Está en la página 1de 33

Lista de verificación de auditoría

El auditor nombre:___________________________ La fecha de auditoría:___________________________

La información 7799.2 de BS de administración de seguridad: la 2002 lista de chequeo
de auditoría
Referencia La área de auditoría, el objetivo y la pregunta Resultados
Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento
verificación

Política de seguridad
1.1 3.1
Política de seguridad de información
1.1.1 3.1.1 Documento de Si existir una política de seguridad de información,
política de que es aprobado por la dirección, divulgado y
seguridad de comunicar tan apropiado a todos empleados. Si dijo
el compromiso de dirección y puso el enfoque
información organizativo para dirigir la seguridad de información.

1.1.2 3.1.2 Evaluación y Si la política de seguridad tiene un propietario, que es
evaluación responsable de su mantenimiento y evaluación de
acuerdo con un proceso de evaluación definido. Si el
proceso asegura que una evaluación tiene lugar en
respuesta a cualquier cambios afectando la base de la
valoración original, los ejemplo: los incidentes de
seguridad importantes, nuevas vulnerabilidades o los
cambios hacerlo/serlo

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque
de auditoría
Referencia La área de auditoría, el objetivo y la pregunta Resultados
Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento
verificación

Infraestructura organizativa o técnica.

Seguridad organizativa
2.1 4.1
Infraestructura de seguridad de información
2.1.1 4.1.1 Foro de debate Si hay un foro de debate de dirección de asegurar
de seguridad de que hay una orden clara y el soporte de dirección
visible para iniciativas de seguridad dentro de la
información de
organización.
dirección
2.1.2 4.1.2 Si hay un foro de debate cruz - funcional de
Coordinación de representantes de dirección de partes relevantes de
seguridad de la organización coordinar la puesta en práctica de
información controles de seguridad de información.

2.1.3 4.1.3 Si las responsabilidades para la protección de
Reparto de las posesiones individuales y para llevar procesos de
responsabilidades seguridad específicos fueron definidas
de seguridad de evidentemente.
información
2.1.4 4.1.4 Si hay una proceso de autorización de dirección en
Proceso de su lugar para cualquier nueva instalación de
autorización para procesamiento de la información. Esto debe incluir
todas nuevas instalaciones como equipo físico y
el procesamiento software.
de la información

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque
de auditoría
Referencia La área de auditoría, el objetivo y la pregunta Resultados
Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento
verificación
Instalaciones

2.1.5 4.1.5 La especialista Si el especialista consejo de seguridad de
seguridad de información es obtenido where apropiado. Una
información persona individual específica puede ser identificada
para coordinar conocimientos en la empresa y
aconseja experiencias para asegurar la regularidad, y proveer
la ayuda en decisión tomar de seguridad.

2.1.6 4.1.6 Cooperación Si los contactos apropiados con autoridades de
entre ejecución de la ley cuerpos regulador, proveedores
organizaciones de servicio de información y operadores de
comunicación electrónica fueron mantenidos para
asegurar que la acción apropiada puede ser tomados
rápidamente y el consejo prevalecía, en caso de un
incidente de seguridad.
2.1.7 4.1.7 Si la puesta en práctica de la política de seguridad es
Evaluación examinada por separado sobre la base regular. Esto
independiente es para proveer la garantía de que las prácticas
de la seguridad organizativas reflejan la política apropiadamente, y
de información que es viable y eficaz.

2.2 4.2
Seguridad del tercer acceso
2.2.1 4.2.1 Identificación Si los riesgos del tercer acceso son identificado
de los riesgos controles de seguridad y apropiados implementado.
de la tercera Si los clases de accesos son identificados,
clasificados
fiesta

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque
de auditoría
Referencia La área de auditoría, el objetivo y la pregunta Resultados
Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento
verificación
Acceso Y las razones para el acceso son justificadas.
Whether los riesgos para la seguridad con tercero
contratistas el trabajo in situ fue identificado y los
controles apropiados son implementados.

2.2 5.1.1 Existencias de Si un inventario o registro son mantenido actualizado posesiones con las posesiones importantes relacionar con cada uno sistema de información. Si cada posesión identificada tiene un propietario.3.1 Rendición de cuentas de posesiones 3.3 Subcontratar 2.2. El contrato debe abordar cómo los requisitos legales son ser cubierto.2 Si hay un contrato formal que contiene. contratos 2.3. La información 7799. la clasificación de seguridad definida y aceptar y la ubicación identificada.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.1.1 4. y el derecho de la auditoría los asuntos de seguridad física y cómo la disponibilidad de los servicios es ser mantenido en caso del desastre.2 4. o se referir. Requisitos de todos los requisitos de seguridad para asegurar el seguridad en acatamiento con las políticas de seguridad y los tercero padrones de la organización.1 Requisitos de Si los requisitos de seguridad son addressed en el seguridad in contrato con el tercero.3 4. 3. cómo las posesiones de la seguridad de la organización son mantenidas y evaluadas.2.2 Clasificación de información .1 5.1 5. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Clasificación de posesión y control 3. cuando la organización ha subcontratar subcontratado la dirección y el control de todo o algunas de sus sistemas de información. redes y contratos ambientes de / o desktop.

