ISO 27001 Compliance Checklist
Referencia Checklist
Estandar
Area de Auditoría, objectivo y pregunta Pregunta de Auditoría
Sección
Resultado Observaciones
Estado (%)
Política de Seguridad 1.1
5.1
1.1.1
Políticas de Seguridad de Información
5.1.1
1.1.2
5 .1 .1 .2 .2
Documento de la Política de Seguridad de Información
Re vi vi si si ón ón d e l a Po lílí ti ti ca ca d e S eg egu ri ri da da d
Existe una Política de Seguridad de la Información, que es aprobada por la dirección, publicada y comunicada según proceda, a todos los empleados? Establecen las políticas un compromiso de las Gerencias con relación al método de la organización para la gestión de la seguridad de la información? Las políticas de seguridad son revisadas a intervalos regulares, o cuando hay cambios significativos para asegurar la adecuación y efectividad? Las políticas de Seguridad de la Información tiene un propietario, que ha aprobado la responsabilidad de la gestión para el desarrollo, revisión y evaluación de la política de seguridad?
Administrador de Seguridad, CISO (Chief Information Security Officer) o CSO (Chief Security Officer).
Existen procedimientos de revisión de las políticas de Revisión Anual o cada vez seguridad y estos incluyen requerimientos para el que haya cambios manejo de su revisión? importantes Los resultados del revisión de la gestión son tenidos en cuenta? Se obtiene la aprobación de la alta gerencia con relació a las políticas revisadas?
Organization de la Seguridad de Información 2.1
6.1
2.11
2.1.2
6.11
Gestión de Compromiso con la Seguridad de Información
6.1.2
Coordinación de la Seguridad de Información
Vinod Kumar
[email protected]
Si la gerencia demuestra soporte activo a las medidas de seguridad dentro de la organización. Esto puede ser realizado por direcciones claras, compromiso demostrado, asignaciones explícitas y conocimiento de las responsabilidades de la seguridad de información. Si las actividades de seguridad de información son coordinadas por representantes de distintas partes de la organización, con sus roles pertinentes y responsabilidades.
Page 1
ISO 27001 Compliance Checklist
2.2
2.1.3
6.1.3
2.1.4
6.1.4
2.1.5
6.1.5
2.1.6
6.1.6
2.1.7
6.1.7
2.1.8
6.1.8 6.2
Están establecidas las responsabilidades de protección de activos individuales y llevar a cabo procesos de seguridad específicos que estén claramente identificados y definidos? Si el proceso de gestión de autorización está definido e Proceso de autorizacion de instalaciones implementado para cada nuevo equipo de procesamiento de información dentro de la de Procesamiento de Información organización. Si la organización necesita de confidencialidad o Hacer firmar acuerdos de Acuerdos de no Divulgación para protección de confidencialidad a los información que estén claramente definidos y empleados. revisados periódicamente. Acuerdos de Confidencialidad ¿Tiene esta dirección la exigencia de proteger la información confidencial utilizando términos legales exigibles? Existe algún procedimiento que describa cuando y quienes deben contactar a las autoridades Contacto con las Autoridades competentes, departamento de bomberos, etc y cómo deben reportarse los incidentes? Participación en Existen los contactos apropiados con grupos especiales colectividades o asociaciones Contacto con Grupos de Intereses de interés, foros de seguridad o a sociaciones de seguridad para estar Especiales profesionales relacionadas con la seguridad? actualizado Tiene la organización un enfoque sobre la gestión de la seguridad de información, su implementación, revisión Revisión Independiente sobre la independiente a intervalos regulares o cuando ocurran Seguridad de Información cambios significativos? Partes Externas Los riesgos inherentes a equipos o sistemas de Asignación de Responsabilidades de Seguridad de Información
8/7/2012
ISO 27001 Compliance Checklist
2.1.3
6.1.3
2.1.4
6.1.4
2.1.5
6.1.5
2.1.6
6.1.6
2.1.7
6.1.7
2.1.8
6.1.8
2.2
6.2
2.2.1
6.2.1
2.2.2
6.2.2
Están establecidas las responsabilidades de protección de activos individuales y llevar a cabo procesos de seguridad específicos que estén claramente identificados y definidos? Si el proceso de gestión de autorización está definido e Proceso de autorizacion de instalaciones implementado para cada nuevo equipo de procesamiento de información dentro de la de Procesamiento de Información organización. Si la organización necesita de confidencialidad o Hacer firmar acuerdos de Acuerdos de no Divulgación para protección de confidencialidad a los información que estén claramente definidos y empleados. revisados periódicamente. Acuerdos de Confidencialidad ¿Tiene esta dirección la exigencia de proteger la información confidencial utilizando términos legales exigibles? Existe algún procedimiento que describa cuando y quienes deben contactar a las autoridades Contacto con las Autoridades competentes, departamento de bomberos, etc y cómo deben reportarse los incidentes? Participación en Existen los contactos apropiados con grupos especiales colectividades o asociaciones Contacto con Grupos de Intereses de interés, foros de seguridad o a sociaciones de seguridad para estar Especiales profesionales relacionadas con la seguridad? actualizado Tiene la organización un enfoque sobre la gestión de la seguridad de información, su implementación, revisión Revisión Independiente sobre la independiente a intervalos regulares o cuando ocurran Seguridad de Información cambios significativos? Partes Externas Los riesgos inherentes a equipos o sistemas de Identificación de los riesgos relacionados información de terceros son identificados y luego implementadas medidas de control apropiadas antes con partes externas de permitir el acceso? Son identificados todos los requerimientos de Abordar la seguridad al tratar con los seguridad sean cumplidos antes de conceder acceso a clientes los clientes a los activos de la organización? Asignación de Responsabilidades de Seguridad de Información
Vinod Kumar
[email protected]
Page 2
8/7/2012
ISO 27001 Compliance Checklist
2.2.3
6.2.3
Abordar la seguridad en acuerdos con terceros
Los acuerdos con terceros i ncluyen accesos, procesamiento, comunicaciones, manejo de la información o equipos que involucren almacenamiento de información que cumplan con todos los requerimientos de seguridad?
