MEJ-F-005 Programa de Trabajo de Auditoria V12 Diciembre de 2009

INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX
PROGRAMA DE TRABAJO DE AUDITORÍA ___________

ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 1 de 12
OBJETO A AUDITAR SISTEMA DE GESTIÓN DE LA FECHA

SEGURIDAD DE LA 22 / 05 / 2017 – 26/ 05 /
INFORMACIÓN 2017
RESPONSABLE DEL OBJETO A AUDITAR Erika Tarazona

Adriana Sanchez
PROCEDIMIENTOS AUDITADOS
- Sistema operativo
- Infraestructura
OBJETIVO
General
● Realizar una auditoría interna del SGSI de la organizacion Informatica & Tecnologia Stefanini,
recopilando datos o información requerida sobre la gestión SGSI, como en el análisis de los controles
y los procedimientos del Sistema de Gestión de Seguridad de la Información se encuentren,
conformes con los requisitos que establece el estándar internacional ISO 27001.
Específicos
● Definir el alcance, objetivos y políticas del SGSI

● Identificar los riesgos sobre los activos definidos en el alcance del SGSI
● Implementar controles sobre los activos, basado en un plan de tratamiento de riesgo.
ALCANCE
El plan de auditoría interna tiene como fin poder lograr la certificación bajo la normativa ISO 27001 de
seguridad de la información principalmente se iniciará bajo la observación del área de SGSI donde se
validaron cada uno de los requisitos dados por el estándar, es elaborado teniendo en cuenta la Política de
Seguridad de información de Informática & Tecnología Stefanini S.A., por consiguiente la finalidad del
alcance, se encuentra sujeto a toda la organización.
PRUEBAS A APLICAR
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 2 de 12
REQUISITO PRUEBA CONFORMIDAD OBSERVACIÓN / COMENTARIO
SI NO
Prueba: X Ver anexo A.5.2.1 de la ISO 27001
5.2.1 ¿La alta dirección realiza revisiones
periódicas al Sistema de Gestión de
Seguridad de la Información?
Control:
llevar a cabo revisiones cuando sea
necesario, y reaccionar
apropiadamente a los resultados de
estas revisiones.
Objetivo:
La organización debe determinar y
suministrar los recursos necesarios
A.11.5.1 Prueba: X Ver anexo A.11.5.1 de la ISO
¿Existen mecanismos de inicio de 27001
sesión seguro, como bloqueo de
contraseña por intentos fallidos,
comunicación cifrada de la
contraseña, etc ?
Control:
El acceso a los sistemas operativos
se debe controlar mediante un
procedimiento de registro de inicio
seguro.
Objetivo:
Evitar el acceso no autorizado a los
sistemas operativos
A.10.5.1 Prueba: X Hallazgo No. 1
¿Existe una política para las copias
de respaldo y seguridad de la Ver anexo A.10.5.1 de la ISO
información? 27001
Control:
Se deben hacer copias de respaldo
de la información y del software, y
se deben poner a prueba con
regularidad de acuerdo con la
política de respaldo acordada.
Objetivo:
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 3 de 12
mantener la integridad y
disponibilidad de la información y de
los servicios de procesamiento de
información.
A.8.2 Prueba: X Hallazgo No. 2
¿Se realiza algún programa de
concienciación, formación o Ver anexo A.8.2.2 de la ISO 27001
capacitación sobre la seguridad de
la información?
Control:
Durante la ejecución del empleo,
indica que: Todos los empleados de
la organización, y en donde sea
pertinente, los contratistas, deben
recibir la educación y la formación
en toma de conciencia apropiada, y
actualizaciones regulares sobre las
políticas y procedimientos de la
organización pertinentes para su
cargo.
Objetivo:
asegurar que todos los empleados,
contratistas y usuarios de terceras
partes estén conscientes de las
amenazas y preocupaciones
respecto a la seguridad de la
información, sus responsabilidades
y sus deberes, y que estén
equipados para apoyar
la política de seguridad de la
organización en el transcurso de su
trabajo normal, al igual que reducir
el riesgo de error humano.
A.10.4.1 Prueba: X Adicionalmente se aplican
Todos los equipos y servidores protecciones en las zonas en
tienen instalados antivirus locales contacto con internet.
(centralizados), con sus
correspondientes firewalls. Ver anexo A.10.4.1 de la ISO
27001
Control:
Se deben implementar controles de
detección, prevención y
recuperación para proteger contra
códigos maliciosos, así como
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 4 de 12
procedimientos apropiados de
concientización de los usuarios.
Objetivo:
proteger la integridad del software y
de la información.
A.7.2.1 Prueba: X Hallazgo No.3
¿Se encuentra correctamente
clasificada la información en cuanto Ver anexo A.7.2.1. de la ISO 27001
a su privacidad y requisitos legales
?.
Control:
información se debe clasificar en
términos de su valor, de los
requisitos legales, de la sensibilidad
y la importancia para la
organización.
Objetivo:
asegurar que la información recibe
el nivel de protección adecuado.
A.8.3.2 Prueba: Ver Anexo A.8.3.2 de la ISO 27001
¿Se Verifica correctamente los
procedimientos adecuados para el
etiquetado y el manejo de la
información?
Control:
Se deben desarrollar e implementar
un conjunto de procedimientos
adecuados para el etiquetado y el
manejo de la información de
acuerdo al esquema de clasificación
adoptado por la organización.
Objetivo:
asegurar que los empleados, los
contratistas y los usuarios de
terceras partes salen de la
organización o
cambian su contrato laboral de
forma ordenada.