2.2.1.1 6.3 6. 3. . Esto debe incluir de trabajo las responsabilidades generales para implementar o mantener la política de seguridad tanto como las responsabilidades específicas para la protección de posesiones especiales. Si este acuerdo cubre la seguridad de la instalación de procesamiento de la información y las posesiones de la organización.1.1. la confirmación de los requisitos académicos y profesionales alegados y los cheques de identidad independientes.2.1 Seguridad en la definición de trabajo y Resourcing La información 7799.3. 4.2 Si las revisiones de verificación sobre personal permanentees fueron llevadas a la época de Personal revisión solicituds de empleo. which will ayudar a clasificación determinar cómo es ser manejado y protegido la información.1 Incluyendo la Whether los papeles de seguridad y las seguridad en las responsabilidades como colocar la política de responsabilidades seguridad de información de Organisation es documentada where apropiado. Esto debe incluir la referencia y política de calidad.1.2 Si uno apropiado set de procedimientos son definidos Información para información etiquetar y manejo de conformidad etiquetar y con el plan de clasificación asumido por la responder organización.1 5.1.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.2.3 Contratos de Si los empleados son pedidos que firmar el acuerdo confidencialidad de confidencialidad o no divulgación como una parte de sus términos iniciales y condiciones del empleo. 4.1 6.2 5.2 6. o para la extensión de procesos de seguridad especiales o actividades.1 Ya sea que hay un plan de clasificación de Pautas de información o pauta en su lugar.1. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 4. Personal seguridad 4.

software de señalamiento 4.3.4.2.1 6.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.2 6.1 Si todos empleados de la organización y tercero Educación de usuarios (where relevante) reciben el entrenamiento seguridad de de seguridad de información apropiado y las información y actualizaciones de r de regula en políticas entrenamiento organizativas y procedimientos.3. La información 7799. sistemas o servicios. o las amenazas de señalamiento hacerlo/serlo.3. 4.4 Si términos y condiciones del empleo cubren la Términos y responsabilidad para la seguridad de información condiciones del del empleado.3.3 6. para informar sobre la seguridad de debilidad de seguridad de moda. 4. Incidentes de para informar sobre los incidentes de seguridad a seguridad de través de la dirección apropiada canalizar tan señalamiento rápidamente as possible.1 Si un procedimiento de señalamiento formal existe. los volúmenes y gastos de los incidentes y los Learning de funcionamientos defectuosos .3 6. Where apropiado.4 6.3. estas empleo responsabilidades podrían continuar para un punto definido después del final del empleo.2 Usuario entrenamiento 4.2 Si un procedimiento de señalamiento formal o pauta Defectos de existen para usuarios.1.4 Ya sea que hay mecanismos en lugar de permitir los tipos.3 Responder a incidentes de seguridad y a funcionamientos defectuosos 4.3 Funcionamientos Si procedimientos fueron establecidos para informar defectuosos de sobre cualquier funcionamientos defectuosos de software.2 6. 4. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 4.2.4 6.3.3.1.1 6.3.

Tal proceso puede actuar como un factor disuasivo a empleados que pueden ser inclined ignorar los procedimientos de seguridad por lo demás.. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Incidentes Ser cuantificado y monitoreado.1 7. están con llave o tienen armarios bloqueables o cajas fuertes.1 7.5 Proceso Si hay un proceso disciplinario formal en su lugar disciplinario para empleados que han infringido las políticas de seguridad organizativas y los procedimientos. que tienen el servicio de oficinas.3 7.3.1 Lo que la facilidad de seguridad de borde física ha sido implementada a protege el servicio de Perímetro de procesamiento de la información. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación .1.1.La información 7799. 5. habitaciones e instalaciones La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.1. Algunos ejemplos seguridad físico de tal instalación de seguridad son puerta de entrada de control de la tarjeta.3 Asegurar Si las habitaciones. paredes la recepción tripulada etc.2 Lo lo que la entrada controla está en lugar de dejar Controles de ingresar a solamente personal autorizados a áreas entrada físicos varias dentro de la organización. 4.5 6.2 7. 5. Seguridad física y ambiental 5.1.3.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.1.1 Área segura 5..1. procesamiento de la información.

4 7.5 Si la área de entrega y la área de procesamiento de la Entrega aislada información están aisladas de sí para evitar cualquier y áreas de acceso no autorizado.2 7.1 Si el equipo estaba ubicado en el lugar apropiado de Equipo ubicar minimizar el acceso superfluo en áreas de trabajo. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Ya sea que controles fueron asumidos para minimizar el riesgo de las amenazas potenciales como el robo. 5. 5. los explosivos.2. Si existir cualquier control de áreas seguras seguridad para terceros o para personal que trabaja en la área segura.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.5 7.1. el fuego. el agua.4 La información es solamente sobre la necesidad de Trabajar en saber la base.1 7. la vibración los efectos química las interfaces de suministro eléctricas la radiación electromagnética. 5. la protección Si los artículos que requerían la protección especial fueron aislados para reducir el nivel general de la protección requerida. Si el servicio de procesamiento de la información es protegido del desastre natural y hecho por el hombre. .2 Seguridad de equipo 5.2. Si hay cualquier amenaza potencial de instalaciones cercanas. carga Si una valoración de riesgo fue se conducida para determinar la seguridad en tales áreas. el humo. dist. La información 7799. inúndese.1.1.1.

