ISO 27001 Chequeo de Cumplimiento PDF

ISO 27001 Compliance Checklist
Referencia
Checklist
Estandar
Area de Auditora, objectivo y pregunta

Seccin
Pregunta de Auditora
Resultado
Observaciones
Estado (%)
Poltica de Seguridad
1.1
5.1
1.1.1
Polticas de Seguridad de Informacin
5.1.1
1.1.2
5.1.2
Documento de la Poltica de Seguridad

de Informacin
Revisin de la Poltica de Seguridad
Existe una Poltica de Seguridad de la Informacin,

que es aprobada por la direccin, publicada y
comunicada segn proceda, a todos los empleados?
Establecen las polticas un compromiso de las
Gerencias con relacin al mtodo de la organizacin
para la gestin de la seguridad de la informacin?
Las polticas de seguridad son revisadas a intervalos
regulares, o cuando hay cambios significativos para
asegurar la adecuacin y efectividad?
Las polticas de Seguridad de la Informacin tiene un
propietario, que ha aprobado la responsabilidad de la
gestin para el desarrollo, revisin y evaluacin de la
poltica de seguridad?
Administrador de Seguridad,
CISO (Chief Information
Security Officer) o CSO
(Chief Security Officer).
Existen procedimientos de revisin de las polticas de Revisin Anual o cada vez

seguridad y estos incluyen requerimientos para el
que haya cambios
manejo de su revisin?
importantes
Los resultados del revisin de la gestin son tenidos en
cuenta?
Se obtiene la aprobacin de la alta gerencia con relaci
a las polticas revisadas?
Organization de la Seguridad de Informacin

2.1
6.1
2.11
2.1.2
6.11
Gestin de Compromiso con la

Seguridad de Informacin
6.1.2
Coordinacin de la Seguridad de
Informacin
Vinod Kumar
vinodjis@hotmail.com
Si la gerencia demuestra soporte activo a las medidas

de seguridad dentro de la organizacin. Esto puede ser
realizado por direcciones claras, compromiso
demostrado, asignaciones explcitas y conocimiento de
las responsabilidades de la seguridad de informacin.
Si las actividades de seguridad de informacin son
coordinadas por representantes de distintas partes de
la organizacin, con sus roles pertinentes y
responsabilidades.
Page 1
8/7/2012
2.1.3
6.1.3
2.1.4
6.1.4
2.1.5
6.1.5
2.1.6
6.1.6
2.1.7
6.1.7
2.1.8
6.1.8
2.2
6.2
2.2.1
6.2.1
2.2.2
6.2.2
Vinod Kumar
Estn establecidas las responsabilidades de proteccin

de activos individuales y llevar a cabo procesos de
seguridad especficos que estn claramente
identificados y definidos?
Si el proceso de gestin de autorizacin est definido e
Proceso de autorizacion de instalaciones implementado para cada nuevo equipo de
procesamiento de informacin dentro de la
de Procesamiento de Informacin
organizacin.
Si la organizacin necesita de confidencialidad o
Hacer firmar acuerdos de
Acuerdos de no Divulgacin para proteccin de
confidencialidad a los
informacin que estn claramente definidos y
empleados.
revisados peridicamente.
Acuerdos de Confidencialidad
Tiene esta direccin la exigencia de proteger la
informacin confidencial utilizando trminos legales
exigibles?
Existe algn procedimiento que describa cuando y
quienes deben contactar a las autoridades
Contacto con las Autoridades
competentes, departamento de bomberos, etc y cmo
deben reportarse los incidentes?
Participacin en
Existen los contactos apropiados con grupos especiales colectividades o asociaciones
Contacto con Grupos de Intereses
de inters, foros de seguridad o asociaciones
de seguridad para estar
Especiales
profesionales relacionadas con la seguridad?
actualizado
Tiene la organizacin un enfoque sobre la gestin de la
seguridad de informacin, su implementacin, revisin
Revisin Independiente sobre la
independiente a intervalos regulares o cuando ocurran
cambios significativos?
Partes Externas
Los riesgos inherentes a equipos o sistemas de
Identificacin de los riesgos relacionados informacin de terceros son identificados y luego
implementadas medidas de control apropiadas antes
con partes externas
de permitir el acceso?
Son identificados todos los requerimientos de
Abordar la seguridad al tratar con los
seguridad sean cumplidos antes de conceder acceso a
clientes
los clientes a los activos de la organizacin?
Asignacin de Responsabilidades de
Page 2
8/7/2012
2.2.3
6.2.3
Abordar la seguridad en acuerdos con

terceros
Los acuerdos con terceros incluyen accesos,

procesamiento, comunicaciones, manejo de la
informacin o equipos que involucren almacenamiento
de informacin que cumplan con todos los
requerimientos de seguridad?
Administracin de Activos
3.1
Responsibilidad por Activos
7.1
3.1.1
7.1.1
Inventario de Activos
3.1.2
7.1.2
Propiedad de Activos
3.1.3
7.1.3
Uso aceptable de Activos
3.2
Son los activos debidamente identificados e

Hardware, Software e
inventariados o se mantiene un registro de los activos Informacin (PO2.3 Cobit)
importantes?
Los activos tienen identificados a sus respectivos
propietarios y definidas con ellos clasificaciones de
datos y restricciones de acceso en base a la criticidad, y
estas restricciones revisadas periodicamente?
Son identificadas, documentadas e implementadas
todas las regulaciones existentes con respecto al uso
aceptable de informacin y activos asociados con el
procesamiento de informacin?
LOPD o similares.
Clasificacin de la Informacin
7.2
3.2.1
7.2.1
Directrices de Clasificacin
3.2.2
7.2.2
Etiquetado y manejo de informacin
La informacin es clasificada en terminos de su valor,

requerimientos legales, sensibilidad y criticidad para la
organizacin?
Son definidos conjuntos de procedimientos para
etiquetado y manejo de la informacin en
concordancia con el esquema de clasificacin atoptado
por la organizacin?
Seguridad de Recursos Humanos