¿Se encuentran definidas y
asignadas las funciones y Ver Anexo A.6.1.3 de la ISO 27001
responsabilidades de la
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 5 de 12
información?
Control:
Establecer funciones y
responsabilidades de seguridad de
la información.
Objetivo:
gestionar la seguridad de la
información dentro de la
organización.
A.11.2.2 Prueba: Ver Anexo A.11.2.2 de la ISO

¿Se encuentra restringido y 27001
controlado el uso de privilegios?
Control:
Se debe restringir y controlar la
asignación y uso de privilegios.
Objetivo:
asegurar el acceso de usuarios
autorizados y evitar el acceso de
usuarios no autorizados a los
sistemas de información.
¿Se han establecido los acuerdos
de confidencialidad y se revisan de Ver anexo A.6.1.5. de la ISO 27001
forma periódica?
Control:
Se deben identificar y revisar con
regularidad los requisitos de
confidencialidad o los acuerdos de
no-divulgación que reflejan las
necesidades de la organización para
la protección de la información
Objetivo:
Gestionar la seguridad de la
organización.
A.6.1.7 Prueba: X Ver anexo A.6.1.7 de la ISO 27001

La organización posee contactos
apropiados y relacionados con la
seguridad de la información
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 6 de 12
Control:
Se deben mantener los contactos
apropiados con grupos de interés
especiales, otros foros
especializados en seguridad de la
información, y asociaciones de
profesionales.
Objetivo:
organización.
A10.7.3 Prueba:¿Se encuentran Ver Anexo A.10.7.3 de la ISO

establecidos procedimientos para el 27001
manejo y almacenamiento de la
información?
Control:
Establecer procedimientos para el
manejo y almacenamiento de la
información con el fin de proteger
dicha información contra divulgación
no autorizada o uso inadecuado
Objetivo:
evitar la divulgación, modificación,
retiro o destrucción de activos no
autorizada, y la interrupción en las
actividades del negocio.
A.11.6.1 Prueba: Ver Anexo A.11.6.1 de la ISO
¿Se tiene restringido el acceso a la 27001
información y a las funciones del
sistema?
Control:
Se debe restringir el acceso a la
información y a las funciones del
sistema de aplicación por parte de
los usuarios y del personal de
soporte, de acuerdo con la política
definida de control de acceso.
Objetivo:
evitar el acceso no autorizado a la
información contenida en los
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 7 de 12
sistemas de
información.
A.11.6.1 Prueba Ver Anexo A.11.6.1 de la ISO
¿Esta restringido el acceso a la 27001
información por parte del personal
autorizado?
Control:
Solo el personal autorizado
dispondrá del acceso a la
información y a los sistemas en el
momento que así lo requieran.
Objetivo:
evitar el acceso no autorizado a la
información contenida en los
sistemas de
información.
A.6.1.3 Prueba Ver Anexo A.6.1.3 de la ISO 27001
:¿Se encuentra guardada la
información generada?
Control:
Salvaguardar la precisión y
completitud de la información
generada.
Objetivo:
organización.
A.11.5.4 Prueba: X Ver anexo A.11.5.4 de la ISO