2.2 7. whether el seguro los requisitos son satisfechos. Si el mantenimiento es llevado solamente por personal autorizados.2 Suministros de Ya sea que el equipo es protegido de los cortes de energía electricidad usando permanencia de suministros de energía como las transmisiones múltiples el suministro eléctrico ininterrumpido (aumentar).2. Si el equipo es cubierto por el seguro. Whether apropiados los controles son implementados mientras envían equipo de instalaciones.3 7. beber y fumar on en proximidades a servicios de procesamiento de la información. generador de copia de seguridad etc. La información 7799. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Si los diarios son mantenidos actualizado con todas fallas suspected o verdaderas y todas medidas preventivas y correctivas. Si hay cualquier controles de seguridad adicionales en su lugar para la información confidencial o crítica. Si hay una política hacia comer. Si las condiciones ambientales lo son monitorear cuál afectar las instalaciones de procesamiento de la información adversamente..2.3 Si el poder y el cable de telecomunicaciones que Cablegrafiar a lleva los datos o los servicios de información de seguridad soporte son protegidos de la interceptación o el daño. 5. .2..2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.4 7. 5. 5.2.4 Mantenimiento Si el equipo es mantenido actualizado según los de equipo intervalos del servicio recomendados y las especificaciones del proveedor.2.

La información 7799. - Si la seguridad proporcionó estos equipos mientras fuera las instalaciones están sobre el par con o más de la seguridad proveer las instalaciones dentro.3.2 7. 5. Si las personas individuales son conscientes de estos clases de controles sorpresa o auditorías regulares.1 7.5 7.3 Controles generales 5.2 Whether equipo. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Política Si los empleados son aconsejados dejar cualquier material confidencial en forma de documentos de papel. propiedad Si controles sorpresa o auditorías regulares fueron dirigidos para detectar el retiro no autorizado de propiedad. repetido de equipo 5.3. información o software pueden ser Retiro de tomados exterior sin la autorización apropiada..2.6 Asegure Whether storage device contener la información traspaso o uso confidencial es destruida físicamente o bien escrito desde lo alto. Comunicaciones y dirección de operaciones .. media etc. Esto bloquearía Borrar y la pantalla cuando la computadora es dejada pantalla clara desatentida para un período.2. En una manera bloqueada mientras de asistencia nula.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.3.2.5 Asegurar de Si cualquier uso de equipo fuera de las instalaciones equipo off para el procesamiento de la información de una organización tiene que ser autorizado por la instalaciones de dirección.3.3 7. 5.1 Whether la facilidad automática pantalla de Escritorio de computadora bloquear está activada.6 7.5.2.

..1 8.1..1. la reacción ordenada y rápida para los incidentes de seguridad..1.6. procedimientos el mantenimiento de equipo etc. Si los senderos de auditoría y los troncos que se relacionan con los incidentes son el mantenido movimiento y previsor tomado en una manera que el incidente no se repite. 6.1.3 Whether un procedimiento de dirección de Incident Procedimientos exista para manejar los incidentes de seguridad.1 8.1. de dirección de incidente Ya sea que el procedimiento aborda el incidente las responsabilidades de dirección. operativos Si tales procedimientos son documentados y usados. . el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Control A través del cambio controle la autorización.1 Si la política de seguridad ha identificado cualquier Documentó los procedimientos operativos como copia de seguridad.1.e. Si el procedimiento se dirige a diferentes clases de incidentes se extender negación del servicio a incumplimiento de la confidencialidad etc. Cualquier cambio de ser hecho a esos operaciones programas de producción tiene que se ir La información 7799.2 Si todos programas que funcionan en sistemas de producción están sujetos a control de cambio estricto Cambio de i. 6.3 8...2 8.1 Procedimiento en funcionamiento y responsabilidades 6. Y las maneras de tratar con ellos.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría. Si los diarios de auditoría son mantenidos actualizado para cualquier cambio hecho a los programas de producción.

2. el RAM.1 Planificación de Si las demandas de capacidad son monitoreadas y las capacidad proyecciones de futuros requisitos de capacidad son hechas. .4 8.2 8. funcionamiento 6. Esto es para asegurar que poder de procesamiento suficiente y almacenamiento están disponibles.1.6 Si ninguno de la instalación de procesamiento de la Dirección de información es dirigida por compañía externa o instalaciones contratista (tercera parte). Donde desarrollo necesario y red de en producción deben ser separados de sí. Separación del Por ejemplo el software de desarrollo debe funcionar desarrollo en una computadora diferente a eso de la computadora con la producción La información 7799. 6.1 8. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Y instalaciones Software.5 Si las instalaciones de desarrollo y lo prueba están separadas de las instalaciones en funcionamiento. Ejemplo: el espacio de disco duro de observación. 6.2 Planificación de sistema y aprobación 6. Whether necesaria la aprobación es obtenida de empresa y propietarios de aplicación.6 8. externa Si los riesgos se relacionaron con tal dirección ser identificado con anticipación.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.4 Si servicios y áreas de la responsabilidad son Segregación de separados para reducir las oportunidades para la los servicios modificación no autorizada o los mal uso de la información o servicios.1.5 8. la CPU sobre servidores exigentes. hablado de con el tercero y controles apropiados fueron incluidos en el contrato.1.6.1.1.1.2.