Administración de Activos 3.1
7.1
Responsibilidad por Activos
3.1.1
7.1.1
Inventario de Activos
3.1.2
7.1.2
Propiedad de Activos
3.1.3
7.1.3
Uso aceptable de Activos
3.2
3.2.1
7.2.1
Directrices de Clasificación
3.2.2
7.2.2
Etiquetado y manejo de información
81
Son identificadas, documentadas e implementadas todas las regulaciones existentes con respecto al uso aceptable de información y activos asociados con el procesamiento de información?
Clasificación de la Información
7.2
Seguridad de Recursos Humanos 41
Son los activos debidamente identificados e Hardware, Software e inventariados o se mantiene un registro de los activos Información (PO2.3 Cobit) importantes? Los activos tienen identificados a sus respectivos propietarios y definidas con ellos clasificaciones de datos y restricciones de acceso en base a la criticidad, y estas restricciones revisadas periodicamente?
Previo al Empleo
La información es clasificada en terminos de su valor, requerimientos legales, sensibilidad y criticidad para la organización? Son definidos conjuntos de procedimientos para etiquetado y manejo de la información en concordancia con el esquema de clasificación atoptado por la organización?
LOPD o similares.
ISO 27001 Compliance Checklist
2.2.3
6.2.3
Abordar la seguridad en acuerdos con terceros
Los acuerdos con terceros i ncluyen accesos, procesamiento, comunicaciones, manejo de la información o equipos que involucren almacenamiento de información que cumplan con todos los requerimientos de seguridad?
Administración de Activos 3.1
7.1
Responsibilidad por Activos
3.1.1
7.1.1
Inventario de Activos
3.1.2
7.1.2
Propiedad de Activos
3.1.3
7.1.3
Uso aceptable de Activos
3.2
Son los activos debidamente identificados e Hardware, Software e inventariados o se mantiene un registro de los activos Información (PO2.3 Cobit) importantes? Los activos tienen identificados a sus respectivos propietarios y definidas con ellos clasificaciones de datos y restricciones de acceso en base a la criticidad, y estas restricciones revisadas periodicamente? Son identificadas, documentadas e implementadas todas las regulaciones existentes con respecto al uso aceptable de información y activos asociados con el procesamiento de información?
LOPD o similares.
Clasificación de la Información
7.2
3.2.1
7.2.1
Directrices de Clasificación
3.2.2
7.2.2
Etiquetado y manejo de información
La información es clasificada en terminos de su valor, requerimientos legales, sensibilidad y criticidad para la organización? Son definidos conjuntos de procedimientos para etiquetado y manejo de la información en concordancia con el esquema de clasificación atoptado por la organización?
Seguridad de Recursos Humanos 4.1
Previo al Empleo
8.1
4.1.1
8.1.1
Están claramente definidos y documentados de acuerdo a las políticas de seguridad de información de la organización los roles y responsabilidades de los empleados, contratistas y terceros?
Roles y Responsabilidades
Son los roles y responsabilidades definidos previamente, comunicados claramente a los candidatos a empleo durante el proceso de pre empleo?
Vinod Kumar
[email protected]
Page 3
ISO 27001 Compliance Checklist
4.1.2
8.1.2
4.1.3
4.2
4.3
8.1.3
Proyección
Términos y condiciones de empleo
Incluye la verificación referencias sobre el carácter, confirmación de titulos académicos, cualidades profesionales y chequeos independientes de identidad? Son firmados con los empleados, contratistas y Art. 65 inciso "k" del Código terceros, contratos de confidencialidad y acuerdos de Laboral. Artículos 147 y 149 no divulgación como parte inicial de los términos y del Código Penal - Paraguay. condiciones de contratos de trabajo? Estos acuerdos y contratos cubren las responsabilidades de seguridad de información de la organización, los empleados, contratistas y terceros?
Durante el Empleo
8.2
4.2.1
8.2.1
Administración de Responsabilidades
4.2.2
8.2.2
Sensibilización, educación y formación sobre la Seguridad de la Información
4.2.3
8.2.3
Proceso Disciplinario
8.3
Los controles de verificación de antecedentes para todos los candidatos a empleo, contratistas y terceros, son llevados a cabo de acuerdo a las regulaciones relevantes?
La gestión requiere a los empleados, contratistas y terceros a que apliquen la seguridad en concordancia con las Políticas y Procedimientos establecidos en l a Organización? Los empleados, contratistas y terceros reciben la apropiada sensibilización, educación y formación permanente sobre la Seguridad de Información con respecto a sus funciones laborales específicas? Existe un proceso disciplinario para aquellos empleados que incumplen las políticas de seguridad?
Terminación o Cambio de Empleo
Las responsabilidades de procedimiento de
8/7/2012
ISO 27001 Compliance Checklist
4.1.2
8.1.2
4.1.3
4.2
8.1.3
Los controles de verificación de antecedentes para todos los candidatos a empleo, contratistas y terceros, son llevados a cabo de acuerdo a las regulaciones relevantes?
Proyección
Términos y condiciones de empleo
Durante el Empleo
8.2
4.2.1
8.2.1
Administración de Responsabilidades
4.2.2
8.2.2
Sensibilización, educación y formación sobre la Seguridad de la Información
4.2.3
8.2.3
Proceso Disciplinario
4.3
8.3
La gestión requiere a los empleados, contratistas y terceros a que apliquen la seguridad en concordancia con las Políticas y Procedimientos establecidos en l a Organización? Los empleados, contratistas y terceros reciben la apropiada sensibilización, educación y formación permanente sobre la Seguridad de Información con respecto a sus funciones laborales específicas? Existe un proceso disciplinario para aquellos empleados que incumplen las políticas de seguridad?
Terminación o Cambio de Empleo
4.3.1
8.3.1
4.3.2
8.3.2
4.3.3
Incluye la verificación referencias sobre el carácter, confirmación de titulos académicos, cualidades profesionales y chequeos independientes de identidad? Son firmados con los empleados, contratistas y Art. 65 inciso "k" del Código terceros, contratos de confidencialidad y acuerdos de Laboral. Artículos 147 y 149 no divulgación como parte inicial de los términos y del Código Penal - Paraguay. condiciones de contratos de trabajo? Estos acuerdos y contratos cubren las responsabilidades de seguridad de información de la organización, los empleados, contratistas y terceros?
