnicas: ¿identifica y gestiona su organización las vulnerabilidades técnicas en sus sistemas de información?	No lo se8.8 Gestión de vulnerabilidades técnicas: ¿identifica y gestiona su organización las vulnerabilidades técnicas en sus sistemas de información? No lo se	No8.8 Gestión de vulnerabilidades técnicas: ¿identifica y gestiona su organización las vulnerabilidades técnicas en sus sistemas de información? No	Parcialmente8.8 Gestión de vulnerabilidades técnicas: ¿identifica y gestiona su organización las vulnerabilidades técnicas en sus sistemas de información? Parcialmente	Si8.8 Gestión de vulnerabilidades técnicas: ¿identifica y gestiona su organización las vulnerabilidades técnicas en sus sistemas de información? Si
8.9 Gestión de la configuración: ¿Dispone su organización de un proceso de gestión de la configuración para mantener la integridad de los sistemas de información a lo largo del tiempo?	No lo se8.9 Gestión de la configuración: ¿Dispone su organización de un proceso de gestión de la configuración para mantener la integridad de los sistemas de información a lo largo del tiempo? No lo se	No8.9 Gestión de la configuración: ¿Dispone su organización de un proceso de gestión de la configuración para mantener la integridad de los sistemas de información a lo largo del tiempo? No	Parcialmente8.9 Gestión de la configuración: ¿Dispone su organización de un proceso de gestión de la configuración para mantener la integridad de los sistemas de información a lo largo del tiempo? Parcialmente	Si8.9 Gestión de la configuración: ¿Dispone su organización de un proceso de gestión de la configuración para mantener la integridad de los sistemas de información a lo largo del tiempo? Si
8.10 Eliminación de información: ¿Existen procedimientos establecidos para la eliminación segura de la información que ya no se necesita?	No lo se8.10 Eliminación de información: ¿Existen procedimientos establecidos para la eliminación segura de la información que ya no se necesita? No lo se	No8.10 Eliminación de información: ¿Existen procedimientos establecidos para la eliminación segura de la información que ya no se necesita? No	Parcialmente8.10 Eliminación de información: ¿Existen procedimientos establecidos para la eliminación segura de la información que ya no se necesita? Parcialmente	Si8.10 Eliminación de información: ¿Existen procedimientos establecidos para la eliminación segura de la información que ya no se necesita? Si
8.11 Enmascaramiento de datos: ¿Se utilizan técnicas de enmascaramiento de datos cuando se muestra información sensible a usuarios no autorizados?	No lo se8.11 Enmascaramiento de datos: ¿Se utilizan técnicas de enmascaramiento de datos cuando se muestra información sensible a usuarios no autorizados? No lo se	No8.11 Enmascaramiento de datos: ¿Se utilizan técnicas de enmascaramiento de datos cuando se muestra información sensible a usuarios no autorizados? No	Parcialmente8.11 Enmascaramiento de datos: ¿Se utilizan técnicas de enmascaramiento de datos cuando se muestra información sensible a usuarios no autorizados? Parcialmente	Si8.11 Enmascaramiento de datos: ¿Se utilizan técnicas de enmascaramiento de datos cuando se muestra información sensible a usuarios no autorizados? Si
8.12 Prevención de fuga de datos: ¿Emplea su organización herramientas y políticas para prevenir la fuga de datos confidenciales?	No lo se8.12 Prevención de fuga de datos: ¿Emplea su organización herramientas y políticas para prevenir la fuga de datos confidenciales? No lo se	No8.12 Prevención de fuga de datos: ¿Emplea su organización herramientas y políticas para prevenir la fuga de datos confidenciales? No	Parcialmente8.12 Prevención de fuga de datos: ¿Emplea su organización herramientas y políticas para prevenir la fuga de datos confidenciales? Parcialmente	Si8.12 Prevención de fuga de datos: ¿Emplea su organización herramientas y políticas para prevenir la fuga de datos confidenciales? Si
8.13 Respaldo de información: ¿Se realizan y prueban regularmente copias de seguridad para asegurar la recuperación de la información en caso de pérdida?	No lo se8.13 Respaldo de información: ¿Se realizan y prueban regularmente copias de seguridad para asegurar la recuperación de la información en caso de pérdida? No lo se	No8.13 Respaldo de información: ¿Se realizan y prueban regularmente copias de seguridad para asegurar la recuperación de la información en caso de pérdida? No	Parcialmente8.13 Respaldo de información: ¿Se realizan y prueban regularmente copias de seguridad para asegurar la recuperación de la información en caso de pérdida? Parcialmente	Si8.13 Respaldo de información: ¿Se realizan y prueban regularmente copias de seguridad para asegurar la recuperación de la información en caso de pérdida? Si