4 Manejo de la casa La información 7799. 6. envie por correo electrónico anexos y en la red. Si la política de seguridad hace los contra del asuntos de concesión de licencia de software de software dirección como prohibir el uso del software no malicioso autorizado.3.2.3. 6.6. Si el software de Antivirus es instalado sobre las computadoras para verificar y aislar o retirar cualquier virus de computadora y entornos. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Aprobación Whether apropriadas pruebas fueron llevadas antes de la aprobación.3 8.3 Protección en contra del software malicioso 6.de confianza hacia dentro a la organización es examinado en busca de virus.2 de BS de administración de seguridad: la 2002 lista de cheque . FTP el tráfico. versiones actualizadas y nuevos versiones. La información 7799. Si todo lo tráfico que nace de la red un.1 8. Ejemplo: buscando virus en el correo electrónico.4 8.2. Si esta firma de software es actualizada sobre una base regular para obstaculizar cualquier más recientes virus. Ya sea que existir cualquier procedimiento para verificar todos boletines de advertencia son exactos e informativos con respecto a el uso de software malicioso.2 8.1 Si existir cualquier control contra el uso de software Control en malicioso.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.2 Si los criterios de aprobación de sistema son Sistema establecidos para nuevas sistemas de información.

el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 6.4.de auditoría Referencia La área de auditoría.5 8. la de falla evaluación de los troncos de falla y verificar las acciones tomadas 6.4. errores movimiento correctivo etc.4.. 6.5 Dirección de la red La información 7799.4.el jueves: copia de seguridad y el viernes incremental: copia de seguridad completa.4. Si los medios de comunicación de copia de seguridad junto con el procedimiento de restaurar la copia de seguridad son guardados bien y bien fuera del sitio verdadero.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.4. 6. Si los operador troncos son cotejados con la base regular contra los procedimientos operativos.. Tala de árboles Esto incluye la acción correctiva que está tomado. Fue tomado con regularidad.1 Copia de Whether la copia de seguridad de la información de seguridad de la empresa esencial como servidor de producción información componentes de la red críticos.2 Operador Whether en funcionamiento los personal mantienen troncos actualizados un diario de sus ies de activit como nombre de la persona.1 8.3 8. Ejemplo: el lunes . Si los medios de comunicación de copia de seguridad son con regularidad hacer pruebas para asegurar que podían ser restituidos dentro del time frame asignado en el procedimiento en funcionamiento para la recuperación.2 8... el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación .3 Si los defectos son informados sobre y llevados bien. copia de seguridad de configuración etc.

6.3 Si existir un procedimiento para manejar el Procedimientos almacenamiento de la información. Ejemplo: redes privadas prácticamente.6 8.6.1 Ya sea que controles en funcionamiento eficaces Controles de la como red distinta y instalaciones de administración red de sistema lo fueron sea establecido where necesario. medios de comunicación Si el traspaso de artículos delicados es registrado where necesario para mantener un rastro de auditoría.. Ya sea que existir cualquier controles especiales proteger confidencialidad e integridad del procesamiento de datos sobre la red pública y proteger los sistemas conectados.2 Traspaso de Si los medios de comunicación que no son más requerido son dispuestos saliendo bien y sin peligro. la otra encriptación y los mecanismos de hashing etc. La información 7799.3 8.6 Manejo media y seguridad 6.5.1 Si existir un procedimiento para la dirección de Dirección de entornos de computadora removibles como cintas.1 8. tarjetas de memoria e informes. entornos de discos.6.6. incluir equipo en usuario áreas fueron establecidos. .2 8.1 8. casetes. 6. Si responsabilidades y procedimientos para la dirección de equipo remoto. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 6.. computadora removibles 6. Hace este procedimiento números de dirección como la de manejo de protección de información de la revelación no información autorizada o el mal uso.6.5.6.6.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.

7. La información 7799.7.4 8. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 6. el documento tiene que tener listas de Control de Access activado (para ser accesible solamente por usuarios limitados. intercambio de software Si el acuerdo lo hace abordar los asuntos de seguridad sobre la base de la sensibilidad de la información de la empresa involucrada. el mal uso o la corrupción bien.3 8. .2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.1 8. Si la lista de acceso para la de sistema documentación de sistema es guardada al mínimo y autorizada por el propietario de aplicación.) 6.6.2 8. en tránsito 6.6.7 8. Authorisation son considerados en el ambiente de ECommerce. Si los controles de seguridad como Authentication.4 Seguridad de la Si la documentación de sistema es protegida del documentación acceso no autorizado.2 Seguridad de Whether la seguridad de medios de comunicación mientras ser transportado tenido en cuenta.3 Whether electrónico el comercio es protegido bien y Seguridad de controles implementado para proteger contra la comercio actividad fraudulenta. Ejemplo: la documentación de sistema tiene que ser guardada sobre una unidad de disco compartida para los propósitos específicos.7. Si los medios de medios de comunicación son protegido del acceso no comunicación autorizado.7.7. la disputa de contrato y las electrónica revelación o modificación de la información.7.1 Si existir cualquier acuerdo formal o informal entre Información y las organizaciones para el intercambio de la acuerdo de información y el software.6.7 Intercambio de la información y el software 6.

oficina electrónicos Si hay cualquier pautas en su lugar controlar la empresa y los peligros para la seguridad eficazmente relacionar con la oficina electrónica sistemas.5 8.7..7.7. . Como la aprobación del disponibles Cambiar controlar cuál incluir la empresa. La información 7799. aislar anexos potencialmente poco seguros. que promete ambas fiestas a los términos aceptados del comercio. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 6.4 8.7. incluyendo los detalles de los asuntos de seguridad... 6. inconformista transmitir etc.. Ser puesto in place para reducir los riesgos creados por el correo electrónico electrónico. enviar correo no solicitado al control.7.6 Ya sea que hay cualquier autorización formal el Sistemas proceso en su lugar para la información ser hecho públicamente públicamente disponible.4 Seguridad del Ya sea que hay una política en su lugar para el uso correo aceptable de correo electrónico o hembras la política de seguridad aborda los asuntos con respecto a el uso electrónico del correo electrónico. electrónico Whether controles como antivirus de control. el propietario de aplicación etc.5 Seguridad de Si hay una política de uso aceptable de abordar el uso sistemas de la de sistemas de la oficina electrónicos. 6. Whether electrónico los arreglos de comercio entre socios comerciales incluyen un acuerdo documentado.7.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.6 8.