8.3.3
Las responsabilidades de procedimiento de terminación o cambio de empleo están claramente definidas y asignadas? Existe un procedimiento a seguir con respecto a asegurar que los empleados, contratistas y terceros Retorno de activos devuelvan los activos de la organización que estén en su poder al terminar el contrato de empleo? Son removidos los derechos de acceso de todos los empleados, contratistas y terceros a los sistemas de Remoción de Derechos de Acceso Lógico información al termino de empleo o adecuación en caso de que cambien de función? Responsabilidades de Terminación
Vinod Kumar
[email protected]
Eliminar todos los usuarios al salir un empleado o cuando cambia de puesto.
Page 4
ISO 27001 Compliance Checklist
222+A59 5.1
Areas Seguras
9.1
5.1.1
9.1.1
5.1.2
9.1.2
5.1.3
9.1.3
5.1.4
9.1.4
Existen mecanismos de control de acceso implementados con respecto al acceso a los sitios de procesamiento de información? Algunos ejemplos son Perímetro de Seguridad Física controles biométricos, tarjetas de acceso, separación por muros, control de visitantes, etc. Existen controles de acceso de tal modo a que solo las personas autorizadas puedan ingresar a las distintas Controles Físicos de Entrada areas de la organización? Las salas de servidores u otros equipos de procesamiento (routers, switches, etc.), están Aseguramiento de Oficinas, Salas de apropiadamente resguardadas bajo llave o en cabinas Servidores e Instalaciones con llave? Se tienen implementadas protecciones o resguardos contra fuego, inundaciones, temblores, explosiones, manifestaciones y otras formas de desastres naturales o Protección contra Amenazas Exteriores y provocadas por el hombre? Ambientales/Climáticas
5.1.5
9.1.5
Trabajando en Areas Seguras
5.1.6
9.1.6
Zonas de Acceso Público, Entrega y Descarga
Verificar locales de posibles Existe alguna amenaza potencial en los locales vecinos problemas en las cercanías en del lugar donde se encuentran las i nstalaciones? caso de conflictos. Se tienen procedimientos designados e implementados sobre como trabajar en las areas seguras? Con respecto a las zonas de acceso público, entrega, descarga donde personas no autorizadas pueden acceder, las zonas de procesamiento de información y equipos delicados son aislados y asegurados para prevenir el acceso no autorizado?
8/7/2012
ISO 27001 Compliance Checklist
222+A59 5.1
Areas Seguras
9.1
5.1.1
9.1.1
5.1.2
9.1.2
5.1.3
9.1.3
5.1.4
9.1.4
Existen mecanismos de control de acceso implementados con respecto al acceso a los sitios de procesamiento de información? Algunos ejemplos son Perímetro de Seguridad Física controles biométricos, tarjetas de acceso, separación por muros, control de visitantes, etc. Existen controles de acceso de tal modo a que solo las personas autorizadas puedan ingresar a las distintas Controles Físicos de Entrada areas de la organización? Las salas de servidores u otros equipos de procesamiento (routers, switches, etc.), están Aseguramiento de Oficinas, Salas de apropiadamente resguardadas bajo llave o en cabinas Servidores e Instalaciones con llave? Se tienen implementadas protecciones o resguardos contra fuego, inundaciones, temblores, explosiones, manifestaciones y otras formas de desastres naturales o Protección contra Amenazas Exteriores y provocadas por el hombre? Ambientales/Climáticas
5.1.5
9.1.5
Trabajando en Areas Seguras
5.1.6
9.1.6
Zonas de Acceso Público, Entrega y Descarga
5.2
Verificar locales de posibles Existe alguna amenaza potencial en los locales vecinos problemas en las cercanías en del lugar donde se encuentran las i nstalaciones? caso de conflictos. Se tienen procedimientos designados e implementados sobre como trabajar en las areas seguras? Con respecto a las zonas de acceso público, entrega, descarga donde personas no autorizadas pueden acceder, las zonas de procesamiento de información y equipos delicados son aislados y asegurados para prevenir el acceso no autorizado?
Equipamiento de Seguridad
9.2
5.2.1
9.2.1
Equipamiento y Protección del Sitio
5.2.2
9.2.2
Utilidades Soportadas
Vinod Kumar
[email protected]
Los equipos son protegidos para reducir los riesgos de daños ambientales y oportunidades de acceso no autorizado? Los equipos son protegidos contra fallas eléctricas y otras fallas que pudieran tener (redundancia)? Que mecanismos de protección eléctrica son utilizados? Alimentación multiple, UPS, generador de backup, etc?
Page 5
8/7/2012
ISO 27001 Compliance Checklist
5.2.3
9.2.3
Cableado de Seguridad
5.2.4
9.2.4
Mantenimiento de Equipos
5.2.5
9.2.5
Aseguramiento de Equipos fuera de las Oficinas
Los cables de suministro eléctrico y comunicaciones son debidamente protegidos contra intercepción y/o daños? Existen controles adicionales de seguridad con respecto al transporte de información crítica? Por ej. Encriptado en las comunicaciones. Se realiza mantenimiento periódico de los equipos de modo a asegurar la continua disponibilidad e integridad? En la realización de mantenimientos, son respetados los intervalos y recomendaciones de los fabricantes? Los mantenimientos son realizados unicamente por personal capacitado y autorizado? Los logs de alertas de los equipos, son revisados periodicamente para detectar y corregir posibles fallas en los mismos? (principalmente fallas en discos) Se aplican los controles adecuados cuando se envían los equipos fuera de la organización? Todos los equipos están cubiertos por pólizas de seguro y los requerimientos de la Compañía de Seguros están apropiadamente realizados? Existen mecanismos de control y mitigación de riesgos implementados con relación a equipos utilizados fuera de la organización? (encripción de discos de las notebooks, seguro, etc.) En caso de utilización de equipos fuera de la organización, estos cuentan con la autorización respectiva de las gerencias?