4.1
Previo al Empleo
8.1
4.1.1
8.1.1
Roles y Responsabilidades
Estn claramente definidos y documentados de

acuerdo a las polticas de seguridad de informacin de
la organizacin los roles y responsabilidades de los
empleados, contratistas y terceros?
Son los roles y responsabilidades definidos
previamente, comunicados claramente a los candidatos
a empleo durante el proceso de pre empleo?
Vinod Kumar
Page 3
8/7/2012
4.1.2
8.1.2
4.1.3
4.2
8.1.3
Proyeccin
Trminos y condiciones de empleo
4.2.1
8.2.1
Administracin de Responsabilidades
4.2.2
8.2.2
Sensibilizacin, educacin y formacin

sobre la Seguridad de la Informacin
4.2.3
8.2.3
Proceso Disciplinario
La gestin requiere a los empleados, contratistas y

terceros a que apliquen la seguridad en concordancia
con las Polticas y Procedimientos establecidos en la
Organizacin?
Los empleados, contratistas y terceros reciben la
apropiada sensibilizacin, educacin y formacin
permanente sobre la Seguridad de Informacin con
respecto a sus funciones laborales especficas?
Existe un proceso disciplinario para aquellos
empleados que incumplen las polticas de seguridad?
Terminacin o Cambio de Empleo
8.3
4.3.1
8.3.1
4.3.2
8.3.2
4.3.3
Incluye la verificacin referencias sobre el carcter,

confirmacin de titulos acadmicos, cualidades
profesionales y chequeos independientes de identidad?
Son firmados con los empleados, contratistas y
Art. 65 inciso "k" del Cdigo
terceros, contratos de confidencialidad y acuerdos de
Laboral. Artculos 147 y 149
no divulgacin como parte inicial de los trminos y
del Cdigo Penal - Paraguay.
condiciones de contratos de trabajo?
Estos acuerdos y contratos cubren las
responsabilidades de seguridad de informacin de la
organizacin, los empleados, contratistas y terceros?
Durante el Empleo
8.2
4.3
Los controles de verificacin de antecedentes para

todos los candidatos a empleo, contratistas y terceros,
son llevados a cabo de acuerdo a las regulaciones
relevantes?
8.3.3
Vinod Kumar
Las responsabilidades de procedimiento de

terminacin o cambio de empleo estn claramente
definidas y asignadas?
Existe un procedimiento a seguir con respecto a
asegurar que los empleados, contratistas y terceros
Retorno de activos
devuelvan los activos de la organizacin que estn en
su poder al terminar el contrato de empleo?
Son removidos los derechos de acceso de todos los
empleados, contratistas y terceros a los sistemas de
Remocin de Derechos de Acceso Lgico
informacin al termino de empleo o adecuacin en
caso de que cambien de funcin?
Responsabilidades de Terminacin
Page 4
Eliminar todos los usuarios al

salir un empleado o cuando
cambia de puesto.
8/7/2012
222+A59
5.1
Areas Seguras
9.1
5.1.1
9.1.1
5.1.2
9.1.2
5.1.3
9.1.3
5.1.4
9.1.4
Existen mecanismos de control de acceso

implementados con respecto al acceso a los sitios de
procesamiento de informacin? Algunos ejemplos son
Permetro de Seguridad Fsica
controles biomtricos, tarjetas de acceso, separacin
por muros, control de visitantes, etc.
Existen controles de acceso de tal modo a que solo las
personas autorizadas puedan ingresar a las distintas
Controles Fsicos de Entrada
areas de la organizacin?
Las salas de servidores u otros equipos de
procesamiento (routers, switches, etc.), estn
Aseguramiento de Oficinas, Salas de
apropiadamente resguardadas bajo llave o en cabinas
Servidores e Instalaciones
con llave?
Se tienen implementadas protecciones o resguardos
contra fuego, inundaciones, temblores, explosiones,
manifestaciones y otras formas de desastres naturales o
Proteccin contra Amenazas Exteriores y
provocadas por el hombre?
Ambientales/Climticas
5.1.5
9.1.5
Trabajando en Areas Seguras
5.1.6
9.1.6
Zonas de Acceso Pblico, Entrega y

Descarga
5.2
Verificar locales de posibles

Existe alguna amenaza potencial en los locales vecinos problemas en las cercanas en
del lugar donde se encuentran las instalaciones?
caso de conflictos.
Se tienen procedimientos designados e implementados
sobre como trabajar en las areas seguras?
Con respecto a las zonas de acceso pblico, entrega,
descarga donde personas no autorizadas pueden
acceder, las zonas de procesamiento de informacin y
equipos delicados son aislados y asegurados para
prevenir el acceso no autorizado?
Equipamiento de Seguridad
9.2
5.2.1
9.2.1
Equipamiento y Proteccin del Sitio
5.2.2
9.2.2
Utilidades Soportadas
Vinod Kumar
Los equipos son protegidos para reducir los riesgos de

daos ambientales y oportunidades de acceso no
autorizado?
Los equipos son protegidos contra fallas elctricas y
otras fallas que pudieran tener (redundancia)?
Que mecanismos de proteccin elctrica son
utilizados? Alimentacin multiple, UPS, generador de
backup, etc?
Page 5
8/7/2012
5.2.3
9.2.3
Cableado de Seguridad
5.2.4
9.2.4
Mantenimiento de Equipos
5.2.5
9.2.5
Aseguramiento de Equipos fuera de las

Oficinas
5.2.6
9.2.6
Disposiciones de Seguridad de
Reutilizacin de Equipos
5.2.7
9.2.7
Autorizaciones de Sacar Equipos
Los cables de suministro elctrico y comunicaciones

son debidamente protegidos contra intercepcin y/o
daos?
Existen controles adicionales de seguridad con
respecto al transporte de informacin crtica? Por ej.
Encriptado en las comunicaciones.
Se realiza mantenimiento peridico de los equipos de
modo a asegurar la continua disponibilidad e
integridad?
En la realizacin de mantenimientos, son respetados
los intervalos y recomendaciones de los fabricantes?
Los mantenimientos son realizados unicamente por
personal capacitado y autorizado?
Los logs de alertas de los equipos, son revisados
periodicamente para detectar y corregir posibles fallas
en los mismos? (principalmente fallas en discos)
Se aplican los controles adecuados cuando se envan
los equipos fuera de la organizacin?
Todos los equipos estn cubiertos por plizas de
seguro y los requerimientos de la Compaa de
Seguros estn apropiadamente realizados?
Existen mecanismos de control y mitigacin de riesgos
implementados con relacin a equipos utilizados fuera
de la organizacin? (encripcin de discos de las
notebooks, seguro, etc.)
En caso de utilizacin de equipos fuera de la
organizacin, estos cuentan con la autorizacin
respectiva de las gerencias?
Cuando se disponga la reutilizacin de equipos o
cuando sean dados de baja, son verificados los medios
de almacenamiento con respecto a datos y software
licenciado y luego destruidos totalmente antes de su
entrega?
Existen controles implementados con respecto a que
ningn equipo, informacin y software sea sacado de
la organizacin sin la autorizacin respectiva?
No deben contener
informacin confidencial.
Utilizar encripcin de los

datos de las notebooks
(Truecrypt es gratuito y muy
bueno)
Gestin de Comunicaciones y Operaciones