7 Ya sea que hay cualquier políticas. cualquier tipo de detección de intrusión de herramientas use monitorear el sistema etc.1.2 Usuario dirección de acceso . procedimientos o Otras formas controles en lugar de proteger el cambio de la del intercambio información a través del uso de la voz.7.1.2 9.1 Requisitos de la empresa para el control de acceso 7.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.. el endurecimiento de sistema operativo. 6. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Acceda al Control 7.1 9. acceso Si la política de control de Access aborda las reglas y los derechos para cada usuario o un grupo del usuario.7.1 Política de Si los requisitos de la empresa para el control de Control de acceso han sido definidos y documentados. Ya sea que los usuarios y service providers fueron dados una sentencia clara del requisito de la empresa sea cubierto por controles de acceso. Si los personal son hechos acordar que mantener la confidencialidad de la información confidencial mientras usar tales formas de la facilidad de intercambio de información.1 9. Esto podría incluir controles como cortafuegos.7 8. mande por de información facsímil y grabe en video instalaciones de comunicación. La información 7799.. 7. Si hay cualquier controles en lugar de proteger la integridad de tal información públicamente disponible de cualquier acceso no autorizado.

los privilegios son asignados solamente después de proceso de autorización formal. .. Ejemplo: salir del sistema cuando la sesión es terminada o poner log de automóvil saliendo. tanto como su responsabilidad de implementar tal protección. 7.3 9. 7.para .2.3 Usuario responsabilidades 7.1 Si hay cualquier usuario registro formal y Usuario procedimiento de de-registration para conceder el registro acceso para los multiusuario sistemas de información y servicios.1 9. contraseña Si los usuarios son pedidos que firmar una declaración para guardar la contraseña confidencial.3 9.2.2 Usuario equipo Si los usuarios y los contratistas son hechos desatentido consciente de los requisitos de seguridad y los procedimientos para proteger equipo desatentido.4 Evaluación de Ya sea que existir un proceso to usuario de evaluación acceda a los derechos a intervalos los usuario regulares.1 9.e.2..2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.2 9.uso. La información 7799.7. Los privilegios son asignados sobre la base de necesidad .2. 7.2 Dirección de Si la asignación y la uso de cualquier privilegios en privilegio el ambiente de sistema de información multiusuario están restringido y controlado i.2 9. terminar las sesiones when termina etc. normales cada 6 acceso polillas..2.2.3.2.3. 7.3.2..4 9. Ejemplo: privilegios especiales examinan derechos de los privilegios cada 3 meses. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 7.1 Si hay cualquier pautas en su lugar guiar usuarios Uso de seleccionando y mantener actualizado contraseñas contraseña seguras.3.3 Usuario El reparto y la reasignación de contraseñas deben ser dirección de controlados a través de un proceso de dirección formal.

.4 Control de acceso de la red 7.4.4...4. La autentificación de nodo puede servir de unos medios alternativos de autentificar grupos de usuarios remotos donde están conectados con una instalación de computadora segura y compartida. procedimientos a los que proteger el acceso conectan a una red conexiones y conectan a una red servicios.2 9.4. 7. el equipo físico que fichas.e. Ejemplos: la técnica criptografía para conexiones basada en.4. 7.4.4 9. fichas de externas software. 7.5 9. . los oficios red religiosos de Authorisation de determinar quién ser permitido hacer qué.3 9.4 Autentificación Si las conexiones para sistemas de computadora de nodo remotos que son fuera de organizaciones la administración de seguridad son autentificadas.7.5 Puerto Si los accesos para puertos diagnósticos son bien diagnóstico controlados i.4. 7.2 Hizo cumplir la Ya sea que hay cualquier control que restringe la ruta ruta entre la usuario unidad terminal y los servicios de computadora designados el usuario es autorizado acceder al ejemplo: la ruta hecho cumplir para reducir el riesgo.4.4..4.3 Ya sea que existir ninguno mecanismo de Usuario autentificación para conexiones externas autentificación estimulantes.1 9. Proteger por un mecanismo de lejano seguridad.4 9.1 Ya sea que existir una política que hace las La política incumbencias de dirección relacionando servicios sobre el uso de con redes y red La información 7799. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Servicios de la Como: partes de la red de ser accedido.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría. desafían / el protocolo de respuesta etc.

2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría .4. las transferencias de ficheros.5 Control de acceso de sistema operativo La información 7799.7 9.4.4. 7. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Protección 7.4. Ejemplo: el correo red electrónico.9 9.4.6 9.5 9.9 Whether la organización.7 Si existir cualquier control de conexión de la red Protocolos de para redes compartidas que se extienden más allá de conexión de la los límites organizativos. Esto es a menudo esencial para las redes compartidas con usuarios non- organizaciones.4.4. Ejemplo: traducción de dirección de la red (Nat). 7.8 Control de Ya sea que existir ninguno conecte a una red el direccionamient control para asegurar que conexiones de o de la red computadora e flujos de información no violan la política de control de acceso de las aplicaciones de la empresa. usar servicio de la red Seguridad de público o confidencial asegura que una descripción servicios de la clara de los atributos de seguridad de todos red servicios usados es proveída.8 9. etcétera.4. Si los controles de direccionamiento están basados en la fuente segura y el mecanismo de identificación de destino.. 7.6 Si la red (donde el(la/los/las) de socio comercial y el / o terceras partes necesitan el acceso para Segregación en sistema de información) es separada usando redes mecanismos de seguridad de perímetro como cortafuegos. 7. el acceso a la web.La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.