No deben contener información confidencial.
Utilizar encripción de los datos de las notebooks (Truecrypt es gratuito y muy bueno)
ISO 27001 Compliance Checklist
5.2.3
9.2.3
Cableado de Seguridad
5.2.4
9.2.4
Mantenimiento de Equipos
Los cables de suministro eléctrico y comunicaciones son debidamente protegidos contra intercepción y/o daños? Existen controles adicionales de seguridad con respecto al transporte de información crítica? Por ej. Encriptado en las comunicaciones. Se realiza mantenimiento periódico de los equipos de modo a asegurar la continua disponibilidad e integridad? En la realización de mantenimientos, son respetados los intervalos y recomendaciones de los fabricantes? Los mantenimientos son realizados unicamente por personal capacitado y autorizado? Los logs de alertas de los equipos, son revisados periodicamente para detectar y corregir posibles fallas en los mismos? (principalmente fallas en discos) Se aplican los controles adecuados cuando se envían los equipos fuera de la organización?
5.2.5
9.2.5
Aseguramiento de Equipos fuera de las Oficinas
5.2.6
9.2.6
Disposiciones de Seguridad de Reutilización de Equipos
5.2.7
9.2.7
Autorizaciones de Sacar Equipos
Todos los equipos están cubiertos por pólizas de seguro y los requerimientos de la Compañía de Seguros están apropiadamente realizados? Existen mecanismos de control y mitigación de riesgos implementados con relación a equipos utilizados fuera de la organización? (encripción de discos de las notebooks, seguro, etc.) En caso de utilización de equipos fuera de la organización, estos cuentan con la autorización respectiva de las gerencias? Cuando se disponga la reutilización de equipos o cuando sean dados de baja, son verificados los medios de almacenamiento con respecto a datos y software licenciado y luego destruidos totalmente antes de su entrega? Existen controles implementados con respecto a que ningún equipo, información y software sea sacado de la organización sin la autorización respectiva?
No deben contener información confidencial.
Utilizar encripción de los datos de las notebooks (Truecrypt es gratuito y muy bueno)
Gestión de Comunicaciones y Operaciones 6.1
Procedimientos y Responsabilidades Operativas
10.1
Vinod Kumar
[email protected]
Page 6
8/7/2012
ISO 27001 Compliance Checklist
6.1.1
10.1.1
6.1.2
10.1.2
6.1.3
10.1.3
6.1.4
10.1.4
6.2
10.2
6.2.1
10.2.1
6.2.2
10.2.2
Los procedimientos operativos son documentados, actualizados y están disponibles para todos los Documentación de Procedimientos usuarios que puedan necesitarlos? Dichos procedimientos son tratados como documentos Operativos formales y cualquier cambio en los mismos necesita la autorización pertinente? Son controlados todos los cambios en los sistemas y Manejo de Cambios equipos de procesamiento de información? Son separadas las tareas y responsabilidades de modo a reducir las oportunidades de modificación o mal uso Segregación de Tareas de los sistemas de información? Los equipos de desarrollo y pruebas están separados de los equipos operacionales? Por ejemplo desarrollo Separación de desarrollo, test e de software debe estar en un equipo separado del de instalaciones operativas producción. Cuando sea necesario, incluso deben estar en segmentos de red distintos unos del otro. Manejo de Entrega de Servicios Tercerizados Existen medidas que son tomadas para asegurar que los controles de seguridad, niveles de servicio y entrega sean incluidos y verificados en l os contratos de Entrega de Servicios servicios con terceros, así como su revisión periódica de cumplimiento? Son los servicios, reportes y registros proveídos por teceros regularmente monitoreados y revisados? Monitoreo y revisión de servicios Existen controles de auditoría que son realizados a tercerizados intervalos regulares sobre los servicios, reportes y registros suministrados por terceros? Se gestionan los cambios en la provisión de servicios,
Separar ambientes y ponerlos en VLANes distintas que no se vean entre sí. Los datos de desarrollo deben ser ilegibles.
ISO 27001 Compliance Checklist
6.1.1
10.1.1
6.1.2
10.1.2
6.1.3
10.1.3
6.1.4
10.1.4
6.2
10.2
6.2.1
10.2.1
6.2.2
10.2.2
6.2.3
10.2.3
6.3
10.3
Vinod Kumar
[email protected]
Los procedimientos operativos son documentados, actualizados y están disponibles para todos los Documentación de Procedimientos usuarios que puedan necesitarlos? Dichos procedimientos son tratados como documentos Operativos formales y cualquier cambio en los mismos necesita la autorización pertinente? Son controlados todos los cambios en los sistemas y Manejo de Cambios equipos de procesamiento de información? Son separadas las tareas y responsabilidades de modo a reducir las oportunidades de modificación o mal uso Segregación de Tareas de los sistemas de información? Los equipos de desarrollo y pruebas están separados de los equipos operacionales? Por ejemplo desarrollo Separación de desarrollo, test e de software debe estar en un equipo separado del de instalaciones operativas producción. Cuando sea necesario, incluso deben estar en segmentos de red distintos unos del otro. Manejo de Entrega de Servicios Tercerizados Existen medidas que son tomadas para asegurar que los controles de seguridad, niveles de servicio y entrega sean incluidos y verificados en l os contratos de Entrega de Servicios servicios con terceros, así como su revisión periódica de cumplimiento? Son los servicios, reportes y registros proveídos por teceros regularmente monitoreados y revisados? Monitoreo y revisión de servicios Existen controles de auditoría que son realizados a tercerizados intervalos regulares sobre los servicios, reportes y registros suministrados por terceros? Se gestionan los cambios en la provisión de servicios, incluyendo mantenimiento y la mejora en las políticas Manejo de Cambios de servicios de seguridad de información existentes, tercerizados procedimientos y controles? Se tienen en cuenta sistemas de negocio críticos, procesos involucrados y re-evaluación de riesgos? Planeamiento y Aceptación de Sistemas
Page 7
ISO 27001 Compliance Checklist
6.3.1
10.3.1
6.3.2
10.3.2
6.4
10.4
6.4.1
10.4.1
6.4.2
10.4.2
La capacidad de procesamiento de lo s sistemas son monitoreados en base a la demanda y proyectados en base a requerimientos futuros, de modo a a segurar que la capacidad de proceso y al macenamiento estén Gestión de la Capacidad disponibles? Ejemplo: Monitoreo de espacio en disco, Memoria RAM, CPU en los servidores críticos. Son establecidos criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas Aceptación de Sistemas versiones? Son realizadas pruebas antes de la aceptación de los mismos? Protección contra código malicioso y móvil Existen controles para detección, prevención y recuperado contra código malicioso y son Controles contra código malicioso desarrollados e implementados procedimientos apropiados de advertencia a lo s usuarios? En caso de necesitarse código móvil, este solo debe utilizarse una vez que haya sido autorizado. Las configuraciones del código móvil autorizado deben realizarse y operarse de acuerdo a las Políticas de Seguridad. La ejecución del código móvil no autorizado, debe prevenirse. Controles contra código movil (Código Móvil es código de software que se transfiere de una computadora a otra y que se ejecuta automáticamente. Realiza una función específica con muy poca o casi ninguna intervención del usuario. El código móvil está asociado a un gran número de servicios de middleware)
Separar ambientes y ponerlos en VLANes distintas que no se vean entre sí. Los datos de desarrollo deben ser ilegibles.