6.1
10.1
Vinod Kumar
Procedimientos y Responsabilidades Operativas
Page 6
8/7/2012
6.1.1
10.1.1
6.1.2
10.1.2
6.1.3
10.1.3
6.1.4
10.1.4
6.2
6.3
10.2
6.2.1
10.2.1
6.2.2
10.2.2
6.2.3
10.2.3
10.3
Vinod Kumar
Los procedimientos operativos son documentados,

actualizados y estn disponibles para todos los
Documentacin de Procedimientos
usuarios que puedan necesitarlos?
Dichos procedimientos son tratados como documentos
Operativos
formales y cualquier cambio en los mismos necesita la
autorizacin pertinente?
Son controlados todos los cambios en los sistemas y
Manejo de Cambios
equipos de procesamiento de informacin?
Son separadas las tareas y responsabilidades de modo
a reducir las oportunidades de modificacin o mal uso
Segregacin de Tareas
de los sistemas de informacin?
Los equipos de desarrollo y pruebas estn separados
de los equipos operacionales? Por ejemplo desarrollo
Separacin de desarrollo, test e
de software debe estar en un equipo separado del de
instalaciones operativas
produccin. Cuando sea necesario, incluso deben estar
en segmentos de red distintos unos del otro.
Manejo de Entrega de Servicios Tercerizados
Existen medidas que son tomadas para asegurar que
los controles de seguridad, niveles de servicio y
entrega sean incluidos y verificados en los contratos de
Entrega de Servicios
servicios con terceros, as como su revisin peridica
de cumplimiento?
Son los servicios, reportes y registros provedos por
teceros regularmente monitoreados y revisados?
Monitoreo y revisin de servicios
Existen controles de auditora que son realizados a
tercerizados
intervalos regulares sobre los servicios, reportes y
registros suministrados por terceros?
Se gestionan los cambios en la provisin de servicios,
incluyendo mantenimiento y la mejora en las polticas
Manejo de Cambios de servicios
de seguridad de informacin existentes,
tercerizados
procedimientos y controles?
Se tienen en cuenta sistemas de negocio crticos,
procesos involucrados y re-evaluacin de riesgos?
Planeamiento y Aceptacin de Sistemas
Page 7
Separar ambientes y ponerlos

en VLANes distintas que no
se vean entre s. Los datos de
desarrollo deben ser ilegibles.
8/7/2012
6.3.1
10.3.1
6.3.2
10.3.2
6.4
10.4
6.4.1
10.4.1
6.4.2
10.4.2
6.5
6.6
Copias de Respaldo
10.5
6.5.1
La capacidad de procesamiento de los sistemas son

monitoreados en base a la demanda y proyectados en
base a requerimientos futuros, de modo a asegurar que
la capacidad de proceso y almacenamiento estn
Gestin de la Capacidad
disponibles?
Ejemplo: Monitoreo de espacio en disco, Memoria
RAM, CPU en los servidores crticos.
Son establecidos criterios de aceptacin para nuevos
sistemas de informacin, actualizaciones y nuevas
Aceptacin de Sistemas
versiones?
Son realizadas pruebas antes de la aceptacin de los
mismos?
Proteccin contra cdigo malicioso y mvil
Existen controles para deteccin, prevencin y
recuperado contra cdigo malicioso y son
Controles contra cdigo malicioso
desarrollados e implementados procedimientos
apropiados de advertencia a los usuarios?
En caso de necesitarse cdigo mvil, este solo debe
utilizarse una vez que haya sido autorizado.
Las configuraciones del cdigo mvil autorizado
deben realizarse y operarse de acuerdo a las Polticas
de Seguridad.La ejecucin del cdigo mvil no
autorizado, debe prevenirse.
Controles contra cdigo movil
(Cdigo Mvil es cdigo de software que se transfiere
de una computadora a otra y que se ejecuta
automticamente. Realiza una funcin especfica con
muy poca o casi ninguna intervencin del usuario. El
cdigo mvil est asociado a un gran nmero de
servicios de middleware)
10.5.1
10.6
Vinod Kumar
Respaldo de la Informacin
Se realizan copias de respaldo de la informacin y

software y son testeados regularmente en
conconrdancia con las polticas de backup?
Toda la informacin y el software esencial puede ser
recuperado en caso de ocurrencia de un desastre o fallo Ver donde se va a recuperar
de medios?
el backup en caso de desastre.
Administracin de la Seguridad de la
Red
Page 8
8/7/2012
6.6.1
10.6.1
6.6.2
6.7
10.6.2
Controles de Red
Seguridad en los Servicios de Red
6.7.1
10.7.1
Manejo de medios removibles
6.7.2
10.7.2
Disposicin de los medios
6.7.3
10.7.3
Procedimientos de manejo de la
informacin
6.7.4
10.7.4
10.8
6.8.1
Existen controles implementados para asegurar el

transito de la informacin en la red y evitar que esta
sea leda o accesada de forma no autorizada?
Las caractersticas de seguridad, niveles de servicio y
requerimientos de administracin de todos los
servicios de red son identificados e incluidos en
cualquier acuerdo de servicio de red?
La capacidad del proveedor de servicios de red de
proporcionar los servicios de forma segura, es
determinada y regularmente monitoreada y se tienen
derechos de auditora acordada para medir niveles de
servicio?
Manejo de Medios
10.7
6.8
La red es adecuadamente administrada y controlada

para protegerse de tretas y en orden a mantener la
seguridad de los sistemas y aplicaciones en uso a
traves de la red, incluyendo la informacin en transito?
10.8.1
Vinod Kumar
Seguridad en la Documentacin de los

Sistemas
Intercambio de Informacin
Polticas y Procedimientos de
intercambio de informacin
Existen procedimientos para el manejo de medios

removibles como cintas, diskettes, tarjetas de memoria,
lectores de CD, pendrives, etc.?
Los procedimientos y niveles de autorizacin estn
claramente definidos y documentados?
En caso de que los medios ya no sean requeridos, estos
son eliminados de forma segura bajo procedimientos
formalmente establecidos?
Existen procedimientos para el manejo del
almacenamiento de la informacin?
Aborda este procedimiento temas como: proteccin de
la informacin contra acceso no autorizado o mal uso?
La documentacin de los sistemas est protegida
contra acceso no autorizado?
Existe una poltica formal, procedimientos y/o
controles aplicados para asegurar la proteccin a la
informacin?
Estos procedimientos y controles cubren el uso de
equipos de comunicacin electrnica en el intercambio
de informacin?
Page 9
8/7/2012
6.8.2
10.8.2
Acuerdos de Intercambio
6.8.3
10.8.3
Medios fsicos en transito
6.8.4
10.8.4
Mensajera Electrnica
6.8.5
10.8.5
Sistema de informacin empresarial
6.9
6.10
Servicios de Comercio Electrnico
10.9
6.9.1
Existen acuerdos de intercambio de informacin y