8.14 Redundancia de instalaciones de procesamiento de información: ¿Cuenta su organización con redundancia en las instalaciones críticas para el procesamiento de la información?	No lo se8.14 Redundancia de instalaciones de procesamiento de información: ¿Cuenta su organización con redundancia en las instalaciones críticas para el procesamiento de la información? No lo se	No8.14 Redundancia de instalaciones de procesamiento de información: ¿Cuenta su organización con redundancia en las instalaciones críticas para el procesamiento de la información? No	Parcialmente8.14 Redundancia de instalaciones de procesamiento de información: ¿Cuenta su organización con redundancia en las instalaciones críticas para el procesamiento de la información? Parcialmente	Si8.14 Redundancia de instalaciones de procesamiento de información: ¿Cuenta su organización con redundancia en las instalaciones críticas para el procesamiento de la información? Si
8.15 Registro (Logging): ¿Se registran y monitorean las acciones clave en los sistemas de información para detectar y responder a actividades sospechosas?	No lo se8.15 Registro (Logging): ¿Se registran y monitorean las acciones clave en los sistemas de información para detectar y responder a actividades sospechosas? No lo se	No8.15 Registro (Logging): ¿Se registran y monitorean las acciones clave en los sistemas de información para detectar y responder a actividades sospechosas? No	Parcialmente8.15 Registro (Logging): ¿Se registran y monitorean las acciones clave en los sistemas de información para detectar y responder a actividades sospechosas? Parcialmente	Si8.15 Registro (Logging): ¿Se registran y monitorean las acciones clave en los sistemas de información para detectar y responder a actividades sospechosas? Si
8.16 Actividades de monitoreo: ¿se monitorean las actividades en los sistemas y redes para asegurar la detección temprana de incidentes de seguridad?	No lo se8.16 Actividades de monitoreo: ¿se monitorean las actividades en los sistemas y redes para asegurar la detección temprana de incidentes de seguridad? No lo se	No8.16 Actividades de monitoreo: ¿se monitorean las actividades en los sistemas y redes para asegurar la detección temprana de incidentes de seguridad? No	Parcialmente8.16 Actividades de monitoreo: ¿se monitorean las actividades en los sistemas y redes para asegurar la detección temprana de incidentes de seguridad? Parcialmente	Si8.16 Actividades de monitoreo: ¿se monitorean las actividades en los sistemas y redes para asegurar la detección temprana de incidentes de seguridad? Si
8.17 Sincronización de relojes: ¿Se sincronizan los relojes de los sistemas de información de su organización para garantizar registros consistentes para el análisis forense?	No lo se8.17 Sincronización de relojes: ¿Se sincronizan los relojes de los sistemas de información de su organización para garantizar registros consistentes para el análisis forense? No lo se	No8.17 Sincronización de relojes: ¿Se sincronizan los relojes de los sistemas de información de su organización para garantizar registros consistentes para el análisis forense? No	Parcialmente8.17 Sincronización de relojes: ¿Se sincronizan los relojes de los sistemas de información de su organización para garantizar registros consistentes para el análisis forense? Parcialmente	Si8.17 Sincronización de relojes: ¿Se sincronizan los relojes de los sistemas de información de su organización para garantizar registros consistentes para el análisis forense? Si
8.18 Uso de programas de utilidad privilegiados: ¿controla su organización el uso de programas de utilidad con privilegios para evitar su mal uso?	No lo se8.18 Uso de programas de utilidad privilegiados: ¿controla su organización el uso de programas de utilidad con privilegios para evitar su mal uso? No lo se	No8.18 Uso de programas de utilidad privilegiados: ¿controla su organización el uso de programas de utilidad con privilegios para evitar su mal uso? No	Parcialmente8.18 Uso de programas de utilidad privilegiados: ¿controla su organización el uso de programas de utilidad con privilegios para evitar su mal uso? Parcialmente	Si8.18 Uso de programas de utilidad privilegiados: ¿controla su organización el uso de programas de utilidad con privilegios para evitar su mal uso? Si