8/7/2012
ISO 27001 Compliance Checklist
6.3.1
10.3.1
6.3.2
10.3.2
6.4
10.4
6.4.1
10.4.1
6.4.2
10.4.2
6.5
10.5
6.5.1
6.6
La capacidad de procesamiento de lo s sistemas son monitoreados en base a la demanda y proyectados en base a requerimientos futuros, de modo a a segurar que la capacidad de proceso y al macenamiento estén Gestión de la Capacidad disponibles? Ejemplo: Monitoreo de espacio en disco, Memoria RAM, CPU en los servidores críticos. Son establecidos criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas Aceptación de Sistemas versiones? Son realizadas pruebas antes de la aceptación de los mismos? Protección contra código malicioso y móvil Existen controles para detección, prevención y recuperado contra código malicioso y son Controles contra código malicioso desarrollados e implementados procedimientos apropiados de advertencia a lo s usuarios? En caso de necesitarse código móvil, este solo debe utilizarse una vez que haya sido autorizado. Las configuraciones del código móvil autorizado deben realizarse y operarse de acuerdo a las Políticas de Seguridad. La ejecución del código móvil no autorizado, debe prevenirse. Controles contra código movil (Código Móvil es código de software que se transfiere de una computadora a otra y que se ejecuta automáticamente. Realiza una función específica con muy poca o casi ninguna intervención del usuario. El código móvil está asociado a un gran número de servicios de middleware) Copias de Respaldo
10.5.1
Se realizan copias de respaldo de la información y software y son testeados regularmente en conconrdancia con las políticas de backup? Toda la información y el software esencial puede ser recuperado en caso de ocurrencia de un desastre o fallo Ver donde se va a recuperar de medios? el backup en caso de desastre.
Respaldo de la Información
Administración de la Seguridad de la Red
10.6
Vinod Kumar
[email protected]
Page 8
ISO 27001 Compliance Checklist
6.6.1
10.6.1
6.6.2
6.7
10.6.2
10.7
Controles de Red
Seguridad en los Servicios de Red
La red es adecuadamente administrada y controlada para protegerse de tretas y en orden a mantener la seguridad de los sistemas y aplicaciones en uso a traves de la red, incluyendo la información en transito? Existen controles implementados para asegurar el transito de la información en la red y evitar que esta sea leída o accesada de forma no autorizada? Las características de seguridad, niveles de servicio y requerimientos de administración de todos los servicios de red son identificados e incluidos en cualquier acuerdo de servicio de red? La capacidad del proveedor de servicios de red de proporcionar los servicios de forma segura, es determinada y regularmente monitoreada y se tienen derechos de auditoría acordada para medir niveles de servicio?
Manejo de Medios
6.7.1
10.7.1
Manejo de medios removibles
6.7.2
10.7.2
Disposición de los medios
6.7.3
10.7.3
Procedimientos de manejo de la información
Existen procedimientos para el manejo de medios removibles como cintas, diskettes, tarjetas de memoria, lectores de CD, pendrives, etc.? Los procedimientos y niveles de autorización están claramente definidos y documentados? En caso de que los medios ya no sean requeridos, estos son eliminados de forma segura bajo procedimientos formalmente establecidos? Existen procedimientos para el manejo del almacenamiento de la información? Aborda este procedimiento temas como: protección de
8/7/2012
ISO 27001 Compliance Checklist
6.6.1
10.6.1
6.6.2
6.7
10.6.2
10.7
La red es adecuadamente administrada y controlada para protegerse de tretas y en orden a mantener la seguridad de los sistemas y aplicaciones en uso a traves de la red, incluyendo la información en transito?
Controles de Red
Seguridad en los Servicios de Red
Manejo de Medios
6.7.1
10.7.1
Manejo de medios removibles
6.7.2
10.7.2
Disposición de los medios
6.7.3
10.7.3
Procedimientos de manejo de la información
6.7.4
10.7.4
6.8
10.8
6.8.1
Existen controles implementados para asegurar el transito de la información en la red y evitar que esta sea leída o accesada de forma no autorizada? Las características de seguridad, niveles de servicio y requerimientos de administración de todos los servicios de red son identificados e incluidos en cualquier acuerdo de servicio de red? La capacidad del proveedor de servicios de red de proporcionar los servicios de forma segura, es determinada y regularmente monitoreada y se tienen derechos de auditoría acordada para medir niveles de servicio?
