Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Documento de Lista de Verificación (Componente de Proyecto)

    Cargado por

    Juan Gasca
    3 vistas32 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    XLSX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como XLSX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    3 vistas32 páginas

    Documento de Lista de Verificación (Componente de Proyecto)

    Cargado por

    Juan Gasca

    Copyright:

    © All Rights Reserved
    Descargue como XLSX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 32

    Tarea: Tarea 02 - Dom

    Nombre: Gasca
    M
    Materia: A
    Profesor

    Fecha Auditoría:

    Auditado:

    No Conformidad Mayor No Conformidad Menor

    Proceso Auditado Control Norma ISO 27001


    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.1 Políticas para la seguridad de la
    INFORMACIÓN información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.2 Revisión de las políticas de
    INFORMACIÓN seguridad de la información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.2 Revisión de las políticas de
    INFORMACIÓN seguridad de la información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.2 Revisión de las políticas de
    INFORMACIÓN seguridad de la información
    A5 POLÍTICAS DE SEGURIDAD DE LA 5.1.2 Revisión de las políticas de
    INFORMACIÓN seguridad de la información

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.1 Funciones y responsabilidades de


    INFORMACIÓN la Seguridad de la información

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.1 Funciones y responsabilidades de


    INFORMACIÓN la Seguridad de la información

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.1 Funciones y responsabilidades de


    INFORMACIÓN la Seguridad de la información

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.1 Funciones y responsabilidades de


    INFORMACIÓN la Seguridad de la información

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.2 Separación de funciones


    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.1.2 Separación de funciones
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.1.2 Separación de funciones
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.1.2 Separación de funciones
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    INFORMACIÓN 6.1.2 Separación de funciones

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.1.3 Contacto con autoridades
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.1.3 Contacto con autoridades
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.1.3 Contacto con autoridades
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.1.3 Contacto con autoridades
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.4 Contacto con grupos de interés
    INFORMACIÓN especial
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.4 Contacto con grupos de interés
    INFORMACIÓN especial
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.4 Contacto con grupos de interés
    INFORMACIÓN especial
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.4 Contacto con grupos de interés
    INFORMACIÓN especial
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.4 Contacto con grupos de interés
    INFORMACIÓN especial
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.5 Seguridad de la información en la
    INFORMACIÓN gestión de proyectos
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.5 Seguridad de la información en la
    INFORMACIÓN gestión de proyectos
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.5 Seguridad de la información en la
    INFORMACIÓN gestión de proyectos
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.1.5 Seguridad de la información en la
    INFORMACIÓN gestión de proyectos
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.2.1 Política de dispositivos móviles
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    INFORMACIÓN 6.2.1 Política de dispositivos móviles

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    INFORMACIÓN 6.2.1 Política de dispositivos móviles

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.2.1 Política de dispositivos móviles
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.2.2 Teletrabajo
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    INFORMACIÓN 6.2.2 Teletrabajo

    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.2.2 Teletrabajo
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 6.2.2 Teletrabajo
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.2.2 Teletrabajo
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.2.2 Teletrabajo
    INFORMACIÓN
    A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
    6.2.2 Teletrabajo
    INFORMACIÓN

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.1.1 Selección

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.1.1 Selección

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.1.1 Selección

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.1.1 Selección


    7.1.2 Términos y condiciones de
    A7 SEGURIDAD RELATIVA A LOS RECURSOS
    empleo

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.1.2 Términos y condiciones de


    empleo
    7.1.2 Términos y condiciones de
    A7 SEGURIDAD RELATIVA A LOS RECURSOS
    empleo

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.1.2 Términos y condiciones de


    empleo

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.2.1 Responsabilidades de la dirección

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.2.1 Responsabilidades de la dirección

    A7 SEGURIDAD RELATIVA A LOS RECURSOS 7.2.1 Responsabilidades de la dirección

    7.2.2 Concientización, Educación y


    A7 SEGURIDAD RELATIVA A LOS RECURSOS Formación en Seguridad de la
    Información

    7.2.2 Concientización, Educación y


    A7 SEGURIDAD RELATIVA A LOS RECURSOS Formación en Seguridad de la
    Información