software entre la organizacin y partes externas?
El contenido de los acuerdos con respecto a la
seguridad refleja la sensibilidad y criticidad de la
informacin de negocio envuelta en el proceso?
Los medios fsicos que contengan informacin es
protegida contra acceso no autorizado, mal uso o
corrupcin de datos durante el transporte entre las
organizaciones?
La informacin que se enva por mensajera electrnica Correos importantes que van
es bien protegida?
afuera deben ser encriptados
(Mensajera Electrnica incluye pero no es restringida GPG, y lo dems por VPNs.
solamente a email, intercambio electrnico de datos,
mensajera instantanea, etc.)
Las polticas y procedimientos son desarrolladas y
tendientes a fortalecer la proteccin de informacin
asociada con la interconexin de sistemas de negocio?
10.9.1
Comercio Electrnico
6.9.2
10.9.2
Transacciones On-line
6.9.3
10.9.3
Informacin disponible pblicamente
10.10
Vinod Kumar
La informacin envuelta en el comercio electrnico

cruza a travs de redes publicas y est protegida contra
actividades fraudulenteas, posibles disputas
contractuales o cualquier acceso no autorizado que
permita lectura o manipulacin de esos datos?
En los controles de seguridad son tenidos en cuenta la
aplicacin de controles criptogrficos?
El comercio electrnico entre los socios comerciales
incluyen un acuerdo, que compromete a ambas partes
a la negociacin de los trminos convenidos, incluidos
los detalles de las cuestiones de seguridad?
La informacin envuelta en transacciones en lnea est
protegida contra transmisiones incompletas, mal ruteo,
alteracin de mensajera, divulgacin no autorizada,
duplicacin no autorizada o replicacin?
La integridad de la informacin disponible
publicamente est protegida contra modificacin no
autorizada?
No permitir conexiones a
travs de redes pblicas sin
encripcin.
Procesadores de POS,
Homebanking, etc.
Proteccin de datos de la
pgina web.
Monitoreo
Page 10
8/7/2012
6.10.1
10.10.1
6.10.2
10.10.2
6.10.3
10.10.3
6.10.4
10.10.4
6.10.5
10.10.5
6.10.6
10.10.6
Registros de Auditora
Los registros de auditora que guardan la actividad de

los usuarios, excepciones, eventos de seguridad de
informacin que ocurren, se guardan por un periodo
razonable de tiempo de tal modo a poder realizar
investigaciones futuras y monitoreo de acceso?
Se tienen en consideracin medidas de proteccin a la

privacidad en el mantenimiento de registros de
auditora?
Son desarrollados procedimientos de monitoreo de
equipos de procesamiento de datos?
El resultado de la actividad de monitoreo es revisada
regularmente de forma peridica?
Uso de Sistemas de Monitoreo
Los niveles de monitoreo requeridos por los equipos
de procesamiento de informacin son determinados
por un anlisis de riesgos?
Los equipos que contienen los registros y logs de
Proteccin de los Logs
auditora son bien protegidos contra posibles
manipulaciones y acceso no autorizado?
Las actividades de los Administradores y Operadores
Log de actividades de Administradores y
de sistemas son registradas en los logs?
Operadores
Son revisados regularmente los logs?
Las fallas son registradas en logs, y luego analizadas y
acciones apropiadas realizadas en consecuencia?
Registro de Fallas
Sincronizacin de relojes
Los niveles de registros en logs requeridos para cada

sistema individual son determinados en base a anlisis
de riesgos y la degradacin de performance es tenida
en cuenta?
Los relojes de todos los sistemas de informacin estn
sincronizados en base a una misma fuente de tiempo
exacta acordada?
(La correcta sincronizacin de los relojes es importante
para asegurar la cronologa de eventos en los logs)
Access Control
7.1
Requerimientos del Negocio para Control de Acceso

Las polticas de control de acceso son desarrolladas y
revisadas basadas en los requerimientos de seguridad
del negocio?
11.1
7.1.1
11.1.1
Vinod Kumar
Poltica de Control de Acceso
Page 11
8/7/2012
7.1.1
11.1.1
Poltica de Control de Acceso
Los controles de acceso tanto fsico como lgico son

tenidos en cuenta en las polticas de control de acceso?
Tanto a los usuarios como a los proveedores de
servicios se les dio una clara declaracin de los
requisitos de la empresa en cuanto a control de acceso?
7.2
Administracin de Accesos de Usuarios
11.2
7.2.1
11.2.1
Registracin de Usuarios
7.2.2
11.2.2
Gestin de Privilegios
7.2.3
11.2.3
Administracin de Contraseas de
Usuarios
Revisin de Roles de Usuarios

7.2.4
7.3
11.2.4
11.3
11.3.1
Uso de Password
7.3.2
11.3.2
Equipos desatendidos de Usuarios
11.3.3
Vinod Kumar
La asignacin y uso de privilegios en los sistemas de

informacin, es restringida y controlada en base a las
necesidades de uso y dichos privilegios son solo
otorgados bajo un esquema formal de autorizacin?
La asignacin y reasignacin de contraseas debe
controlarse a travs de un proceso de gestin formal.
Se les solicita a los usuarios que firmen un acuerdo de
confidencialidad del password?
Existe un proceso de revisin de privilegios y derechos
de acceso a intervalos regulares. Por ejemplo:
Privilegios especiales cada 3 meses, privilegios
normales cada 6 meses?
Responsabilidades de Usuarios
7.3.1
7.3.3
Existe algn procedimiento formal de altas/bajas de

usuarios para acceder a los sistemas?
Poltica de Escritorio Limpio y Pantalla

Limpia
Existe alguna prctica de seguridad en el sitio para

guiar a la seleccin y mantenimiento de contraseas
seguras?
Los usuarios y terceros son concientes de los requisitos
de seguridad y procedimientos para proteger los
equipos desatendidos?
Por ejemplo: Salir del sistema cuando las sesiones son
terminadas o configurar terminacin automtica de
sesiones por tiempo de inactividad, etc.
La organizacin ha adoptado una poltica de escritorio
limpio con relacin a los papeles y dispositivos de
almacenamiento removibles?
Page 12
8/7/2012
7.3.3
7.4
11.3.3
La organizacin ha adoptado una poltica de pantalla

limpia con relacin a los equipos de procesamiento de
informacin?
Control de Acceso a la Red
11.4
7.4.1
Poltica de Escritorio Limpio y Pantalla