10.8.1
Seguridad en la Documentación de los Sistemas Intercambio de Información
Políticas y Procedimientos de intercambio de información
Vinod Kumar
[email protected]
Existen procedimientos para el manejo de medios removibles como cintas, diskettes, tarjetas de memoria, lectores de CD, pendrives, etc.? Los procedimientos y niveles de autorización están claramente definidos y documentados? En caso de que los medios ya no sean requeridos, estos son eliminados de forma segura bajo procedimientos formalmente establecidos? Existen procedimientos para el manejo del almacenamiento de la información? Aborda este procedimiento temas como: protección de la información contra acceso no autorizado o mal uso? La documentación de los sistemas está protegida contra acceso no autorizado? Existe una política formal, procedimientos y/o controles aplicados para asegurar la protección a la información? Estos procedimientos y controles cubren el uso de equipos de comunicación electrónica en el intercambio de información?
Page 9
ISO 27001 Compliance Checklist
6.8.2
10.8.2
Acuerdos de Intercambio
6.8.3
10.8.3
Medios físicos en transito
6.8.4
10.8.4
Mensajería Electrónica
6.8.5
10.8.5
Sistema de información empresarial
6.9
10.9
6.9.1
Existen acuerdos de intercambio de información y software entre la organización y partes externas? El contenido de los acuerdos con respecto a la seguridad refleja la sensibilidad y criticidad de la información de negocio envuelta en el proceso? Los medios físicos que contengan información es protegida contra acceso no autorizado, mal uso o corrupción de datos durante el transporte entre la s organizaciones? La información que se envía por mensajería electrónica Correos importantes que van es bien protegida? afuera deben ser encriptados (Mensajería Electrónica incluye pero no es restringida GPG, y lo demás por VPNs. solamente a email, intercambio electrónico de datos, mensajería instantanea, etc.) Las políticas y procedimientos son desarrolladas y tendientes a fortalecer la protección de información asociada con la interconexión de sistemas de negocio?
Servicios de Comercio Electrónico
10.9.1
Comercio Electrónico
La información envuelta en el comercio electrónico No permitir conexiones a cruza a través de redes publicas y está protegida contra través de redes públicas sin actividades fraudulenteas, posibles disputas encripción. contractuales o cualquier acceso no autorizado que permita lectura o manipulación de esos da tos? En los controles de seguridad son tenido s en cuenta la aplicación de controles criptográficos? El comercio electrónico entre los socios comerciales incluyen un acuerdo, que compromete a ambas partes a la negociación de los términos convenidos, incluidos
8/7/2012
ISO 27001 Compliance Checklist
6.8.2
10.8.2
Acuerdos de Intercambio
6.8.3
10.8.3
Medios físicos en transito
6.8.4
10.8.4
Mensajería Electrónica
6.8.5
10.8.5
Sistema de información empresarial
6.9
10.9
6.9.1
Servicios de Comercio Electrónico
10.9.1
Comercio Electrónico
6.9.2
10.9.2
Transacciones On-line
6.9.3
10.9.3
Información disponible públicamente
6.10
Existen acuerdos de intercambio de información y software entre la organización y partes externas? El contenido de los acuerdos con respecto a la seguridad refleja la sensibilidad y criticidad de la información de negocio envuelta en el proceso? Los medios físicos que contengan información es protegida contra acceso no autorizado, mal uso o corrupción de datos durante el transporte entre la s organizaciones? La información que se envía por mensajería electrónica Correos importantes que van es bien protegida? afuera deben ser encriptados (Mensajería Electrónica incluye pero no es restringida GPG, y lo demás por VPNs. solamente a email, intercambio electrónico de datos, mensajería instantanea, etc.) Las políticas y procedimientos son desarrolladas y tendientes a fortalecer la protección de información asociada con la interconexión de sistemas de negocio?
10.10
La información envuelta en el comercio electrónico cruza a través de redes publicas y está protegida contra actividades fraudulenteas, posibles disputas contractuales o cualquier acceso no autorizado que permita lectura o manipulación de esos da tos? En los controles de seguridad son tenido s en cuenta la aplicación de controles criptográficos? El comercio electrónico entre los socios comerciales incluyen un acuerdo, que compromete a ambas partes a la negociación de los términos convenidos, incluidos los detalles de la s cuestiones de seguridad? La información envuelta en transacciones en l ínea está protegida contra transmisiones incompletas, mal ruteo, alteración de mensajería, divulgación no autorizada, duplicación no autorizada o replicación? La integridad de la información disponible publicamente está protegida contra modificación no autorizada?
Page 10
ISO 27001 Compliance Checklist
10.10.1
6.10.2
10.10.2
6.10.3
10.10.3
6.10.4
10.10.4
6.10.5
10.10.5
Procesadores de POS, Homebanking, etc.
Protección de datos de la página web.
Monitoreo
Vinod Kumar
[email protected]
6.10.1
No permitir conexiones a través de redes públicas sin encripción.
Registros de Auditoría
Los registros de auditoría que guardan la actividad de los usuarios, excepciones, eventos de seguridad de información que ocurren, se guardan por un periodo razonable de tiempo de tal modo a poder realizar investigaciones futuras y monitoreo de acceso?
Se tienen en consideración medidas de protección a la privacidad en el mantenimiento de registros de auditoría? Son desarrollados procedimientos de monitoreo de equipos de procesamiento de datos? El resultado de la actividad de monitoreo es revisada Uso de Sistemas de Monitoreo regularmente de forma periódica? Los niveles de monitoreo requeridos por los equipos de procesamiento de información son determinados por un análisis de riesgos? Los equipos que contienen los registros y logs de Protección de los Logs auditoría son bien protegidos contra posibles manipulaciones y acceso no autorizado? Las actividades de los Administradores y Operadores Log de actividades de Administradores y de sistemas son registradas en los logs? Operadores Son revisados regularmente los logs? Las fallas son registradas en logs, y luego analizadas y acciones apropiadas realizadas en consecuencia? Los niveles de registros en logs requeridos para cada Registro de Fallas sistema individual son determinados en base a análisis de riesgos y la degradación de performance es tenida en cuenta?