    7.2.2 Concientización, Educación y


    A7 SEGURIDAD RELATIVA A LOS RECURSOS Formación en Seguridad de la
    Información

    7.2.2 Concientización, Educación y


    A7 SEGURIDAD RELATIVA A LOS RECURSOS Formación en Seguridad de la
    Información

    7.2.2 Concientización, Educación y


    A7 SEGURIDAD RELATIVA A LOS RECURSOS Formación en Seguridad de la
    Información

    A8 GESTIÓN DE ACTIVOS 8.1.1 Inventario de activos

    A8 GESTIÓN DE ACTIVOS 8.1.1 Inventario de activos

    A8 GESTIÓN DE ACTIVOS 8.1.1 Inventario de activos

    A8 GESTIÓN DE ACTIVOS 8.1.1 Inventario de activos

    A8 GESTIÓN DE ACTIVOS 8.1.1 Inventario de activos

    A8 GESTIÓN DE ACTIVOS 8.1.1 Inventario de activos

    A8 GESTIÓN DE ACTIVOS 8.1.2 Propiedad de los activos

    A8 GESTIÓN DE ACTIVOS 8.1.2 Propiedad de los activos


    A8 GESTIÓN DE ACTIVOS 8.1.2 Propiedad de los activos

    A8 GESTIÓN DE ACTIVOS 8.1.3 Uso aceptable de los activos

    A8 GESTIÓN DE ACTIVOS 8.1.3 Uso aceptable de los activos

    A8 GESTIÓN DE ACTIVOS 8.1.3 Uso aceptable de los activos

    A8 GESTIÓN DE ACTIVOS 8.1.4 Devolución de activos

    A8 GESTIÓN DE ACTIVOS 8.1.4 Devolución de activos

    A8 GESTIÓN DE ACTIVOS 8.1.4 Devolución de activos

    A8 GESTIÓN DE ACTIVOS 8.2.1 Clasificación de la información

    A8 GESTIÓN DE ACTIVOS 8.2.1 Clasificación de la información

    A8 GESTIÓN DE ACTIVOS 8.2.1 Clasificación de la información

    A8 GESTIÓN DE ACTIVOS 8.2.1 Clasificación de la información

    A8 GESTIÓN DE ACTIVOS 8.2.1 Clasificación de la información

    A8 GESTIÓN DE ACTIVOS 8.2.1 Clasificación de la información

    A8 GESTIÓN DE ACTIVOS 8.2.2 Etiquetado de la Información

    A8 GESTIÓN DE ACTIVOS 8.2.2 Etiquetado de la Información

    A8 GESTIÓN DE ACTIVOS 8.2.2 Etiquetado de la Información

    A8 GESTIÓN DE ACTIVOS 8.2.2 Etiquetado de la Información

    A8 GESTIÓN DE ACTIVOS 8.2.3 Manejo de Activos

    A8 GESTIÓN DE ACTIVOS 8.2.3 Manejo de Activos

    A8 GESTIÓN DE ACTIVOS 8.2.3 Manejo de Activos

    A8 GESTIÓN DE ACTIVOS 8.2.3 Manejo de Activos

    A8 GESTIÓN DE ACTIVOS 8.2.3 Manejo de Activos

    A8 GESTIÓN DE ACTIVOS 8.2.3 Manejo de Activos

    A8 GESTIÓN DE ACTIVOS 8.2.3 Manejo de Activos

    A8 GESTIÓN DE ACTIVOS 8.3.1 Gestión de Soportes extraíbles