7.4 Ya sea que existir un sistema de dirección de Sistema de contraseña que impone controles de contraseña dirección de varios como: la contraseña individual para la contraseña rendición de cuentas.5.3 Usuario Whether único el identificador es proveído a cada identificación y usuario como operadores. Ya sea que el método de autentificación usado lo hace pruebe la identidad alegada del usuario. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 7. método comúnmente usado: la contraseña que solamente el usuario sabe.5.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría. 7.5.5. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación No contraseñas de visualización sobre la pantalla etc.. final automática 7. procedimientos Si hay un procedimiento en su lugar para entrar al sistema a una sistema de información. Controles adicionales podrían ser necessary mantener la rendición de cuentas. administradores del autorización sistema y todos otros personal incluyendo la falta técnica.5.1 Whether el mecanismo de identificación automático Identificación final es use autentificar conexiones.2 de diario final Si el acceso para sistema de información es sobre alcanzable solamente vía un proceso de entrada en el sistema seguro. La información 7799.5.4 9. guarde contraseñas en la forma cifrada. Esto es para minimizar la oportunidad del acceso no autorizado. Las usuario cuentas genéricas deben ser proporcionado bajo las circunstancias excepcionales donde hay un beneficio de la empresa claro solamente.5.Referencia La área de auditoría.1 9.5.3 9. . haga cumplir los cambios de contraseña.2 9..

6.8 Ya sea que existir ninguno la limitación en el tiempo Limitación del de conexión para aplicaciones de alto riesgo. La información 7799.5 Whether los utilities de sistema eso viene con las Uso de servicios instalaciones de computadora.6 Control de Access de aplicación 7.5.. Este tiempo de tipo de set debe ser considerado para aplicaciones conexión delicadas para las que las unidades terminales son instaladas en ubicaciones de alto riesgo arriba.7 9. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 7. 7.7 9. 7.5. 7.5. 7.5.6.5 9.8 9.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría. etcétera.2 Ya sea que los sistemas delicados son suministrados con el ambiente de computación aislado como Aislamiento de funcionar en una computadora dedicada.6.7.7 Acceso de sistema de observación y uso .1 Whether el acceso para la solicitud junto a grupos / Restricción de personal varios dentro de la organización debe ser definido en la política de control de acceso según el acceso de requerimiento de aplicación de la empresa individual información y es compatible con la política de acceso de información de la organización.6 Alarma de Si la previsión de una alarma de coacción es coacción considerada para usuarios que pueden ser la meta de la coerción.5.6 9. pero podría contar de sistema más que el sistema y el control de aplicación es fuerte controlado.2 9.7 Terminal inactivo en áreas públicas debe ser Tiempo muerto arreglado borrar la pantalla o se apagar final automáticamente después de un período definido de la inactividad.5.6 9. compartir sistema sensible recursos solamente con sistemas de aplicación de confianza.5. proteger usuarios 7.1 9.5.6.

7.1 9.1 Ya sea que una política formal es asumida eso tiene Informática en cuenta los riesgos de trabajar con instalaciones de móvil computación como libretas. 7. debe ser puesto a un padrón aceptado como el tiempo de ordinated de de co de Universal o el tiempo estándar local. Especialmente en ambientes sin protección.2 9.1 Tala de árboles Whether diarios de auditoría que graban excepciones de evento y otra seguridad los eventos relevantes son producidos y guardados para un punto aceptado ayudar con las futuras investigaciones y la observación de control de acceso.7. .. Si trainings fueron organizado para personal usar instalaciones de informática móvil de levantar su conocimiento sobre los riesgos adicionales que resultan de esta manera de trabajar y controles que tiene que ser implementados para mitigar los riesgos.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría..8. computadoras manuales etc.7.7.1 9.3 9.2 Uso de sistema Si los procedimientos son puestos para monitorear el de observación uso de la facilidad de procesamiento de la información. Si los resultados de las actividades de observación son examinados con regularidad.7.7.3 Synchronisatio Ya sea que la computadora o el dispositivo de de reloj n comunicación tienen la capacidad de operar un reloj legítimo. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 7.8 9. El correcto preparando del reloj de computadora es importante para asegurar la exactitud de los diarios de auditoría. El procedimiento debe asegurar que los usuarios están llevando a cabo solamente las actividades que están autorizado explícitamente. La información 7799. 7.8 Informática móvil y teleworking 7.8.7.

Teleworking esto debe ser compatible con la política de seguridad de la organización.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría. Whether los controles como: el tipo diferente de las entradas para examinar en busca de mensajees de errores.1 Requisitos de seguridad de sistemas 8. el procedimiento y el / o padrón controlar las actividades de teleworking..1 10. .1. definir las responsabilidades de todos personal involucrado en los datos introdujo el proceso etc.8.2 9..8.2 Seguridad en sistemas de aplicación 8.1 Si los requisitos de seguridad son incluidos como part of la expresión de requisito de la empresa para Requisitos de nuevos sistemas o para el realce a sistemas seguridad existentes.1.1 Validación de Si la contribución de datos para el sistema de datos de aplicación es validada para asegurar que es correcto contribución y apropiado. La información 7799. Whether apropriada la protección del sitio de teleworking es en su lugar contra las amenazas como el robo de equipo la revelación no autorizada de la información etc.1 10.. Si las valoraciones de riesgo son terminadas antes de la graduación del desarrollo de sistema.1 10.2 Ya sea que hay cualquier política. los procedimientos para responder a los errores de validación.2. Desarrollo de sistema y mantenimiento 8. Ser considerado..7. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Análisis y Los requisitos de seguridad y controles identificados especificación deben reflejar el valor de la empresa de posesiones de información involucradas y la consecuencia del fracaso de la seguridad.2 10.2. 8.