8/7/2012
ISO 27001 Compliance Checklist
6.10.1
10.10.1
6.10.2
10.10.2
6.10.3
10.10.3
6.10.4
10.10.4
6.10.5
10.10.5
6.10.6
10.10.6
Los registros de auditoría que guardan la actividad de los usuarios, excepciones, eventos de seguridad de información que ocurren, se guardan por un periodo razonable de tiempo de tal modo a poder realizar investigaciones futuras y monitoreo de acceso?
Registros de Auditoría
Se tienen en consideración medidas de protección a la privacidad en el mantenimiento de registros de auditoría? Son desarrollados procedimientos de monitoreo de equipos de procesamiento de datos? El resultado de la actividad de monitoreo es revisada Uso de Sistemas de Monitoreo regularmente de forma periódica? Los niveles de monitoreo requeridos por los equipos de procesamiento de información son determinados por un análisis de riesgos? Los equipos que contienen los registros y logs de Protección de los Logs auditoría son bien protegidos contra posibles manipulaciones y acceso no autorizado? Las actividades de los Administradores y Operadores Log de actividades de Administradores y de sistemas son registradas en los logs? Operadores Son revisados regularmente los logs? Las fallas son registradas en logs, y luego analizadas y acciones apropiadas realizadas en consecuencia? Los niveles de registros en logs requeridos para cada Registro de Fallas sistema individual son determinados en base a análisis de riesgos y la degradación de performance es tenida en cuenta? Los relojes de todos los sistemas de información están sincronizados en base a una misma fuente de tiempo exacta acordada? (La correcta sincronización de los relojes es importante para asegurar la cronología de eventos en los logs)
Sincronización de relojes
Access Control 7.1
Requerimientos del Negocio para Control de Acceso Las políticas de control de acceso son desarrolladas y revisadas basadas en los requerimientos de seguridad del negocio?
11.1
Vinod Kumar
[email protected]
Page 11
ISO 27001 Compliance Checklist
7.1.1
11.1.1
Política de Control de Acceso
Los controles de acceso tanto físico como lógico son tenidos en cuenta en las políticas de control de acceso? Tanto a los usuarios como a los proveedores de servicios se les dio una clara declaración de los requisitos de la empresa en cuanto a control de acceso?
7.2
Administración de Accesos de Usuarios
11.2
7.2.1
11.2.1
Registración de Usuarios
7.2.2
11.2.2
Gestión de Privilegios
7.2.3
11.2.3
Administración de Contraseñas de Usuarios
Revisión de Roles de Usuarios 7.2.4 7.3
11.2.4 11.3 7.3.1
11.3.1
Existe algún procedimiento formal de altas/bajas de usuarios para acceder a los sistemas? La asignación y uso de privil egios en los sistemas de información, es restringida y controlada en base a las necesidades de uso y dichos privilegios son solo otorgados bajo un esquema formal de autorización? La asignación y reasignación de contraseñas debe controlarse a través de un proceso de gestión formal. Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del password? Existe un proceso de revisión de privi legios y derechos de acceso a intervalos regulares. Por ejemplo: Privilegios especiales cada 3 meses, privilegios normales cada 6 meses?
Responsabilidades de Usuarios
Uso de Password
Existe alguna práctica de seguridad en el sitio para guiar a la selección y mantenimiento de contraseñas seguras? Los usuarios y terceros son concientes de los requisitos
8/7/2012
ISO 27001 Compliance Checklist
7.1.1
11.1.1
Política de Control de Acceso
Los controles de acceso tanto físico como lógico son tenidos en cuenta en las políticas de control de acceso? Tanto a los usuarios como a los proveedores de servicios se les dio una clara declaración de los requisitos de la empresa en cuanto a control de acceso?
7.2
Administración de Accesos de Usuarios
11.2
Existe algún procedimiento formal de altas/bajas de usuarios para acceder a los sistemas?
7.2.1
11.2.1
Registración de Usuarios
7.2.2
11.2.2
Gestión de Privilegios
7.2.3
11.2.3
Administración de Contraseñas de Usuarios
Revisión de Roles de Usuarios 7.2.4 7.3
11.2.4 11.3
La asignación y uso de privil egios en los sistemas de información, es restringida y controlada en base a las necesidades de uso y dichos privilegios son solo otorgados bajo un esquema formal de autorización? La asignación y reasignación de contraseñas debe controlarse a través de un proceso de gestión formal. Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del password? Existe un proceso de revisión de privi legios y derechos de acceso a intervalos regulares. Por ejemplo: Privilegios especiales cada 3 meses, privilegios normales cada 6 meses?
Responsabilidades de Usuarios
7.3.1
11.3.1
Uso de Password
7.3.2
11.3.2
Equipos desatendidos de Usuarios
Política de Escritorio Limpio y Pantalla
Vinod Kumar
[email protected]
Existe alguna práctica de seguridad en el sitio para guiar a la selección y mantenimiento de contraseñas seguras? Los usuarios y terceros son concientes de los requisitos de seguridad y procedimientos para proteger los equipos desatendidos? Por ejemplo: Salir del sistema cuando las sesiones son terminadas o configurar terminación automática de sesiones por tiempo de inactividad, etc. La organización ha adoptado una política de escritorio limpio con relación a los papeles y dispositivos de almacenamiento removibles?
Page 12
ISO 27001 Compliance Checklist
. .
7.4
. .
11.4.1
7.4.2
11.4.2
7.4.3
11.4.3
7.4.4
11.4.4
7.4.5
La organización ha adoptado una política de pantalla limpia con relación a los equipos de procesamiento de información?
Control de Acceso a la Red
11.4
7.4.1
Limpia
11.4.5
Se le provee a los usuarios acceso unicamente a los servicios de red a los cuales han sido autorizados Políticas sobre Servicios de Red específicamente? Existen políticas de seguridad relacionadas con la red y los servicios de red? Son utilizados mecanismos apropiados de Autenticaciones de Usuarios para autenticación para controlar el acceso remoto de los conexiones externas usuarios? Son considerados equipos de identificación automática Identificación de equipamientos en la red para autenticar conexiones desde equips y direcciones específicas? Los accesos físicos y lógicos a puertos de diagnóstico Diagnóstico Remoto y configuración de están apropiadamente controlados y protegidos por protección de puertos mecanismos de seguridad? Los grupos de servicios de información, usuarios y sistemas de información son segregados en la red? La red (desde donde asociados de negocios o terceros necesitan acceder a los sistemas de información) es segregada utilizando mecanismos de seguridad Segregación en la Red perimetral como firewalls? En la segregación de la red son hechas las consideraciones para separar las redes wireles en internas y privadas? Existe una política de control de acceso que verifique conexiones provenientes de redes compartidas,
8/7/2012
ISO 27001 Compliance Checklist
. .