    A8 GESTIÓN DE ACTIVOS 8.3.1 Gestión de Soportes extraíbles

    A8 GESTIÓN DE ACTIVOS 8.3.1 Gestión de Soportes extraíbles

    A8 GESTIÓN DE ACTIVOS 8.3.1 Gestión de Soportes extraíbles

    A8 GESTIÓN DE ACTIVOS 8.3.1 Gestión de Soportes extraíbles

    A8 GESTIÓN DE ACTIVOS 8.3.2 Eliminación de Soportes

    A8 GESTIÓN DE ACTIVOS 8.3.2 Eliminación de Soportes

    A8 GESTIÓN DE ACTIVOS 8.3.2 Eliminación de Soportes

    A8 GESTIÓN DE ACTIVOS 8.3.3 Traslado de soportes físicos

    A8 GESTIÓN DE ACTIVOS 8.3.3 Traslado de soportes físicos

    A8 GESTIÓN DE ACTIVOS 8.3.3 Traslado de soportes físicos

    A8 GESTIÓN DE ACTIVOS 8.3.3 Traslado de soportes físicos

    A9 CONTROL DE ACCESO 9.1.1 Política de control de acceso

    A9 CONTROL DE ACCESO 9.1.1 Política de control de acceso

    A9 CONTROL DE ACCESO 9.1.1 Política de control de acceso

    A9 CONTROL DE ACCESO 9.1.1 Política de control de acceso

    A9 CONTROL DE ACCESO 9.1.1 Política de control de acceso

    A9 CONTROL DE ACCESO 9.1.1 Política de control de acceso

    A9 CONTROL DE ACCESO 9.1.1 Política de control de acceso

    9.1.2 Acceso a las redes y a los


    A9 CONTROL DE ACCESO
    servicios de red
    9.1.2 Acceso a las redes y a los
    A9 CONTROL DE ACCESO
    servicios de red
    9.1.2 Acceso a las redes y a los
    A9 CONTROL DE ACCESO
    servicios de red
    9.1.2 Acceso a las redes y a los
    A9 CONTROL DE ACCESO
    servicios de red
    9.1.2 Acceso a las redes y a los
    A9 CONTROL DE ACCESO
    servicios de red
    9.1.2 Acceso a las redes y a los
    A9 CONTROL DE ACCESO
    servicios de red

    A9 CONTROL DE ACCESO 9.2.1 Registro de usuarios y


    cancelación del registro
    9.2.1 Registro de usuarios y
    A9 CONTROL DE ACCESO
    cancelación del registro
    9.2.1 Registro de usuarios y
    A9 CONTROL DE ACCESO
    cancelación del registro

    A9 CONTROL DE ACCESO
    9.2.2 Gestión de acceso a los usuarios
    A9 CONTROL DE ACCESO
    9.2.2 Gestión de acceso a los usuarios
    A9 CONTROL DE ACCESO
    9.2.2 Gestión de acceso a los usuarios
    9.2.3 Gestión de derechos de acceso
    A9 CONTROL DE ACCESO privilegiados
    9.2.3 Gestión de derechos de acceso
    A9 CONTROL DE ACCESO
    privilegiados
    9.2.3 Gestión de derechos de acceso
    A9 CONTROL DE ACCESO
    privilegiados