Limpia
11.4.1
7.4.2
11.4.2
7.4.3
11.4.3
7.4.4
11.4.4
7.4.5
11.4.5
7.4.6
11.4.6
7.4.7
11.4.7
7.5
11.5
7.5.1
11.5.1
Vinod Kumar
Se le provee a los usuarios acceso unicamente a los

servicios de red a los cuales han sido autorizados
Polticas sobre Servicios de Red
especficamente?
Existen polticas de seguridad relacionadas con la red y
los servicios de red?
Son utilizados mecanismos apropiados de
Autenticaciones de Usuarios para
autenticacin para controlar el acceso remoto de los
conexiones externas
usuarios?
Son considerados equipos de identificacin automtica
Identificacin de equipamientos en la red para autenticar conexiones desde equips y direcciones
especficas?
Los accesos fsicos y lgicos a puertos de diagnstico
Diagnstico Remoto y configuracin de
estn apropiadamente controlados y protegidos por
proteccin de puertos
mecanismos de seguridad?
Los grupos de servicios de informacin, usuarios y
sistemas de informacin son segregados en la red?
La red (desde donde asociados de negocios o terceros
necesitan acceder a los sistemas de informacin) es
segregada utilizando mecanismos de seguridad
Segregacin en la Red
perimetral como firewalls?
En la segregacin de la red son hechas las
consideraciones para separar las redes wireles en
internas y privadas?
Existe una poltica de control de acceso que verifique
conexiones provenientes de redes compartidas,
Control de Conexiones de Red
especialmente aquellas que se extienden mas all de
los lmites de la organizacin?
Existen polticas de control de acceso que establezcan
los controles que deben ser realizados a los ruteos
implementados en la red?
Control de Ruteo de Red
Los controles de ruteo, estn basados en mecanismos
de identificacin positiva de origen y destino?
Controles de Acceso a Sistemas Operativos
Los accesos a sistemas operativos son controlados por
Procedimientos de log-on seguro
procedimientos de log-on seguro?
Page 13
8/7/2012
7.5.2
11.5.2
Identificacin y Autenticacin de
Usuarios
7.5.3
11.5.3
Gestin de Contraseas
7.5.4
11.5.4
7.5.5
11.5.5
7.5.6
11.5.6
7.6
11.6
7.6.1
11.6.1
7.6.2
11.6.2
Vinod Kumar
Un nico identificador de usuario (user ID) es

provedo a cada usuario incluyendo operadores,
administradores de sistemas y otros tcnicos?
Se eligen adecuadas tcnicas de autenticacin para
demostrar la identidad declarada de los usuarios?
El uso de cuentas de usuario genricas son
suministradas slo en circunstancias especiales
excepcionales, donde se especifcan los beneficios
claros de su utilizacin. Controles adicionales pueden
ser necesarios para mantener la seguridad.
Existe un sistema de gestin de contraseas que obliga
al uso de controles como contrasea individual para
auditora, periodicidad de caducidad, complejidad
mnima, almacenamiento encriptado, no despliegue de
contraseas por pantalla, etc.?
En caso de existir programas utilitarios capaces de

saltarse los controles de aplicaciones de los sistemas,
estos estn restringidos y bien controlados?
Las aplicaciones son cerradas luego de un periodo
determinado de inactividad?
(Un tiempo determinado de inactividad puede ser
Expiracin de Sesiones
determinado por algunos sistemas, que limpian la
pantalla para prevenir acceso no autorizado, pero no
cierra la aplicacin o las sesiones de red)
Existen restricciones limitando el tiempo de conexin
de aplicaciones de alto riesgo? Este tipo de
configuraciones debe ser considerada para aplicaciones
Limitacin de tiempo de conexin
sensitivas cuyas terminales de acceso se encuentran en
lugares de riesgo.
Control de Acceso a las Aplicaciones y a la Informacin
El acceso a la informacin y los sistemas de
aplicaciones por parte los usuarios y personal de
Restriccin de Acceso a la Informacin
soporte, est restringido en concordancia con las
polticas de control de acceso definidas?
Aquellos sistemas considerados sensibles, estn en
ambientes aislados, en computadoras dedicadas para
Aislamiento de Sistemas Sensibles
el efecto, con recursos compartidos con aplicaciones
seguras y confiables, etc?
Utilidades de Uso de Sistemas
Page 14
8/7/2012
7.7
Computacin Mvil y Teletrabajo
11.7
7.7.1
11.7.1
7.7.2
11.7.2
Existe una poltica formal y medidas apropiadas de

Encripcin de discos en las
seguridad adoptadas para protegerse contra riesgo de notebooks
utilizacin de computacin mvil y equipos de
comunicacin?
Algunos ejemplos de computacin mvil y equipos de
Computacin Mvil y Comunicaciones
telecomunicacin incluyen: notebooks, palmtops,
laptops, smart cards, celulares.
Son tenidos en cuenta los riesgos tales como trabajar en
ambientes no protegidos en cuanto a las polticas de
computacin mvil?
Se desarrollan e implementan polticas, planes
operativos y procedimientos con respecto a tareas de
teletrabajo?
Teletrabajo
Las actividades de teletrabajo, son autorizadas y
controladas por las gerencias y existen mecanismos
adecuados de control para esta forma de trabajo?
Desarrollo, Adquisicin y Mantenimiento de Sistemas de Informacin

8.1
Requerimientos de Seguridad de los Sistemas de Informacin

Los requerimientos de seguridad para nuevos sistemas
de informacin y fortalecimiento de los sistemas
existentes, especifican los requerimientos para los
controles de seguridad?
12.1
8.1.1
8.2
12.1.1
Anlisis y Especificaciones de
Rquerimientos de Seguridad
Los requerimientos y controles identificados reflejan el

valor econmico de los activos de informacin
envueltos y las consecuencias de un fallo de seguridad?
Los requerimientos para la seguridad de informacin
de los sistemas y prcesos para implementar dicha
seguridad, son integrados en las primeras etapas de los
proyectos de sistemas?
Procesamiento Correcto en Aplicaciones
12.2
Los datos introducidos a los sistemas, son validados

para asegurar que son correctos y apropiados?
8.2.1
12.2.1
Vinod Kumar
Validacin de Datos de Entrada
Page 15
8/7/2012
8.2.1
12.2.1
Validacin de Datos de Entrada
8.2.2
12.2.2
Control de Procesamiento Interno
8.2.3
12.2.3
Integridad de Mensajera
8.2.4
12.2.4
Validacin de Datos de Salida
8.3
Los controles tales como: Diferentes tipos de mensajes

de error para datos mal ingresados, Procedimientos
para responder a los errores de validacin, definicin
de responsabilidades para todo el personal envuelto en
la carga de datos, etc. son considerados?
Son incorporadas validaciones en las aplicaciones para
detectar/prevenir que puedan ser ingresados datos no
vlidos por error o deliberadamente?
Se tiene en cuenta en el diseo y la implementacin de
las aplicaciones que el riesgo de falllas en el
procesamiento que conduzcan a perdida de integridad
de datos sea minimizado?
Los requerimientos para aseguramiento y proteccin
de la integridad de los mensajes en las aplicaciones,
son debidamente identificados e implementados los
controles necesarios?
Si una evaluacin de riesgos de seguridad se llev a
cabo para determinar si es necesaria la integridad del
mensaje, y para determinar el mtodo ms apropiado
de aplicacin.
Los sistemas de aplicaciones de salida de datos, son
validados para asegurar que el procesamiento de
informacin almacenada sea correcta y apropiada a las
circustancias?
Controles Criptogrficos
12.3
La organizacin posee polticas de uso de controlec

criptogrficos para proteccin de la informacin? Estas
polticas son implementadas con xito?
8.3.1
12.3.1
Polticas de Uso de Controles

