Hoja1ADMINISTRACION DE SEGURIDAD DE INFORMACION NTP-ISO/IEC 17799 2007REFERENCIAAREA AUDITADA OBJETIVO Y PREGUNTARESULTADOSLISTA DE CHECKESTANDARSECCIONPREGUNTA DE AUDITORIASINOEVIDENCIA OBSERVACIONGESTION DE COMUNICACIN Y OPERACIONES1.110.1PROCEDIMIENTOS Y RESPONSABILIDADES DE OPERACIN 1.1.110.1.1DOCUMENTACION DE PROCEDIMINETOS OPERATIVOSexisten procesos y utilizacin correcta de la informacinprocedimiento para la administracion del sistemaExisten los requesitos de planificacion, incluyendo las interdependencias con otros sistemasprocedimientos para los recursos de comunicacinexisten las instrucciones para manejar errores u otras condiciones excepcionales que puedan ocurrir durante la tarea de ejecucinprocedimientos para procesamiento de informacionexisten los contactos de apoyo en caso de dificultades inesperadas operacionales o tcnicasprocedimientos para los recursos de comunicacinexisten instrucciones especiales de utilizacin de resultados, como el uso de papel especial o la gestin de resultados confidencialesprocedimientos para procesamiento de informacionexiste un plan de seguridad para el reinicio del sistema y los procedimientos de recuperacin a utilizar en caso de fallo del sistema.procedimiento para la administracion del sistemaexiste la gestin de la informacin del rastro de auditoria y del registro de sistema en los documentos de gestionprocedimientos para procesamiento de informacion1.1.210.1.2GESTION DE CAMBIOSexiste la identificacin y registro de cambios significativos.Responsabilidades y procedimientos de gestin de cambios.existe planeamiento y prueba de los cambios.Responsabilidades y procedimientos de gestin de cambios.existe impactos de seguridad para la evaluacin de los posibles impactos de seguridad informes de auditorias existe un procedimiento formal para la aprobacin de los cambios propuestos.Responsabilidades y procedimientos de gestin de cambios. existe la comunicacin de los detalles de cambio a todas las personas que corresponda.responsabilidades y procedimeintos de gestion de cambiosexisten procedimientos que identifiquen las responsabilidades de abortar y recobrarse de los cambios sin xitoresponsabilidades y procedimeintos de gestion de cambios1.1.310.1.3SEGREGACION DE TAREASverificar que si se tiene cuidado de que cualquier persona puede acceder, modificar o utilizar los activos sin autorizacin o sin ser detectadoDocumento de segregacin de tareasverificar que la iniciacin de un evento debe estar separada de su autorizacinDocumento de segregacin de tareasverificar la existencia de la posibilidad de confabulacin es considerada en el diseo de los controles.Documento de segregacin de tareas1.1.410.1.4SEPARACION DE LOS RECURSOS PARA DESARROLLO Y PARA PRODUCCIONexisten reglas de transferencia del software desde un estado de desarrollo al de produccin y estan definidos y documentados.Documento de controles para el nivel de separacin de entornos.comprobar si el software de desarrollo y produccion funcionan en procesadores distintos.Documento de controles para el nivel de separacin de entornos.existen compiladores, editores y otros servicios del sistema no deberan ser accesibles desde los sistemas de produccin, cuando no se necesiten.Documento de controles para el nivel de separacin de entornos.existe un entorno de prueba del sistema operacional.Documento de controles para el nivel de separacin de entornos.comprobar si existen perfiles de usuarios para el uso del sistemas operacionales y de prueba, los menus deben de exhibir mensajes de identificacion apropiados para reducir el riesgo por errorDocumento de controles para el nivel de separacin de entornos.comprobar existen datos sencibles que son copiados en el entorno del sistemaDocumento de controles para el nivel de separacin de entornos.10.2GESTION DE SERVICIOS EXTERNOSSINO 10.2.1SERVICIO DE ENTREGAverificar que el servicio entregado por terceros incluye los arreglos de seguridad acordados, y aspectos de la gestin del serviciodocumento de contratos con terceros sobre seguridadverificar planes realizables designados de la organizacin se asegure que los terceros mantengan una capacidad suficiente para asegurar que los niveles continuos del servicio acordado sean mantenidos siguiendo fallas mayores del servicio o desastreConstancia de capacidad suficiente por parte de terceros.10.2.2MONITOREO Y REVISION DE LOS SERVICIOS EXTERNOSverificar servicio de monitoreo de niveles de funcionamiento para verificar que se adhieran a los acuerdos.Acuerdos firmados con tercerosverifiacar los reportes de revisin de servicio producidos por terceros y que arregle reuniones regulares de progreso como requieran los acuerdosAcuerdos firmados con tercerosverificar la proveecion de informacion de los incidente de seguridad de informacion y revicion de esta informacion por terceros, pautas de apoyo y procedimientos.procedimientos en caso de deficiencias en el servicio entregadose ha realizado la revision de los acuerdos y los rastros de intervencin de los eventos de seguridad, problemas operacionales, fallas, trazabilidad de faltas e interrupciones relacionadas con el servicio entregado.Acuerdos firmados con tercerosverificar si se ha resuelto el de manejado cualquier problema identificadoprocedimientos en