    A9 CONTROL DE ACCESO 9.2.4 Gestión de la información de


    autenticación secreta de los usuarios

    A9 CONTROL DE ACCESO 9.2.4 Gestión de la información de


    autenticación secreta de los usuarios

    A9 CONTROL DE ACCESO 9.2.4 Gestión de la información de


    autenticación secreta de los usuarios

    A9 CONTROL DE ACCESO 9.2.4 Gestión de la información de


    autenticación secreta de los usuarios
    A9 CONTROL DE ACCESO 9.2.5 Revisión de derechos de acceso
    de usuario
    A9 CONTROL DE ACCESO 9.2.5 Revisión de derechos de acceso
    de usuario
    A9 CONTROL DE ACCESO 9.2.6 Remoción o ajuste de los
    derechos de acceso
    A9 CONTROL DE ACCESO 9.2.6 Remoción o ajuste de los
    derechos de acceso
    A9 CONTROL DE ACCESO 9.3.1 Uso de la información de
    autenticación secreta
    A9 CONTROL DE ACCESO 9.3.1 Uso de la información de
    autenticación secreta
    A9 CONTROL DE ACCESO 9.3.1 Uso de la información de
    autenticación secreta
    A9 CONTROL DE ACCESO 9.4.1 Restricción de acceso a la
    información
    A9 CONTROL DE ACCESO 9.4.1 Restricción de acceso a la
    información
    A9 CONTROL DE ACCESO 9.4.2 Procedimientos de conexión (log-
    on) seguros
    A9 CONTROL DE ACCESO 9.4.2 Procedimientos de conexión (log-
    on) seguros
    A9 CONTROL DE ACCESO 9.4.2 Procedimientos de conexión (log-
    on) seguros
    A9 CONTROL DE ACCESO 9.4.4 Uso de programas de utilidad
    privilegiados
    A9 CONTROL DE ACCESO 9.4.2 Procedimientos de conexión (log-
    on) seguros
    A9 CONTROL DE ACCESO 9.4.2 Procedimientos de conexión (log-
    on) seguros
    A9 CONTROL DE ACCESO 9.4.5 Control de acceso al código de
    programas fuente
    A9 CONTROL DE ACCESO 9.4.5 Control de acceso al código de
    programas fuente
    A9 CONTROL DE ACCESO 9.4.5 Control de acceso al código de
    programas fuente

    A10 CRIPTOGRAFÍA 10.1.1 Política sobre el empleo de


    controles criptográficos
    10.1.1 Política sobre el empleo de
    A10 CRIPTOGRAFÍA
    controles criptográficos
    10.1.1 Política sobre el empleo de
    A10 CRIPTOGRAFÍA controles criptográficos
    10.1.1 Política sobre el empleo de
    A10 CRIPTOGRAFÍA
    controles criptográficos
    A10 CRIPTOGRAFÍA 10.1.2 Gestión de Claves

    A10 CRIPTOGRAFÍA 10.1.2 Gestión de Claves

    A10 CRIPTOGRAFÍA 10.1.2 Gestión de Claves

    A10 CRIPTOGRAFÍA 10.1.2 Gestión de Claves

    A10 CRIPTOGRAFÍA 10.1.2 Gestión de Claves

    A10 CRIPTOGRAFÍA 10.1.2 Gestión de Claves


    Tarea: Tarea 02 - Dominios A5, A6 y A7 Norma ISO/IEC 27001
    Nombre: Gasca Martínez Juan José Guadalupe
    Matrícula: 07000072
    Materia: Auditoría de Sistemas de TI
    Profesor: Mtro. Juan Reynoso Neri

    Oportunidad de Mejora

    Pregunta
    ¿Tiene usted una política de seguridad de la información?

    ¿Cuenta con una política general de Tecnologías de la Información?

    ¿Cuál es la manera en como los empleados conocen su política general de


    Tecnologías de la información?

    ¿Cuenta con una política de uso correcto de equipo de cómputo?

    ¿Tiene usted una política de uso de software?

    ¿Cuenta con una política de comunicaciones?

    ¿Cuenta con una política de uso de equipos móviles?

    ¿Cuál es la forma en como usted protege sus equipos de software malicioso?

    ¿Cada cuando sus equipos tienen actualizaciones de seguridad?

    ¿Cuenta con una bitácora de eventos maliciosos?

    ¿Entrega alguna responsiva a proveedores que manejan su información


    confidencial?

    ¿Cada cuando se realiza una revisión de las políticas implementadas?

    ¿Existe evidencia de auditorías internas?


    ¿Puede mostrar evidencia de la debida autorización de sus políticas por la alta
    dirección?

    ¿Tiene alguna no conformidad mayor activa de auditorías anteriores?

    ¿Puede mostrarme el organigrama del equipo de trabajo de TI?

    ¿Puede usted mostrarme la lista de habilidades de los integrantes del


    departamento de tecnologías?

    ¿Puede proporcionarme el documento de roles y responsabilidades de los


    empleados del departamento de tecnologías?

    ¿Tiene debidamente identificadas a las personas del departamento de


    tecnologías que tienen acceso a servicios críticos de la empresa?

    ¿Esta debidamente identificado los roles y funciones de cada integrante del


    equipo de tecnologías?

    ¿El organigrama de trabajo esta actualizado?

    ¿Puede usted proporcionarme el descriptivo de puestos de trabajo de


    tecnologías?