Criptogrficos
8.3.2
12.3.2
Manejo de Claves
Vinod Kumar
La poltica criptogrfica considera el enfoque de

gestin hacia el uso de controles criptogrficos, los
resultados de la evaluacin de riesgo para identificar
nivel requerido de proteccin, gestin de claves y
mtodos de diversas normas para la aplicacin
efectiva?
La administracin de claves se utiliza efectivamente
para apoyar el uso de tcnicas criptogrficas en la
organizacin?
Page 16
8/7/2012
8.3.2
8.4
12.3.2
Seguridad de los Archivos de Sistemas
12.4
8.4.1
12.4.1
8.4.2
12.4.2
8.4.3
12.4.3
8.5
Manejo de Claves
Las claves criptogrficas estn protegidas

correctamente contra modificacin, prdida y/o
destruccin?
Las claves pblicas y privadas estn protegidas contra
divulgacin no autorizada?
Los equipos utilizados para generar o almacenar
claves, estn fsicamente protegidos?
Los sistemas de administracin de claves, estn
basados en procedimientos estandarizados y seguros?
12.5
8.5.1
12.5.1
8.5.2
12.5.2
8.5.3
12.5.3
Vinod Kumar
Existen procedimientos para controlar la instalacin de

software en los sistemas operativos (Esto es para
Control de Software Operativo
minimizar el riesgo de corrupcin de los sistemas
operativos)
Los sistemas de testeo de datos, estn debidamente
protegidos y controlados?
Proteccin de Datos de Prueba de
La utilizacin de informacin personal o cualquier
Sistemas
informacin sensitiva para propsitos de testeo, est
prohibida?
Existen controles estrictos de modo a restringir el
acceso al cdigo fuente? (esto es para prevenir posibles
Control de Acceso a Cdigo Fuente
cambios no autorizados)
Seguridad en el Desarrollo y Servicios de Soporte
Existen procedimientos de control estricto con respecto
a cambios en los sistemas de informacin? (Esto es
para minimizar la posible corrupcin de los sistemas
Procedimientos de Control de Cambios de informacin)
Estos procedimientos aborda la necesidad de
evaluacin de riesgos, anlisis de los impactos de los
cambios?
Existen procesos a seguir o procedimientos para
revisin y testeo de las aplicaciones crticas de negocio
Revisin Tcnica de Aplicaciones luego y seguridad, luego de cambios en el Sistema
Operativo? Peridicamente, esto es necesario cada vez
de Cambios en el Sistema Operativo
que haya que hacer un parcheo o upgrade del sistema
operativo.
Las modificaciones a los paquetes de software, son
Restricciones en Cambios de Paquetes de desalentadas o limitadas extrictamente a los cambios
Software
mnimos necesarios?
Page 17
8/7/2012

8.5.3
12.5.3
Restricciones en Cambios de Paquetes de

Software
Todos los cambios son estrictamente controlados?
8.5.4
12.5.4
8.5.5
8.6
12.5.5
Desarrollo de Software Tercerizado
Controlar aplicaciones y
disclaimer contractual
Revisin de los contratos
para tener en cuenta los
Service Level Agreements
(Acuerdos de Niveles de
Servicio).
Gestin de Vulnerabilidades Tcnicas
12.6
8.6.1
Fuga de Informacin
Existen controles para prevenir la fuga de informacin?

Controles tales como escaneo de dispositivos de salida,
monitoreo regular del personal y actividades
permitidas en los sistemas bajo regulaciones locales,
monitoreo de recursos, son considerados?
El desarrollo de software tercerizado, es supervisado y
monitoreado por la organizacin?
Puntos como: Adquisicin de licencias, acuerdos de
garanta, requerimientos contractuales de calidad
asegurada, testeo antes de su instalacin definitiva,
revisin de cdigo para prevenir troyanos, son
considerados?
12.6.1
Control de Vulnerabilidades Tcnicas
Se obtiene informacin oportuna en tiempo y forma

sobre las vulnerabilidades tcnicas de los sistemas de
informacin que se utilizan?
La organizacin evala e implementa medidas
apropiadas de mitigacin de riesgos a las
vulnerabilidades a las que est expuesta?
Gestin de Incidentes de Seguridad de Informacin

9.1
13.1
9.1.1
13.1.1
9.1.2
13.1.2
9.2
13.2
9.2.1
13.2.1
Vinod Kumar
Reportando Eventos de Seguridad y Vulnerabilidades

Los eventos de seguridad de informacin, son
reportados a travs de los canales correspondientes lo
Reportando Eventos de Seguridad de la ms rpido posible?
Son desarrollados e implementados procedimientos
Informacin
formales de reporte, respuesta y escalacin en
incidentes de seguridad?
Existen procedimientos que aseguren que todos los
empleados deben reportar cualquier vulnerabilidad en
la seguridad en los servicios o sistemas de informacin?
Gestin de Incidentes de Seguridad de la Informacin y Proceso de Mejoras
Estn claramente establecidos los procedimientos y
responsabilidades de gestin para asegurar una rpida,
efectiva y ordenada respuesta a los incidentes de
seguridad de informacin?
Responsabilidades y Procedimientos
Reportando Vulnerabilidaes de la
Seguridad
Page 18
8/7/2012
9.2.1
13.2.1
Responsabilidades y Procedimientos
9.2.2
13.2.2
Aprendiendo de los Incidentes de

Seguridad de la Informacin
9.2.3
13.2.3
Recoleccin de Evidencia
Es utilizado el monitoreo de sistemas, alertas y

vulnerabilidades para detectar incidentes de
seguridad?
Los objetivos de la gestin de incidentes de seguridad
de informacin, estn acordados con las gerencias?
Existen mecanismos establecidos para identificar y
cuantificar el tipo, volumen y costo de los incidentes
de seguridad?
La informacin obtenida de la evaluacin de incidentes
de seguridad que ocurrieron en el pasado, es utilizada
para determinar el impacto recurrente de incidencia y
corregir errores?
Si las medidas de seguimiento contra una persona u
organizacin despus de un incidente de seguridad de
la informacin implica una accin legal (ya sea civil o
penal)
Las evidencias relacionadas con incidentes, son
recolectadas, retenidas y presentadas conforme las
disposiciones legales vigentes en las jurisdicciones
pertinentes?
Los procedimientos internos son desarrollados y
seguidos al pi de la letra cuando se debe recolectar y
presentar evidencia para propsitos disciplinarios
dentro de la organizacin?
Gestin de la Continuidad del Negocio

10.1
14.1
10.1.1
14.1.1
Vinod Kumar
Aspectos de Seguridad en la Gestin de la Continuidad del Negocio

