BG Beter Geregeld ICT
Compliance · 2 min leestijd · 19 octubre 2025

Lista de verificación pre-auditoría ISO 27001: 2 semanas antes del Stage 2

El Stage 2 es dentro de dos semanas. Esta lista de 22 puntos repasa todo lo que los auditores suelen pedir — si falta algún punto, corrígelo ahora.

Dos semanas antes del Stage 2. Ya no es momento de construir cosas nuevas — sí de verificar que todo está en orden. Repasa estos 22 puntos.

Documentación

  1. Política de seguridad en versión actualizada, propietario asignado y fecha de revisión anual programada.
  2. Statement of Applicability al día (todos los controles del Anexo A: implementado / N/A + justificación).
  3. Todas las 8-12 políticas en el número de versión correcto, con registro de cambios visible.
  4. Fecha de revisión del registro de riesgos dentro del último trimestre.
  5. Inventario de activos actualizado (incluido el inventario de SaaS).

Evidencia operativa

  1. Última revisión de accesos realizada, con informe en PDF que incluya decisiones y firmas.
  2. Inventario de accesos privilegiados actualizado, con última revisión en los últimos 3 meses.
  3. Las últimas 2 bajas de empleados completamente documentadas.
  4. Proceso de incorporación de al menos 1 nueva contratación reciente completo.
  5. Prueba de copia de seguridad realizada, con evidencia de restauración.
  6. Registro de incidentes del último trimestre (también debe constar si «no ocurrió nada»).

Gobernanza

  1. Última revisión de dirección dentro de los últimos 12 meses, con actas disponibles.
  2. Auditoría interna completada, informe disponible y hallazgos cerrados o incluidos en un plan de acción.
  3. Registro de formaciones: todos han completado la formación de concienciación en seguridad este año.
  4. Documento de roles y responsabilidades (rol de CISO cubierto, aunque sea el propio director).

Técnica

  1. MFA aplicado en sistemas críticos (administración de M365, contabilidad, infraestructura cloud).
  2. Política de contraseñas aplicada (como mínimo longitud mínima y bloqueo de contraseñas comunes).
  3. Parches: actualizaciones de SO/navegador del último trimestre en > 95% de los dispositivos.
  4. Antimalware en todos los endpoints.
  5. Cifrado de disco activado en todos los portátiles corporativos.

Contratos

  1. Acuerdos de encargado de tratamiento con los proveedores principales (véase el registro de tratamiento).
  2. Cláusulas de confidencialidad y seguridad en los contratos laborales.

Todo marcado → estás listo para el Stage 2.

Onderwerpen

#checklist #audit #iso-27001

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 para pymes sin gastar €50k en consultores

ISO 27001 es perfectamente alcanzable si entiendes su estructura. Aquí encontrarás el trabajo mínimo que necesita una pyme de 30 personas para superar una auditoría Stage 2, cuánto cuesta y dónde los consultores sí aportan valor.

2 min
Compliance

Costes de ISO 27001: del primer análisis de brechas al certificado

Presupuesto realista para una pyme de 30 personas. Horas internas, auditoría externa, consultoría (la mínima imprescindible) y mantenimiento anual. Sin humo.

2 min
Compliance

¿ISO 27001 o SOC 2? ¿Cuál encaja con tu pyme neerlandesa?

ISO 27001 está orientado al mercado europeo; SOC 2, al americano. ¿Cuál exigen tus clientes? ¿Y pueden combinarse? Aquí tienes las diferencias prácticas para una pyme.

2 min
Compliance

NEN 7510 para empresas del sector salud: un paso más allá del ISO 27001

¿Trabajas en el sector salud o con él? NEN 7510 es una realidad junto a (o en lugar de) ISO 27001. La superposición es amplia; las diferencias están en los datos de pacientes y controles específicos del Anexo.

2 min
Compliance

La revisión por la dirección: ¿qué debe incluir y quién participa?

Uno de los requisitos de la sección 9 de ISO 27001. Anual, con la dirección, 2 horas. Aquí tienes la agenda que acepta un auditor y que además te sirve como ejercicio de preparación.

2 min
Compliance

El ciclo PDCA explicado para directivos

Plan-Do-Check-Act suena burocrático. En la práctica es: escribe lo que haces, hazlo, comprueba si funciona, ajústalo. Aquí la explicación más breve y útil.

2 min
← Alle artikelen in "Compliance"