    ¿Puede mostrarme la bitácoras de eventos de acceso a servidores?

    ¿Puede mostrarme la forma en como usted realiza la asignación de permisos en


    servicios críticos?

    ¿Cuenta usted con un flujo de trabajo para un incidente informático?

    ¿Cuenta con un directorio de autoridades competentes en caso de incidente


    informático?
    Si sucediera una filtración importante de información, ¿Tiene algún flujo definido
    para mitigar el daño?
    ¿Tiene algún convenio con alguna autoridad competente en el manejo de
    información?

    ¿Se realiza una capacitación constante del personal ante nuevas amenazas?

    ¿Puede mostrar los últimos cursos tomados por el personal a cargo de la


    seguridad informática?
    ¿Cuál es la manera en como se mantiene informado de los nuevos sucesos
    informáticos en el mundo?
    ¿De qué manera los miembros del equipo de TI se mantiene informados de los
    sucesos de TI?
    ¿De qué manera los miembros del equipo de TI se mantiene informados de los
    sucesos de TI?
    ¿Cada proyecto dentro de la empresa tiene el visto bueno por parte del área de
    TI?

    En las reuniones de nuevos proyectos, ¿Esta el departamento de TI involucrado?

    Puede mostrarme una minuta de trabajo donde este involucrada el área de TI

    ¿Qué controles de seguridad se aplican a nuevos proyectos dentro de la


    empresa?

    ¿Cuáles son las restricciones aplicadas a los dispositivos móviles?

    ¿Existe algún tipo de control para acceso no autorizado de los equipos móviles?

    ¿Cuál es el proceso para solicitar un acceso remoto a equipos móviles?

    ¿Los equipos móviles cuentan con un cifrado de información?

    ¿Cuál es el tipo de cifrado de comunicaciones que utilizan los equipos móviles?

    ¿Cuenta con un sistema de conexión remota segura?

    ¿Los equipos móviles cuentan con software antivirus?

    ¿Qué sistema de control de acceso no autorizado se aplica a los equipos móviles?

    ¿Existen políticas de grupo para evitar la instalación de aplicaciones no


    autorizadas?
    ¿Cuál(es) son el (los) control(es) que garantizan la seguridad del equipo al realizar
    una conexión remota?

    ¿Cuál es el proceso que se sigue si un equipo de móvil es robado?

    ¿Puede indicarnos cuales son los pasos para el proceso de selección del
    personal?
    ¿Puede indicarnos cual es el flujo que mantiene recursos humanos con TI para la
    selección del personal?

    ¿Qué pruebas realiza para pode elegir al candidato para un puesto de TI?

    ¿Pide usted referencias a sus trabajos anteriores?


    ¿Puede mostrarme los acuerdos de confidencialidad firmados por empleados y
    proveedores que tienen acceso a información sensible?
    ¿Puede indicarme donde se le da a conocer al empleado sobre la reserva de
    derechos de propiedad intelectual por parte de la empresa?
    ¿Se le ha dado a conocer al empleado cuales son sus roles y responsabilidades
    dentro de la empresa?
    ¿Como se da a conocer cuales son las sanciones en caso de que se cometa una
    falta al reglamento?

    ¿De que forma se le da a conocer responsabilidades y obligaciones al empleado


    de tecnologías antes de que tenga acceso a manejo de información sensible?

    ¿Cómo dirección se encarga que el empleado mantenga una actitud de seriedad,


    responsabilidad y correcto manejo de la información sensible?

    ¿Cómo dirección se encarga que el empleado mantenga una actitud de seriedad,


    responsabilidad y correcto manejo de la información sensible?

    ¿Qué formación se le da al empleado cuando va a manejar información sensible


    de la empresa?

    ¿Cuenta usted con evidencia de dicha formación?

    ¿Cuál es el control para poder manejar un incidente de índole informático?

    ¿Cuenta con un procedimiento de contraseñas seguras?

    ¿Cuál es el procedimiento en caso de que un empleado de confianza o


    contratista incumpla cualquiera de las medidas aplicadas en el regálenlo general
    de TI?