El mensaje del que la autentificación es una técnica use detectar los cambios no autorizados hacerlo/serlo.4 10. los contenido del mensaje electrónico transmitido. Ya sea que una valoración de riesgo criptográficos fue llevada para identificar el nivel de la protección la información debe ser dado. 8.8.3.2.3 10.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.3 Controles criptográficos 8.2 Si las áreas de los riesgos son identificadas en el Control del ciclo de procesamiento y cheques de validación fueron incluidos. 8.1 10. . Los controles dependerán de la naturaleza de aplicación y impacto de la empresa de cualquier corrupción de los datos.2.2. La información 7799. Whether apropiados los controles son identificados para aplicaciones para mitigar de los riesgos durante el procesamiento interno.2 10.1 Ya sea que hay una "Política en uso de controles Política sobre el criptográficos para la protección de la información" uso de controles es en su lugar.3.3 10.4 Si el producto de datos del sistema de aplicación es Validación de validado para asegurar que el procesamiento de la datos de información almacenada es correcto y apropiado a producto las circunstancias.2. y identificar most método apropiado de la puesta en práctica si es necesario.2. En algunos casos los datos que ha procesamiento sido ingresados correctamente pueden ser corroto por interno los errores de procesamiento o a través de los actos deliberados.3 Autentificación Si una valoración del riesgo para la seguridad fue de mensaje llevada determinar si la autentificación de mensaje es requerida. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 8.2. o la corrupción.

los procedimientos y los métodos seguros.3. Si las valoraciones fueron dirigidas para analizar la sensibilidad de los datos y el nivel de la protección necesitada.4 10.1 10.2 Encriptación Si las técnica de encriptación fueron use proteger los datos. 8.3 10.3.5 Si hay un sistema de dirección estar en lugar de Dirección de soportar el uso de las técnica criptográficas como la tecla técnica de tecla confidencial y la técnica de clave pública de la organización.4 Seguridad de archivos del sistema 8.4 Si servicios non.2 10. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Firmas Autenticidad e y de integrit de documentos electrónicos.4.rechazo fueron usados.3. ocurrencia o non. Esto es para minimizar el riesgo de funcionamiento la corrupción de sistemas en funcionamiento.3 Ya sea que las firmas digitales fueron use Digital hacerlo/serlo proteger el La información 7799. Ejemplo: discuta involucrar el uso de una firma digital sobre un pago electrónico o contrato.1 Si hay cualquier controles en lugar para la puesta en Control del funcionamiento del software sobre sistemas en software en funcionamiento. donde podría ser necesario resolver las disputas sobre Servicios non.4 10. Si la dirección de tecla en la que el sistema está basado estuvo de acuerdo se poner de los padrones.4.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.3. 8.3.8.3.3. 8.5 10.ocurrencia de un evento o el rechazo movimiento. 8.3. .

5 Seguridad en el desarrollo y el proceso de soporte 8. Esto es para Cambiar minimizar la corrupción de sistema de información..2 10. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 8.4.2 10. La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría. programar la Esto es para reducir el potencial para la corrupción de programas de computadora. .4.5. Todos cambios deben ser evaluados evidentemente y documentado así que pueden ser vuelto a aplicar si necesario a las futuras actualizaciónes del software.8.5. El uso de la información personal base los datos de de datos contener de operaciones debe ser evitado prueba de para los propósitos de prueba.3 Evaluación Si hay cualquier restricciones en lugar de limitar los técnica de los cambios a paquetes de software.5.3 10.1 Si hay procedimientos de control estrictos en su Procedimientos lugar sobre la puesta en funcionamiento de los de control de cambios para la sistema de información. Si los sistema cambios son deem esencial el software original debe operativo ser conservado y los cambios eran aplicable solamente a una copia evidentemente identificada.. las operativo correcciones los arreglos calientes etc. Para instalar paquetes del servicio.5.3 10.5 10.e. Tan lejos as cambios de possible el distribuidor proporcionados paquetes de software debe ser usado sin la modificación. biblioteca de fuente 8.4.4. los datos deben ser despersonalizados antes del uso. 8. cambios de Periódicamente es necessary actualizar operando el sistema sistema i..2 Si los datos de prueba de sistema están protegido y Protección de controlado.5. 8.3 Acceda al Whether severos los controles son en su lugar sobre Control para el acceso para bibliotecas de fuente de programa.5.2 Evaluación Si hay proceso o procedimiento en lugar de asegurar técnica de los el sistema de aplicación ser examinado y evaluado después del cambio en el sistema operativo. Si tal información es sistema usada..1 10.

Un canal encubierto puede exponer la información por algunos medios indirectos y obscuros.1 11. La información 7799.1 11.4 10.5 10.5. 8.5..La información 7799. La clave troyana es diseñada afectar un sistema en una manera que no es autorizado. Este podría incluir Organisation amplio plan de continuidad de la empresa prueba procesa regular y actualizar del plan.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.1. antes. arreglos de depósito requisito contractual para la garantía de la calidad.5..1. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 8.4 Canales Si hay controles en lugar de asegurar que los canales encubiertos y encubiertos y las claves troyanas no son introducidos clave troyana en el sistema nuevo o actualizado. Dirección de continuidad de la empresa 9. Los puntos de ser las inclusiones famosas: software autorizar arreglos. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación .1 La continuidad Si hay un proceso dirigido en su lugar para contraer y de la empresa mantener la continuidad de la empresa en toda la que dirección organización. evaluando la investidura de detectar la clave troyana etc..5.5 Subcontrató el Si hay controles en su lugar sobre subcontratar el desarrollo de software. formulando y documentar una estrategia de continuidad de la empresa etc.1 Aspectos de dirección de continuidad de la empresa 9.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.