8.19 Instalación de software en sistemas operativos: ¿Existen controles para la instalación de software en sistemas operativos para prevenir la instalación de software malicioso o no autorizado?	No lo se8.19 Instalación de software en sistemas operativos: ¿Existen controles para la instalación de software en sistemas operativos para prevenir la instalación de software malicioso o no autorizado? No lo se	No8.19 Instalación de software en sistemas operativos: ¿Existen controles para la instalación de software en sistemas operativos para prevenir la instalación de software malicioso o no autorizado? No	Parcialmente8.19 Instalación de software en sistemas operativos: ¿Existen controles para la instalación de software en sistemas operativos para prevenir la instalación de software malicioso o no autorizado? Parcialmente	Si8.19 Instalación de software en sistemas operativos: ¿Existen controles para la instalación de software en sistemas operativos para prevenir la instalación de software malicioso o no autorizado? Si
8.20 Seguridad de redes: ¿Están protegidas las redes de su organización contra accesos no autorizados y otras amenazas de seguridad?	No lo se8.20 Seguridad de redes: ¿Están protegidas las redes de su organización contra accesos no autorizados y otras amenazas de seguridad? No lo se	No8.20 Seguridad de redes: ¿Están protegidas las redes de su organización contra accesos no autorizados y otras amenazas de seguridad? No	Parcialmente8.20 Seguridad de redes: ¿Están protegidas las redes de su organización contra accesos no autorizados y otras amenazas de seguridad? Parcialmente	Si8.20 Seguridad de redes: ¿Están protegidas las redes de su organización contra accesos no autorizados y otras amenazas de seguridad? Si
8.21 Seguridad de servicios de red: ¿se asegura la seguridad de los servicios de red que su organización ofrece o utiliza?	No lo se8.21 Seguridad de servicios de red: ¿se asegura la seguridad de los servicios de red que su organización ofrece o utiliza? No lo se	No8.21 Seguridad de servicios de red: ¿se asegura la seguridad de los servicios de red que su organización ofrece o utiliza? No	Parcialmente8.21 Seguridad de servicios de red: ¿se asegura la seguridad de los servicios de red que su organización ofrece o utiliza? Parcialmente	Si8.21 Seguridad de servicios de red: ¿se asegura la seguridad de los servicios de red que su organización ofrece o utiliza? Si
8.22 Segregación de redes: ¿Se segregan las redes críticas para evitar el acceso no autorizado y para reducir el alcance de posibles incidentes de seguridad?	No lo se8.22 Segregación de redes: ¿Se segregan las redes críticas para evitar el acceso no autorizado y para reducir el alcance de posibles incidentes de seguridad? No lo se	No8.22 Segregación de redes: ¿Se segregan las redes críticas para evitar el acceso no autorizado y para reducir el alcance de posibles incidentes de seguridad? No	Parcialmente8.22 Segregación de redes: ¿Se segregan las redes críticas para evitar el acceso no autorizado y para reducir el alcance de posibles incidentes de seguridad? Parcialmente	Si8.22 Segregación de redes: ¿Se segregan las redes críticas para evitar el acceso no autorizado y para reducir el alcance de posibles incidentes de seguridad? Si
8.23 Filtrado web: ¿Utiliza su organización filtrado web para controlar el acceso a contenido potencialmente malicioso o no deseado?	No lo se8.23 Filtrado web: ¿Utiliza su organización filtrado web para controlar el acceso a contenido potencialmente malicioso o no deseado? No lo se	No8.23 Filtrado web: ¿Utiliza su organización filtrado web para controlar el acceso a contenido potencialmente malicioso o no deseado? No	Parcialmente8.23 Filtrado web: ¿Utiliza su organización filtrado web para controlar el acceso a contenido potencialmente malicioso o no deseado? Parcialmente	Si8.23 Filtrado web: ¿Utiliza su organización filtrado web para controlar el acceso a contenido potencialmente malicioso o no deseado? Si
8.24 Uso de criptografía: ¿Implementa su organización criptografía para proteger la confidencialidad, integridad y autenticidad de la información?	No lo se8.24 Uso de criptografía: ¿Implementa su organización criptografía para proteger la confidencialidad, integridad y autenticidad de la información? No lo se	No8.24 Uso de criptografía: ¿Implementa su organización criptografía para proteger la confidencialidad, integridad y autenticidad de la información? No	Parcialmente8.24 Uso de criptografía: ¿Implementa su organización criptografía para proteger la confidencialidad, integridad y autenticidad de la información? Parcialmente	Si8.24 Uso de criptografía: ¿Implementa su organización criptografía para proteger la confidencialidad, integridad y autenticidad de la información? Si