    ¿Cuenta usted con un inventario de activos de TI?


    ¿Cuál es el procedimiento o herramienta utilizado para mantener el inventario
    de TI?

    ¿Los equipos registrados en el inventario están debidamente identificados?

    ¿Cuales son los pasos para dar de baja un activo de TI por daño o termino de vida
    útil?
    ¿Existe una cotización entre su inventario y el inventario realizado por el equipo
    contable?
    ¿Puede mostrar evidencia de esta comparativa?
    ¿Puede mostrar evidencia de la responsiva que firman los empleados al
    entregarle un activo de TI?
    ¿Cuenta usted con un procedimiento de cobro en caso de que el empleado dañe
    un equipo con dolo?
    ¿Cuál es el procedimiento para la baja o restitución de un equipo de TI en caso
    de baja o cambio de área del empleado?
    ¿Cuenta con una política de uso aceptable de equipo de TI?
    ¿Qué acción se realiza cuando se detecta un daño o uso no deseado a un equipo
    de TI?

    ¿Cómo se les da a conocer a los empelados la política de uso aceptable de TI?

    ¿Cuál es el procedimiento par que un empleado regrese el equipo asignado por


    TI por baja o cambio de área?

    ¿Qué documento avala al empleado el retorno de algún activo asignado a TI?

    ¿Cuál es el procedimiento para eliminación segura de los datos?

    ¿Cuál es la manera en como protege su información sensible?

    ¿Que controles utiliza para restringir acceso a información sensible para los
    usuarios?

    ¿Cómo usted asegura la integridad de los datos?

    ¿Cuenta con respaldo de información sensible?

    ¿Cual es la periodicidad de dichos respaldos?

    ¿Cuánta usted con un plan de contingencia en caso de una filtración importante


    de información sensible?
    ¿Cómo define usted la importancia de la información?

    Si una información es confidencial, ¿Cómo realiza este etiquetado?

    ¿Puede mostrar cual es el procedimiento para dicho etiquetado?

    ¿Cuenta con archivo histórico de datos almacenados y etiquetados?

    ¿Cuenta usted con copias de seguridad de su información sensible?

    ¿Cómo maneja usted el sistema de copias de seguridad?

    ¿Cuenta con un flujo para el manejo de copias de seguridad?


    ¿Cual es el flujo para establecer permisos de lectura/escritura en su sistema de
    archivos?
    ¿Cuenta con Quotas de información establecidas?

    ¿Cómo se define dichas quotas?

    ¿Cuáles son los medios donde realiza el respaldo de información?

    ¿Cuenta con alguna política de uso de medios extraíbles?


    ¿De que manera protege los medios extraíbles?

    ¿Cuenta con alguna destrucción para evitar el uso no indebido de medios


    extraíbles?

    ¿Tiene medios extraíbles autorizados por TI?

    ¿Cómo encripta dichos medios extraíbles autorizados?

    ¿Cuál es su procedimiento para la eliminación segura de información?


    Cuándo un disco de almacenamiento se daña, ¿Cuál es el procedimiento para su
    destrucción?
    ¿Puede mostrarme un registro de eliminación y destrucción segura de medios de
    almacenamiento?
    ¿Tiene medios de almacenamiento en alguna otra locación?

    ¿Cuenta con registro de traslados de dichos medios?

    ¿Cómo se responsabiliza quien realiza el traslado de dichos medios?

    ¿Podría mostrar el diagrama de flujo para el traslado y almacenamiento de


    medios de la almacenamiento ubicados fuera de su locación?

    ¿Cuenta con una política de acceso a centros de datos?

    ¿Cuál es su política de acceso a servicios administrador para personal de TI?

    ¿Cómo protege la información sensible a accesos no autorizados?

    ¿Cuenta con una bitácora de acceso a servicios digitales primordiales?

    ¿Cuenta con una bitácora de acceso a sus centros de datos?

    ¿Cuenta con un registro de eventos en sus servidores de datos?


    ¿Cómo es el proceso para asignar un permiso de lectura/escritura a algún
    recurso compartido?