5 11. Si el plan es con regularidad planean hacer pruebas y se actualizar.1.4 11. Si un plan de estrategia fue desarrollado sobre la base de la valoración de riesgo dar como resultado para determinar un enfoque en conjunto para la continuidad de la empresa.1.1.3 Escribir y Si los planes fueron desarrollados para restaurar las operaciones de la empresa dentro del time frame implementar la requerir following una interrupción o fracaso al continuidad proceso de la empresa. Si esta base es mantenida para planear la base asegurar que todos planes son consecuentes y identificar las prioridades para la prueba y el mantenimiento.5 Whether la continuidad de la empresa los planes son La prueba.1.3 11.1. 9.4 La continuidad Ya sea que hay una base sola de la continuidad de la de la empresa empresa planee. 9. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Tasar plan de continuidad de la empresa . re- La información 7799. Si una valoración de riesgo fue se conducida impacto para determinar el impacto de tales interrupciones.1. el evaluados con regularidad para asegurar que están mantener y el actualizados y eficaces.2 11. 9.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.2 Continuidad de Si los eventos que podían causar ns de interruptio al la empresa e proceso de la empresa lo fueron identificar el análisis de ejemplo: el fracaso de equipo. la inundación y el fuego.1.1.9. Si esto identifica las condiciones para la activación y las personas individuales responsables de ejecutar cada componente del plan.

Si los procedimientos son implementados bien.2 12.1.1. los derechos de diseño.1 Acatamiento con requisitos legales 10. Ya sea que los procedimientos fueron incluidos dentro las organizaciones cambian que el programa de dirección asegure que temas de continuidad de la empresa son addressed apropiadamente. Whether la continuidad de la empresa los planes fueron mantenidos por evaluaciones regulares y actualizaciones para asegurar su eficacia continuada. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación (IPR) Los derechos como el derecho de autor.1. Whether específicos controles y las responsabilidades individuales de cubrir estos requisitos fueron definidos y documentados.2 Ya sea que existir cualquier procedimientos de Derechos de asegurar el acatamiento con las limitaciones legales propiedad en el uso del material con respecto a el que puede intelectuals haber propiedad intelectual La información 7799. La única excepción podría ser para hacer copias de seguridad propias del software. . Whether reservados los productos de software son proporcionados bajo un contrato de licencia que limita el uso de los productos a computadoras especificadas.1 12.1 Identificación Si todos requerimientos legales y reguladores y de la legislación contractuales relevantes fueron definidos aplicable explícitamente y documentados para cada sistema de información.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría. el comercio mancha.1. 10. Acatamiento 10.1 12.

1.1.1. 10.4 Protección de Si hay una estructura de dirección y control en lugar datos y de proteger datos y privacidad de la información privacidad de personal.1. la información personal 10.1. controles criptográficos 10.1.1.2 12.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.6 12. sin la dirección la procesamiento aprobación es tratada como el uso impropio de la de la instalación.3 Whether los registros importantes de la organización Proteger de es protegido de la función de destrucción y falsi de pérdida.1.4 12.3 12.10. registros organizativos 10.5 12. Si en la entrada en el sistema un mensaje información de advertencia es entregado sobre la pantalla de computadora que demuestra eso el sistema La información 7799.2 Evaluaciones de la política de seguridad y acatamiento técnico .6 Si la regulación del control criptográfico es según el Regulación de sector y el acuerdo nacional. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación Instalación Ser entrado es confidencial y ese acceso no autorizado no es permitido.7 12.5 Whether el uso de instalaciones de procesamiento de Prevención del la información para cualquier propósito non- mal uso del empresa o no autorizada.7 Ya sea que el proceso involucrado en coleccionar las Colección de pruebas es de conformidad con la mejor apariencia pruebas legal e industria practique. 10.1.1.

2 El acatamiento Si sistemas de información eran con regularidad técnico buscar el acatamiento con los padrones de puesta en verificar funcionamiento de seguridad.2 12.2.1 Whether todas áreas dentro la organización es Acatamiento considerada para la evaluación regular de asegurar el con la política acatamiento con la política de seguridad.1 12. 10. los de seguridad padrones y los procedimientos.3. el objetivo y la pregunta Resultados Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento verificación 10.3. las personas competentes. 10.1 12.2 12.2 de BS de administración de seguridad: la 2002 lista de cheque de auditoría Referencia La área de auditoría.2.1 Si los requisitos de auditoría y las actividades que Controles de involucran cheques sobre sistemas en auditoría de funcionamiento deben ser cuidadosamente planear y sistema aceptar minimizar el riesgo de las interrupciones al proceso de la empresa.2. 10. o bajo la supervisión.3 12. autorizadas.2 Protección de Si acceso para herramientas de auditoría de sistema herramientas como el software o archivos de datos son protegidos para prevenir cualquier mal uso posible o acuerdo.3.2. de auditoría de sistema .3 Consideraciones de auditoría de sistema La información 7799.3.10. Whether el acatamiento técnico del que el cheque es llevado out by.