¿Se encuentran limitadas o 27001
bloqueadas las herramientas y
utilidades del sistema operativo que
puedan afectar la información ?
Control:
Se debe restringir y controlar
estrictamente el uso de programas
utilitarios que pueden anular los
controles del sistema y de la
aplicación.
Objetivo:
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 8 de 12
evitar el acceso no autorizado a los

sistemas operativos.
A.6.1.2 Prueba Ver Anexo A.6.1.2 de la ISO 27001
:¿Se ha desarrollado e e
implementado procedimientos para
el etiquetado de la información?
Control:
Se debe desarrollar e implementar
un conjunto adecuado de
procedimientos para el etiquetado
de la información, de acuerdo con el
esquema de clasificación de
información adoptado por la
organización.
Objetivo:
organización.
A.5.1.1 Prueba: Ver Anexo A.5.1.1 de la ISO 27001
¿Se conocen los posibles riesgos
que atenten la seguridad de la
información?
Control:
Conocer, administrar y minimizar los
posibles riesgos que atenten contra
la seguridad de la información de la
organización.
Objetivo:
Brindar apoyo y orientación a la
dirección con respecto a la
seguridad de la información,
de acuerdo con los requisitos del
negocio y los reglamentos y las
leyes pertinentes.
A.10.3.2 Prueba : Ver Anexo A.10.3.2 de la ISO
¿Se han creado tiempos para 27001
generar actualizaciones que no
afecten el sistema?
Control:
Crear tiempos de bajo uso por los
clientes del sistema para generar
actualizaciones sin afectar el uso del
sistema
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 9 de 12
Objetivo:
minimizar el riesgo de fallas de los
sistemas.
A.9.2.1 Prueba: X Tener en cuenta que las
Los equipos y dispositivos de la instalaciones no se encuentran
organización, se encuentran acondicionadas para los problemas
adecuadamente ubicados y ambientales (goteras)
protegidos?
Ver anexo A.9.2.1.de la ISO 27001
Control:
Los equipos deben de estar
ubicados y protegidos para reducir
los riesgos de amenazas y peligros
del entorno, y las posibilidades de
acceso no autorizado.
Objetivo:
evitar pérdida, daño, robo o puesta
en peligro de los activos y la
interrupción
de las actividades de la
organización.
¿La documentación solicitada a los
candidatos sobre sus antecedente
es la original?
Control:
Se deben realizar revisiones para la
verificación de antecedentes de los
candidatos a ser empleados,
contratistas o usuarios de terceras
partes, de acuerdo con los
reglamentos, la ética y las leyes
pertinentes, y deben ser
proporcionales a los requisitos del
negocio, la clasificación de la
información a la cual se va a tener
acceso y los riesgos percibidos
Objetivo:
asegurar que los empleados,
contratistas y usuarios por tercera
parte
entienden sus responsabilidades y
son adecuados para los roles para
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 10 de 12
los que se los

considera, y reducir el riesgo de
robo, fraude o uso inadecuado de
las instalaciones.
A.7.1.3 Prueba: X Hay publicado un código de
¿Existe documentación sobre como conducta y una guía general sobre
dar buen uso de los recursos de el buen uso de los recursos de la
información? información de la organización
Control: Ver anexo A.7.1.3 de la ISO 27001