    ¿Cómo es su proceso para acceso a la red corporativa?

    Cuando un visitante solicita internet, ¿Cuál es el proceso a realizar?

    ¿Cómo es el proceso para asignar un permiso de lectura/escritura a algún


    recurso compartido?
    Cuando es necesario un recurso diferente a los usados comúnmente por los
    usuarios, ¿Cuál es el proceso de autorización por parte de TI?

    ¿Cómo protege usted los accesos no autorizados a su infraestctura?


    ¿Cuenta con una bitacora de eventos de su seguridad permitral?

    ¿Cuál es el flujo que realiza cuando un usuario solicita un equpo de cómputo o


    cambio de usuario?

    ¿Cuál es su procedimiento para la baja de algún usuario?

    En caso de que el usuario infinja en alguna falta, ¿Esta estipulado que se realizará
    la remoción del equipo?

    ¿Cuál es el procedimiento interno para la alta de un usuario?

    ¿Cada cuando se realiza la depuración de usuarios?

    ¿Existe la posibilid de realizar una trazabilidad de los accesos y permisos en caso


    de que el usuario sea dado de baja?

    ¿Cuenta con un registro de quienes son usuarios privilegiados y por que?

    ¿Cuenta con algun registro donde justifique por que usuarios no pertenecientes
    a TI tienen permisos de adminsitrador?

    ¿Cuál es el criterio de autorización para que un usuario sea privilegiado?

    ¿Cómo protege la autenticación de los usuarios con los servicios de TI?

    ¿Cuenta con una política de contraseñas?

    ¿Cómo mantiene a salvo las contraseñas de usuarios?

    ¿Cómo asegura que el usuario no comparte sus credenciales de acceso?

    ¿Cada cuando se realiza la revisión de permisos privilegiados?

    ¿Cuenta con una bitacora que avale dicha revisión?

    ¿En que casos el usuario puede ser removido de su equipo y/o derechos?

    ¿Cuál es su formato para realizar algun cambio o permiso adicional para el


    usuario y recursos compartidos?

    ¿Cuenta usted con políticas de usuario?

    ¿Cuenta usted con una política de contraseñas?


    ¿Cada cuando se cambia la contraseña de usuarios?

    ¿Cómo es el flujo para asignar una permiso a una carpeta compartida?

    ¿Cómo usted restringe a los usuarios para no accesar a recursos que no le


    pertenecen?

    ¿Qué medidas toma para el acceso a conexiones VPN?

    ¿Cómo el empleado solicita acceso VPN?

    ¿Qué medidas de segurirad cuenta el empleado en su equipo de cómputo?

    ¿Cómo evita le ejecución de programas con privilegios de administrador?

    ¿Cómo evista usted la ejecución de software no autorizado y/o aprócrrifo?

    ¿Cada cuando se realiza un revisión de software en los equipos de la emrpesa?

    ¿Cuenta con un sistema de manejo de versiones?

    ¿Cómo se autoriza el acceso al código de nuevos usuarios de desarrollo?

    ¿Cúal es el flujo para la autorización a un nuevo recurso de desarrollo?

    ¿Cuenta usted con controles criptográficos para su información sensible y


    respaldos de seguridad?
    ¿Cuál es el criterio para definir si es necesario o no el uso de herramientas
    criptograficas?

    ¿Cada cuando se realiza una actialización de criptografía en dichos medios?

    ¿Sus volumenes de almancemaniento extraible y equipo de cómputo mobil


    cuentan con seguridad criptografica?
    ¿Cuál es su política de contraseñas de usuarios?
    ¿Cuenta con alguna herrramienta para hacer usar al usuario todas las medidas
    mencionadas en dicha política?
    ¿Cómo el usuario se le da a conocer su contraseña asignada?

    ¿Cada cuando realiza el cambio de contaseña el usuario?

    ¿Existe alguna restricción de intentos no autorizados a las cuentas de usuario?

    ¿Existe la posibilidad de realiza trazabilidad al usuario en caso de destitución o


    baja?
    Evidencia Grado de No conformidad
    Observaciones

    También podría gustarte