8.25 Ciclo de vida de desarrollo seguro: ¿Se sigue un ciclo de vida de desarrollo seguro que incluye consideraciones de seguridad en cada etapa del desarrollo de sistemas de información?	No lo se8.25 Ciclo de vida de desarrollo seguro: ¿Se sigue un ciclo de vida de desarrollo seguro que incluye consideraciones de seguridad en cada etapa del desarrollo de sistemas de información? No lo se	No8.25 Ciclo de vida de desarrollo seguro: ¿Se sigue un ciclo de vida de desarrollo seguro que incluye consideraciones de seguridad en cada etapa del desarrollo de sistemas de información? No	Parcialmente8.25 Ciclo de vida de desarrollo seguro: ¿Se sigue un ciclo de vida de desarrollo seguro que incluye consideraciones de seguridad en cada etapa del desarrollo de sistemas de información? Parcialmente	Si8.25 Ciclo de vida de desarrollo seguro: ¿Se sigue un ciclo de vida de desarrollo seguro que incluye consideraciones de seguridad en cada etapa del desarrollo de sistemas de información? Si
8.26 Requisitos de seguridad de aplicaciones: ¿se identifican y gestionan los requisitos de seguridad en el desarrollo y adquisición de aplicaciones de su organización?	No lo se8.26 Requisitos de seguridad de aplicaciones: ¿se identifican y gestionan los requisitos de seguridad en el desarrollo y adquisición de aplicaciones de su organización? No lo se	No8.26 Requisitos de seguridad de aplicaciones: ¿se identifican y gestionan los requisitos de seguridad en el desarrollo y adquisición de aplicaciones de su organización? No	Parcialmente8.26 Requisitos de seguridad de aplicaciones: ¿se identifican y gestionan los requisitos de seguridad en el desarrollo y adquisición de aplicaciones de su organización? Parcialmente	Si8.26 Requisitos de seguridad de aplicaciones: ¿se identifican y gestionan los requisitos de seguridad en el desarrollo y adquisición de aplicaciones de su organización? Si
8.27 Arquitectura de sistemas segura y principios de ingeniería: ¿Se aplican principios de arquitectura y de ingeniería segura en el diseño e implementación de los sistemas de información?	No lo se8.27 Arquitectura de sistemas segura y principios de ingeniería: ¿Se aplican principios de arquitectura y de ingeniería segura en el diseño e implementación de los sistemas de información? No lo se	No8.27 Arquitectura de sistemas segura y principios de ingeniería: ¿Se aplican principios de arquitectura y de ingeniería segura en el diseño e implementación de los sistemas de información? No	Parcialmente8.27 Arquitectura de sistemas segura y principios de ingeniería: ¿Se aplican principios de arquitectura y de ingeniería segura en el diseño e implementación de los sistemas de información? Parcialmente	Si8.27 Arquitectura de sistemas segura y principios de ingeniería: ¿Se aplican principios de arquitectura y de ingeniería segura en el diseño e implementación de los sistemas de información? Si
8.28 Codificación segura: ¿Adopta su organización prácticas de codificación segura para prevenir vulnerabilidades en el software?	No lo se8.28 Codificación segura: ¿Adopta su organización prácticas de codificación segura para prevenir vulnerabilidades en el software? No lo se	No8.28 Codificación segura: ¿Adopta su organización prácticas de codificación segura para prevenir vulnerabilidades en el software? No	Parcialmente8.28 Codificación segura: ¿Adopta su organización prácticas de codificación segura para prevenir vulnerabilidades en el software? Parcialmente	Si8.28 Codificación segura: ¿Adopta su organización prácticas de codificación segura para prevenir vulnerabilidades en el software? Si
8.29 Pruebas de seguridad en desarrollo y aceptación: ¿Incluye su organización pruebas de seguridad en las fases de desarrollo y aceptación para identificar y remediar fallos de seguridad?	No lo se8.29 Pruebas de seguridad en desarrollo y aceptación: ¿Incluye su organización pruebas de seguridad en las fases de desarrollo y aceptación para identificar y remediar fallos de seguridad? No lo se	No8.29 Pruebas de seguridad en desarrollo y aceptación: ¿Incluye su organización pruebas de seguridad en las fases de desarrollo y aceptación para identificar y remediar fallos de seguridad? No	Parcialmente8.29 Pruebas de seguridad en desarrollo y aceptación: ¿Incluye su organización pruebas de seguridad en las fases de desarrollo y aceptación para identificar y remediar fallos de seguridad? Parcialmente	Si8.29 Pruebas de seguridad en desarrollo y aceptación: ¿Incluye su organización pruebas de seguridad en las fases de desarrollo y aceptación para identificar y remediar fallos de seguridad? Si