Se deben identificar, documentar e
implementar reglas para el uso
aceptable de información y de
activos asociados con información e
instalaciones de procesamiento de
información.
Objetivo:
lograr y mantener la protección
adecuada de los activos
organizacionales.
¿Existe un documento descriptivo
de todos los cargos, donde se
describe cuales son sus funciones y
responsabilidades?
Control:
Se deben definir y documentar los
roles y responsabilidades de los
empleados, contratistas y usuarios
de terceras partes por la seguridad,
de acuerdo con la política de
seguridad de la información de la
organización
Objetivo:
asegurar que los empleados,
contratistas y usuarios por tercera
parte entienden sus
responsabilidades y son adecuados
para los roles para los que se los
considera, y reducir el riesgo de
robo, fraude o uso inadecuado de
las instalaciones.
A.11.1.1 Prueba:¿Se tiene monitoreado el Ver Anexo A.11.1.1 de la ISO
ingreso a las instalaciones 27001
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 11 de 12
informática?
Control:
Monitorización de ingresos a las
instalaciones de informática.
Objetivo:
controlar el acceso a la información
A.9.1.1. Prueba: X Ver anexo A.9.1.1 de la ISO 27001
¿Las instalaciones de la
organización están cerradas al
personal ajeno?
Control:
Se deben utilizar perímetros de
seguridad (barreras tales como
paredes, puertas de acceso
controladas con tarjeta o
mostradores de recepción
atendidos) para proteger las áreas
que contienen información y
servicios de procesamiento de
información.
Objetivo:
evitar el acceso físico no autorizado,
el daño e interferencia a las
instalaciones
y a la información de la
organización.
A.5.1.1 Prueba : Ver anexo A.5.1.1 de la ISO 27001
¿ Se han verificado correctamente
las políticas de protección ?
Control:
Verificar que las políticas de
protección estén funcionando
adecuadamente.
Objetivo:
leyes pertinentes.
A.5.1.2 Prueba : Ver anexo A.5.1.2 de la ISO 27001
ACTUALIZACION No XX
AUDITORÍA INTERNA
Página 12 de 12
Se encuentran establecidos
procedimientos para el manejo y
almacenamiento de la información
Control:
Se deben establecer procedimientos
para el manejo y almacenamiento
de la información con el fin de
proteger dicha información contra
divulgación no autorizada o uso
inadecuado.
Objetivo:
leyes pertinentes.
A.5.1.1 Prueba :
¿Se ha aprobado documento de Ver anexo A.5.1.1 de la ISO 27001
politica de seguridad?
Control:
La dirección debe aprobar un
documento de política de seguridad
de la información y lo debe publicar
y comunicar a todos los empleados
y partes externas pertinentes.
Objetivo:
leyes pertinentes.
RESPONSABLES
NOMBRE AUDITOR FIRMA
Elaboró
Aprobó
Auditor Líder

MEJ-F-005 Programa de Trabajo de Auditoria V12 Diciembre de 2009

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MEJ-F-005 Programa de Trabajo de Auditoria V12 Diciembre de 2009

Cargado por

Copyright:

Formatos disponibles

INFORMÁTICA & TECNOLOGÍA STEFANINI XXX-X-XX

PROGRAMA DE TRABAJO DE AUDITORÍA ___________

OBJETO A AUDITAR SISTEMA DE GESTIÓN DE LA FECHA

RESPONSABLE DEL OBJETO A AUDITAR Erika Tarazona

● Definir el alcance, objetivos y políticas del SGSI

REQUISITO PRUEBA CONFORMIDAD OBSERVACIÓN / COMENTARIO

A.6.1.3 Prueba: X Hallazgo No. 4

A.11.2.2 Prueba: Ver Anexo A.11.2.2 de la ISO

A.6.1.7 Prueba: X Ver anexo A.6.1.7 de la ISO 27001

A10.7.3 Prueba:¿Se encuentran Ver Anexo A.10.7.3 de la ISO

A.11.5.4 Prueba: X Ver anexo A.11.5.4 de la ISO

evitar el acceso no autorizado a los

los que se los

Control: Ver anexo A.7.1.3 de la ISO 27001

También podría gustarte