1

INSTITUTO TECNOLÓGICO DE LÁZARO CÁRDENAS

ACTIVIDAD 4.1 PREGUNTAS "ÁMBITO DE LA SEGURIDAD ISO 27001".

Por: José Luis Vázquez Pantaleón

Felipe Solorio Pérez
Salvador Enrique Rodríguez Bribiesca
Enrique Luna Ramírez
Noveno Semestre
Materia: Auditoría Informática
Prof. M.C.T.C. Esteban Valdez Ramírez

Lázaro Cárdenas Michoacán, a 29 de octubre del 2011

 2

A 5.1 POLITICA DE SEGURIDAD

A.5.1.1 ¿Existe algún documento donde se plasmen las políticas de seguridad
de la empresa?

A 6.1 ORGANIZACIÓN INTERNA

A.6.1.2 ¿Se coordina la seguridad entre las áreas?
A.6.1.4 ¿Se ha establecido algún proceso para la autorización de recursos de
procesamiento de información?

A.6.1.5 ¿Se establecen acuerdos de confidencialidad?

A.6.1.6 ¿Se mantiene comunicación con las autoridades?
A 10.5 COPIAS DE SEGURIDAD
A.10.5.1 ¿Existe una política de copias de seguridad? Explique.
A.10.5.1 ¿Se realizan copias de seguridad de la información y del software?
A.10.5.1 ¿Cada cuándo se realiza estas copias de seguridad?
A 10.7 MANIPULACION DE LOS SOPORTES
A.10.7.1 ¿Existen procedimientos para la gestión de los soportes extraíbles?

A.10.7.2 Cuando existe alguna Retirada de Soporte ¿Cuál el procedimiento

establecido?

A.10.7.3 ¿Existen procedimientos para la manipulación y el almacenamiento

de la información, de modo que se proteja contra la revelación no autorizada o
el uso indebido?

A.10.7.4 ¿La documentación de los sistemas, se encuentra resguardada en un

lugar seguro, protegida contra accesos no autorizados?

A.10.10 SUPERVISION
A.10.10.1 ¿Tiene establecidos procedimientos para supervisar el uso de los
recursos de procesamiento de la información?
A.10.10.2 ¿Revisa periódicamente los resultados de las actividades de
supervisión?
A.10.10.4 ¿Registra las operaciones del administrador?
A.10.10.4 ¿Registra la operación del sistema?
A.10.10.5 ¿Registra y analiza los fallos para hacer la toma de correcciones
pertinentes?
 3

A.11.6 CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACION

A.11.6.1 ¿El acceso a la información se encuentra restringido al personal de la
empresa?
A. 11.6.2 ¿El control se basa en la política de control de acceso?

A.12.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

A.12.1.1 ¿Especifica los requisitos de los controles de calidad para los nuevos
sistemas de información?
A.12.1.1 ¿Todos los usuarios del sistema están enterados de que deben de
anotar y notificar los puntos débiles en la seguridad?

A 12.2 TRATAMIENTO CORRECTO DE LAS APLICACIONES

A.12.2.1 ¿existen mecanismos para la validación de datos de entrada?
A.12.2.2 ¿existen un control de procesamiento interno?
A.12.2.3 ¿se encuentran identificados los requisitos que permitan la integridad
de los mensajes?
A.12.2.4 ¿existen mecanismos para la validación de datos de entrada?
A.12.2.4 ¿existen mecanismos para la validación de datos de salida?

A 12.3 CONTROLES CRIPTOGRÁFICOS

A.12.3.1 ¿existen políticas para el uso de controles criptográficos?
A.12.3.2 ¿se implementa algún sistema de gestión de claves?

A 12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA

A.12.4.1 ¿Existen procedimientos de control para la instalación de software en
los sistemas operativos?
A.12.4.2 ¿Se cuenta con algún procedimiento especial para protección de los
datos de prueba?
A.12.4.2 ¿Se tiene controlado el acceso al código fuente de los programas?
 4

A 12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

A.12.5.1 ¿Existen procedimientos de control de cambios?
A.12.5.2 ¿Se da una revisión técnica de las aplicaciones después de realizar
modificaciones en el sistema operativo?
A.12.5.3 ¿Se restringen los cambios en los paquetes de software?
A.12.5.4 ¿Existen procedimientos de prevención de fuga de información?
A.12.5.5 ¿Se controla la externalización del desarrollo de software?

A.13.1 NOTIFICACIÓN DE EVENTOS Y PUNTOS DÉBILES DE LA SEGURIDAD

DE LA INFORMACIÓN

A.13.1.1 ¿Es oportuna la comunicación de la información de los eventos y

vulnerabilidades que puede sufrir el sistema?