caso de deficiencias en el servicio entregadocomprobar la responsabilidad para manejar las relaciones con un tercero es asignado a un individuo designado o a un equipo de gestin de servicio.Acuerdos firmados con tercerosconstatar que la organizacin asegure que los proveedores externos asignen responsabilidades para verificar la conformidad y el cumplimiento de los requisitos de los acuerdosAcuerdos firmados con tercerosconstatar la disponibilidad de habilidades y recursos suficientes para monitorear los requisitos de los acuerdosprocedimientos en caso de deficiencias en el servicio entregadoverificar si se han tomado acciones apropiadas cuando se observan deficiencias en el servicio entregadoprocedimientos en caso de deficiencias en el servicio entregadoverificar el mantenimiento de un control y una visin general suficiente en todos los aspectos para informacin sensible o crtica o a los recursos del procesamiento de informacin accedidosprocedimientos en caso de deficiencias en el servicio entregado10.2.3GESTIONANDO CAMBIOS PARA LOS SERVICIOS EXTERNOSDocumento de gestin de servicios externos.verificar si existe realce en el actual servicio ofrecido.Documento de poltica de seguridad de informacin.verificar el desarrollo una aplicacin o sistema nuevo.Documento de poltica de seguridad de informacin.verificar modificaciones o actualizaciones de las polticas y procedimientos organizacionales.Documento de poltica de seguridad de informacin.existen nuevos controles para resolver incidentes en la seguridad de informacin y para mejorar la seguridad.Documento de poltica de seguridad de informacin.verificar cambios realizados y realce en las redes.Documento de poltica de seguridad de informacin.verificar el uso de nuevas tecnologas.Documento de poltica de seguridad de informacin.verificar la adopcin de nuevos productos o versiones o lanzamientos nuevos.Documento de poltica de seguridad de informacin.verificar si se ha implementado nuevas herramientas y ambientes de desarrolloDocumento de poltica de seguridad de informacin.verificar se ha realizado cambios en la locacin fsica de los recursos de servicio.Documento de poltica de seguridad de informacin.10.3PLANIFICACION Y ACEPTACION DEL SISTEMA10.3.1PLANIFICACION DE LA CAPACIDADcomprobar que se identifican los requisitos de capacidad para cada actividad que se est llevando a cabo o para cada actividad nuevadocumento de implementacion de controles de deteccionverificar que se aplicar el monitoreo de los sistemas.documento de implementacion de controles de deteccioncomprobar la instalacin de controles de deteccin para detectar los problemas en un tiempo debido.documento de implementacion de controles de deteccionverificar que la gerencia monitorea la utilizacin de los recursos claves del sistemadocumento de implementacion de controles de deteccionverificar que se identifica las tendencias de uso, particularmente relativas a las aplicaciones del negocio o las herramientas de administracin de sistemas de informacinReportes de tendencias de usoconstatar que los administradores usan las tendencias de uso para identificar y evitar posibles cuellos de botella que puedan representar una amenazaReportes de tendencias de uso10.3.2ACEPTACION DEL SISTEMAverificar que los requisitos y criterios de aceptacin de los nuevos sistemas estn claramentes definidos, acordados, documentados y probadosDocumento de criterios de aceptacin del sistemaConstatar que los nuevos sistemas, actualizaciones y las nuevas versiones son migradas a produccin solamente despus de obtener una aceptacin formal.Documentos de requisitos de aceptacin del sistema.comprobar los requisitos de rendimiento y capacidad de los computadores.Documentos de requisitos de aceptacin del sistema.comprobar los procedimientos de recuperacin de errores y reinicio, as como los planes de contingencia.documento de controles contra software maliciosocomprobar la preparacin y prueba de procedimientos operativos de rutina segn las normas definidas.politicas de seguridad contra software maliciosocomprobar conjunto acordado de controles y medidas de seguridad instalados.politicas de seguridad contra software maliciosocomprobar manual de procedimiento eficaz.Documentos de requisitos de aceptacin del sistema.comprobar plan de continuidad del negocio como se requiere en el inciso 11.1.politicas de seguridad contra software maliciosocomprobar las evidencias de que la instalacin del nuevo sistema no producir repercusiones negativas sobre los existentes, particularmente en los tiempos con pico de proceso como a fin de mes.Documentos de requisitos de aceptacin del sistema.comprobar la evidencia de que se ha tenido en cuenta el efecto que tendr el nuevo sistema en la seguridad global de la organizacin.Documentos de requisitos de aceptacin del sistema.comprobar la formacin en la produccin o utilizacin de los sistemas nuevos.Documentos de requisitos de aceptacin del sistema.comprobar la facilidad de empleo, como este afecta el funcionamiento del usuario y evita los errores humanos.documento de controles contra software maliciosocomprobar que si se realizaron pruebas apropiadas para confirmar que estn satisfechas completamente todos los criterios de aceptacindocumento de conformidad

Hoja2

Hoja3