8.30 Desarrollo subcontratado: ¿Gestiona su organización la seguridad de los desarrollos de software subcontratados para asegurar que cumplen con sus estándares de seguridad?	No lo se8.30 Desarrollo subcontratado: ¿Gestiona su organización la seguridad de los desarrollos de software subcontratados para asegurar que cumplen con sus estándares de seguridad? No lo se	No8.30 Desarrollo subcontratado: ¿Gestiona su organización la seguridad de los desarrollos de software subcontratados para asegurar que cumplen con sus estándares de seguridad? No	Parcialmente8.30 Desarrollo subcontratado: ¿Gestiona su organización la seguridad de los desarrollos de software subcontratados para asegurar que cumplen con sus estándares de seguridad? Parcialmente	Si8.30 Desarrollo subcontratado: ¿Gestiona su organización la seguridad de los desarrollos de software subcontratados para asegurar que cumplen con sus estándares de seguridad? Si
8.31 Separación de entornos de desarrollo, prueba y producción: ¿Se separan claramente los entornos de desarrollo, prueba y producción para evitar impactos adversos en la producción?	No lo se8.31 Separación de entornos de desarrollo, prueba y producción: ¿Se separan claramente los entornos de desarrollo, prueba y producción para evitar impactos adversos en la producción? No lo se	No8.31 Separación de entornos de desarrollo, prueba y producción: ¿Se separan claramente los entornos de desarrollo, prueba y producción para evitar impactos adversos en la producción? No	Parcialmente8.31 Separación de entornos de desarrollo, prueba y producción: ¿Se separan claramente los entornos de desarrollo, prueba y producción para evitar impactos adversos en la producción? Parcialmente	Si8.31 Separación de entornos de desarrollo, prueba y producción: ¿Se separan claramente los entornos de desarrollo, prueba y producción para evitar impactos adversos en la producción? Si
8.32 Gestión de cambios: ¿Cuenta su organización con un proceso formal de gestión de cambios para controlar modificaciones en los sistemas de información?	No lo se8.32 Gestión de cambios: ¿Cuenta su organización con un proceso formal de gestión de cambios para controlar modificaciones en los sistemas de información? No lo se	No8.32 Gestión de cambios: ¿Cuenta su organización con un proceso formal de gestión de cambios para controlar modificaciones en los sistemas de información? No	Parcialmente8.32 Gestión de cambios: ¿Cuenta su organización con un proceso formal de gestión de cambios para controlar modificaciones en los sistemas de información? Parcialmente	Si8.32 Gestión de cambios: ¿Cuenta su organización con un proceso formal de gestión de cambios para controlar modificaciones en los sistemas de información? Si
8.33 Información de prueba: ¿Asegura su organización que la información de prueba es representativa pero no expone datos reales sensibles?	No lo se8.33 Información de prueba: ¿Asegura su organización que la información de prueba es representativa pero no expone datos reales sensibles? No lo se	No8.33 Información de prueba: ¿Asegura su organización que la información de prueba es representativa pero no expone datos reales sensibles? No	Parcialmente8.33 Información de prueba: ¿Asegura su organización que la información de prueba es representativa pero no expone datos reales sensibles? Parcialmente	Si8.33 Información de prueba: ¿Asegura su organización que la información de prueba es representativa pero no expone datos reales sensibles? Si
8.34 Protección de sistemas de información durante auditorías de prueba: ¿Se protegen los sistemas de información durante las pruebas de auditoría para prevenir impactos en la operatividad?	No lo se8.34 Protección de sistemas de información durante auditorías de prueba: ¿Se protegen los sistemas de información durante las pruebas de auditoría para prevenir impactos en la operatividad? No lo se	No8.34 Protección de sistemas de información durante auditorías de prueba: ¿Se protegen los sistemas de información durante las pruebas de auditoría para prevenir impactos en la operatividad? No	Parcialmente8.34 Protección de sistemas de información durante auditorías de prueba: ¿Se protegen los sistemas de información durante las pruebas de auditoría para prevenir impactos en la operatividad? Parcialmente	Si8.34 Protección de sistemas de información durante auditorías de prueba: ¿Se protegen los sistemas de información durante las pruebas de auditoría para prevenir impactos en la operatividad? Si