Existen procesos que direccionan los requerimientos de
seguridad de informacin para el desarrollo y
mantenimiento de la Continuidad del Negocio dentro
de la Organizacin?
Estos procesos, entienden cuales son los riesgos que la
Incluyendo Seguridad en el Proceso de
organizacin enfrenta, identifican los activos crticos,
Gestin de Continuidad del Negocio
los impactos de los incidentes, consideran la
implementacin de controles preventivos adicionales y
la documentacin de los Planes de Continuidad del
Negocio direccionando los requerimientos de
seguridad?
Page 19
8/7/2012
10.1.2
14.1.2
Continuidad del Negocio y Evaluacin

de Riesgos
10.1.3
14.1.3
Desarrollo e Implementacin de Planes

de Continuidad incluyendo Seguridad
de la Informacin
10.1.4
14.1.4
10.1.5
14.1.5
Los eventos que puedan causar interrupcin al

negocio, son identificados sobre la base de
probabilidad, impacto y posibles consecuencias para la
seguridad de informacin?
Son desarrollados planes para mantener y restaurar las
operaciones de negocio, asegurar disponibilidad de
informacin dentro de un nivel aceptable y en el rango
de tiempo requerido siguiente a la interrupcin o falla
de los procesos de negocio?
Considera el Plan, la identificacin y acuerdo de
responsabilidades, identificacin de prdida aceptable,
implementacin de procedimientos de recuperacin y
restauracin, documentacin de procedimientos y
testeo peridico realizado regularmente?
Existe un marco nico del Plan de Continuidad de
Negocios?
Este marco, es mantenido regularmente para

Business continuity planning framework asegurarse que todos los planes son consistentes e
identifican prioridades para testeo y mantenimiento?
El Plan de Continuidad del Negocio direccionan los
requerimientos de seguridad de informacin
identificados?
Los Planes de Continuidad del Negocio, son probados
regularmente para asegurarse de que estn
actualizados y son efectivos?
Los tests de planes de continuidad de negocio,
Prueba, Mantenimiento y Reevaluando aseguran que todos los miembros del equipo de
recuperacin y otros equipos relevantes sean
Planes de Continuidad del Negocio
advertidos del contenido y sus responsabilidades para
la continuidad del negocio y la seguridad de
informacin, son concientes de sus roles y funciones
dentro del plan cuando este se ejecuta?
Cumplimiento
11.1
15.1
Vinod Kumar
Cumplimiento con Requerimientos Legales
Page 20
8/7/2012
11.1.1
15.1.1
Identificacin de Legislacin Aplicable
11.1.2
15.1.2
Derechos de Propiedad Intelectual
11.1.3
15.1.3
Proteccin de los Registros de la

Organizacin
11.1.4
15.1.4
Proteccin de los Datos y privacidad de

los datos personales
Vinod Kumar
Todas las leyes relevantes, regulaciones,

requerimientos contractuales y organizacionales son
tenidos en cuenta de modo a que estn documentados
para cada sistema de informacin en la organizacin?
Los controles especficos y responsabilidades
individuales de modo a cumplir con estos
requerimientos, son debidamente definidos y
documentados?
Existen procedimientos para asegurar el cumplimiento
de los requerimientos legales, regulatorios y
contractuales sobre el uso de materiales y software que
estn protegidos por derechos de propiedad
Musica mp3, imgenes,
intelectual?
libros, software, etc.
Estos procedimientos, estn bien implementados?
Controles tales como: Poltica de Cumplimiento de
Derechos de Propiedad Intelectual, Procedimientos de
Adquisicin de Software, Poltica de concientizacin,
Mantenimiento de Prueba de la Propiedad,
Cumplimiento con Trminos y Condiciones, son
consideradas?
Los registros importantes de la organizacin estn
protegidos contra prdida, destruccin y falsificacin
en concordancia con los requerimientos legales,
regulatorios, contractuales y de negocio?
Estn previstas las consideracines con respecto al
posible deterioro de medios de almacenamiento
utilizados para almacenar registros?
Los sistemas de almacenamiento son elegidos de modo
a que los datos requeridos puedan ser recuperados en
un rango de tiempo aceptable y en el formato
necesario, dependiendo de los requerimientos a ser
cumplidos?
La proteccin de los datos y la privacidad, estn
asegurados por legislaciones relevantes, regulaciones y
si son aplicables, por clusulas contractuales?
Page 21
Backup y Auditora
Unidades de Cintas que ya
no tienen repuestos, Storage
de Discos fallan y ya no hay.
8/7/2012
11.1.5
15.1.5
11.1.6
15.1.6
11.2
15.2
11.2.1
15.2.1
11.2.2
15.2.2
11.3
15.3
11.3.1
15.3.1
Vinod Kumar
El uso de instalaciones de proceso de informacin para

cualquier propsito no autorizado o que no sea del
negocio, sin la aprobacin pertinente, es tratada como
utilizacin impropia de las instalaciones?
Los mensajes de alerta de ingreso, son desplegados
Prevencin del maluso de las
antes de permitir el ingreso a la red o a los sistemas?
instalaciones de procesamiento
El usuario tiene conocimiento de las alertas y reacciona
apropiadamente al mensaje en pantalla?
Es realizado un asesoramiento jurdico, antes de
aplicar cualquier procedimiento de monitoreo y
control?
Los controles criptogrficos son usados en
Regulacin de Controles Criptogrficos cumplimiento de los acuerdos contractuales
establecidos, leyes y regulaciones?
Cumplimiento con las polticas, estndares y regulaciones tcnicas
Los Administradores se aseguran que todos los
procedimientos dentro de su area de responsabilidad,
se llevan a cabo correctamente para lograrl el
cumplimiento de las normas y polticas de seguridad?
Cumplimiento con Polticas de
Los Administradores, revisan regularmente el
Seguridad y Estndares
cumplimiento de las instalaciones de procesamiento de
informacin dentro del area de su responsabilidad de
modo a cumplir con los procedimientos y polticas de
seguridad pertinentes?
Los sistemas de informacin son regularmente
revisados con respecto al cumplimiento de estndares
de seguridad?
Chequeo de Cumplimiento Tcnico
La verificacin tcnica es llevada a cabo por, o bajo la
supervisin de, personal tcnico competente y
autorizado?
Consideraciones de Auditora de Sistemas
Los requerimientos y actividades de auditora,
incluyen verificacin de sistemas de informacin que
fueron previamente planeados cuidadosamente de
Controles de Auditora de los Sistemas
modo a minimizar los riesgos de interrupciones en el
de Informacin
proceso de negocio?
Los requerimientos de auditoria son alcanzables y de
acuerdo con una gestin adecuada?
Page 22
8/7/2012
11.3.2
15.3.2
Vinod Kumar
Proteccin de la informacin contra las

heramientas de auditora
La informacin a la que se accede por medio de las

herramientas de auditora, ya sean software o archivos
de datos, estn protegidos para prevenir el mal uso o
fuga no autorizada?
El ambiente de auditora est separado de los
Servidores de auditora
ambientes operacionales y de desarrollo, a penos que
(ACL, IDEA, etc.) separados
haya un nivel apropiado de proteccin?
de los ambientes de
desarrollo y oltp.
Page 23
8/7/2012
Dominio
Objetivos
Estado (%)
Polticas de Seguridad de Informacin
0%
Organizacin Interna
Partes Externas
0%
0%
Responsabilidad de Activos
Clasificacin de Informacin
0%
0%
Previo al Empleo
Durante al Empleo
Terminacin o Cambio de empleo
0%
0%
0%
Areas Seguras
Equipamiento de Seguridad
0%
0%
Procedimientos y Responsabilidades Operativas

Manejo de Entrega de Servicios Tercerizados
Planeamiento y Aceptacin de Sistemas
Proteccin contra Cdigo Malicioso y Mvil
Copias de Respaldo
Administracin de la Seguridad en la Red
Manejo de Medios
Intercambio de Informacin
Servicios de Comercio Electrnico
Monitoreo
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
Requerimientos del Negocio para Control de Acceso

Administracin de Accesos de Usuarios
Responsabilidades de Usuarios
Control de Acceso a la Red
Control de Acceso a Sistemas Operativos
Control de Acceso a las Aplicaciones y a la Informacin
Computacin Mvil y Teletrabajo
0%
0%
0%
0%
0%
0%
0%
Requerimientos de Seguridad de los Sistemas de Informacin

Procesamiento Correcto en las Aplicaciones
Controles Criptogrficos
Seguridad de los Archivos de Sistemas
Seguridad en el Desarrollo y Servicios de Soporte
Gestin de Vulnerabilidades Tcnicas
0%
0%
0%
0%
0%
0%
Reportando Eventos de Seguridad y Vulnerabilidades

Gestin de Incidentes de Seguridad de la Informacin y Proceso de Mejoras
0%
0%
Aspectos de Seguridad en la Gestin de la Continuidad del Negocio
0%
Cumplimiento
Cumplimiento con Requerimientos Legales

Cumplimiento con las Polticas, Estndares y Regulaciones Tcnicas
Consideraciones de Auditora de Sistemas
0%
0%
0%
Politicas de Seguridad
Organizacin de la Seguridad de Informacin
Manejo de Activos
Seguridad Fsica y Ambiental
Control de Acceso
Desarrollo, Adquisicin y Mantenimiento de Sistemas de Inforacin
Vinod Kumar
Page 24
8/7/2012

Dominio
Estado (%)
Polticas de Seguridad
Manejo de Activos
Control de Acceso
Desarrollo, Adquisicin y Mantenimiento de Sistemas de Inforacin
Cumplimiento
Vinod Kumar
Page 25
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
8/7/2012
Cumplimiento por Dominio

Dominio
0%
0%
Cumplimiento
0%
0%
Desarrollo, Adquisicin y Mantenimiento de

Sistemas de Inforacin
Gestin de Incidentes de Seguridad de
Informacin
0% 0%
Control de Acceso
0%
0%
0% 0%
Manejo de Activos
10%
Polticas de Seguridad
Estado
100%
90%
80%
70%
60%
50%
40%
30%
20%
0%
0%
Chequeo de Cumplimiento
Un formato condicional ha sido provedo sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (%
1 a 25
26 a 75
76 a 100
En el campo "Observaciones" comente la evidencia que usted vi o los comentarios sobre la implementacin
En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arriba
Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular
Cumplimiento por Control

Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada Objetivo de co
"Chequeo de Cumplimiento"
Cumplimiento por Dominio
Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada dominio en ba
de Cumplimiento".
Representacin Grfica
Esto le proporcionar una representacin grfica del estado por dominio, el cual puede ser incorporado a su pre
Vinod Kumar
Page 27
8/7/2012
mplimiento" bajo el campo "Estado (%)" y se menciona abajo:
ntarios sobre la implementacin

mencionada mas arriba
denote que ese control en particular no es aplicable para la organizacin.
o pertinente por cada Objetivo de control en base al estado que se carga en la hoja
o pertinente por cada dominio en base al estado que se carga en la hoja "Chequeo
cual puede ser incorporado a su presentacin a las Gerencias
Vinod Kumar
Page 28
8/7/2012

ISO 27001 Chequeo de Cumplimiento PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO 27001 Chequeo de Cumplimiento PDF

Cargado por

Copyright:

Formatos disponibles

ISO 27001 Compliance Checklist

Area de Auditora, objectivo y pregunta

Polticas de Seguridad de Informacin

Documento de la Poltica de Seguridad

Revisin de la Poltica de Seguridad

Existe una Poltica de Seguridad de la Informacin,

Existen procedimientos de revisin de las polticas de Revisin Anual o cada vez

Organization de la Seguridad de Informacin

Gestin de Compromiso con la

Si la gerencia demuestra soporte activo a las medidas

ISO 27001 Compliance Checklist

Estn establecidas las responsabilidades de proteccin

ISO 27001 Compliance Checklist

Abordar la seguridad en acuerdos con

Los acuerdos con terceros incluyen accesos,

Responsibilidad por Activos

Uso aceptable de Activos

Son los activos debidamente identificados e

Etiquetado y manejo de informacin

La informacin es clasificada en terminos de su valor,

Seguridad de Recursos Humanos

Estn claramente definidos y documentados de

ISO 27001 Compliance Checklist

Trminos y condiciones de empleo

Sensibilizacin, educacin y formacin

La gestin requiere a los empleados, contratistas y

Terminacin o Cambio de Empleo

Incluye la verificacin referencias sobre el carcter,

Los controles de verificacin de antecedentes para

Las responsabilidades de procedimiento de

Eliminar todos los usuarios al

ISO 27001 Compliance Checklist

Existen mecanismos de control de acceso

Trabajando en Areas Seguras

Zonas de Acceso Pblico, Entrega y

Verificar locales de posibles

Equipamiento y Proteccin del Sitio

Los equipos son protegidos para reducir los riesgos de

ISO 27001 Compliance Checklist

Aseguramiento de Equipos fuera de las

Autorizaciones de Sacar Equipos

Los cables de suministro elctrico y comunicaciones

Utilizar encripcin de los

Gestin de Comunicaciones y Operaciones

Procedimientos y Responsabilidades Operativas

ISO 27001 Compliance Checklist

Los procedimientos operativos son documentados,

Separar ambientes y ponerlos

ISO 27001 Compliance Checklist

La capacidad de procesamiento de los sistemas son

Se realizan copias de respaldo de la informacin y

ISO 27001 Compliance Checklist

Seguridad en los Servicios de Red

Manejo de medios removibles

Disposicin de los medios

Existen controles implementados para asegurar el

La red es adecuadamente administrada y controlada

Seguridad en la Documentacin de los

Existen procedimientos para el manejo de medios

ISO 27001 Compliance Checklist

Medios fsicos en transito

Sistema de informacin empresarial

Servicios de Comercio Electrnico