7.4
. .
La organización ha adoptado una política de pantalla limpia con relación a los equipos de procesamiento de información?
Control de Acceso a la Red
11.4
7.4.1
Limpia
11.4.1
7.4.2
11.4.2
7.4.3
11.4.3
7.4.4
11.4.4
7.4.5
11.4.5
7.4.6
11.4.6
7.4.7
11.4.7
7.5
11.5
7.5.1
11.5.1
Se le provee a los usuarios acceso unicamente a los servicios de red a los cuales han sido autorizados Políticas sobre Servicios de Red específicamente? Existen políticas de seguridad relacionadas con la red y los servicios de red? Son utilizados mecanismos apropiados de Autenticaciones de Usuarios para autenticación para controlar el acceso remoto de los conexiones externas usuarios? Son considerados equipos de identificación automática Identificación de equipamientos en la red para autenticar conexiones desde equips y direcciones específicas? Los accesos físicos y lógicos a puertos de diagnóstico Diagnóstico Remoto y configuración de están apropiadamente controlados y protegidos por protección de puertos mecanismos de seguridad? Los grupos de servicios de información, usuarios y sistemas de información son segregados en la red? La red (desde donde asociados de negocios o terceros necesitan acceder a los sistemas de información) es segregada utilizando mecanismos de seguridad Segregación en la Red perimetral como firewalls? En la segregación de la red son hechas las consideraciones para separar las redes wireles en internas y privadas? Existe una política de control de acceso que verifique conexiones provenientes de redes compartidas, Control de Conexiones de Red especialmente aquellas que se extienden mas allá de los límites de la organización? Existen políticas de control de acceso que establezcan los controles que deben ser realizados a los ruteos implementados en la red? Control de Ruteo de Red Los controles de ruteo, están basados en mecanismos de identificación positiva de origen y destino? Controles de Acceso a Sistemas Operativos Los accesos a sistemas operativos son controlados por Procedimientos de log-on seguro procedimientos de log-on seguro?
Vinod Kumar
[email protected]
Page 13
ISO 27001 Compliance Checklist
7.5.2
11.5.2
Identificación y Autenticación de Usuarios
7.5.3
11.5.3
Gestión de Contraseñas
7.5.4
11.5.4
Utilidades de Uso de Sistemas
7.5.5
11.5.5
Expiración de Sesiones
7.5.6
11.5.6
Limitación de tiempo de conexión
Un único identificador de usuario (user ID) es proveído a cada usuario incluyendo operadores, administradores de sistemas y otros técnicos? Se eligen adecuadas técnicas de autenticación para demostrar la identidad declarada de los usuarios? El uso de cuentas de usuario genéricas son suministradas sólo en circunstancias especiales excepcionales, donde se especifícan los beneficios claros de su utilización. Controles adicionales pueden ser necesarios para mantener la seguridad. Existe un sistema de gestión de contraseñas que obliga al uso de controles como contraseña individual para auditoría, periodicidad de caducidad, complejidad mínima, almacenamiento encriptado, no despliegue de contraseñas por pantalla, etc.? En caso de existir programas utilitario s capaces de saltarse los controles de aplicaciones de los sistemas, estos están restringidos y bien controlados? Las aplicaciones son cerradas luego de un periodo determinado de inactividad? (Un tiempo determinado de inactividad puede ser determinado por algunos sistemas, que limpian la pantalla para prevenir acceso no autorizado, pero no cierra la aplicación o las sesiones de red) Existen restricciones limitando el tiempo de conexión de aplicaciones de alto riesgo? Este tipo de configuraciones debe ser considerada para aplicaciones sensitivas cuyas terminales de acceso se encuentran en
8/7/2012
ISO 27001 Compliance Checklist
7.5.2
11.5.2
Identificación y Autenticación de Usuarios
7.5.3
11.5.3
Gestión de Contraseñas
7.5.4
11.5.4
7.5.5
11.5.5
7.5.6
11.5.6
7.6
11.6
7.6.1
11.6.1
7.6.2
11.6.2
Un único identificador de usuario (user ID) es proveído a cada usuario incluyendo operadores, administradores de sistemas y otros técnicos? Se eligen adecuadas técnicas de autenticación para demostrar la identidad declarada de los usuarios? El uso de cuentas de usuario genéricas son suministradas sólo en circunstancias especiales excepcionales, donde se especifícan los beneficios claros de su utilización. Controles adicionales pueden ser necesarios para mantener la seguridad. Existe un sistema de gestión de contraseñas que obliga al uso de controles como contraseña individual para auditoría, periodicidad de caducidad, complejidad mínima, almacenamiento encriptado, no despliegue de contraseñas por pantalla, etc.?
En caso de existir programas utilitario s capaces de saltarse los controles de aplicaciones de los sistemas, estos están restringidos y bien controlados? Las aplicaciones son cerradas luego de un periodo determinado de inactividad? (Un tiempo determinado de inactividad puede ser Expiración de Sesiones determinado por algunos sistemas, que limpian la pantalla para prevenir acceso no autorizado, pero no cierra la aplicación o las sesiones de red) Existen restricciones limitando el tiempo de conexión de aplicaciones de alto riesgo? Este tipo de configuraciones debe ser considerada para aplicaciones Limitación de tiempo de conexión sensitivas cuyas terminales de acceso se encuentran en lugares de riesgo. Control de Acceso a las Aplicaciones y a la Información El acceso a la información y los sistemas de aplicaciones por parte los usuarios y personal de Restricción de Acceso a la Información soporte, está restringido en concordancia con las políticas de control de acceso definidas? Aquellos sistemas considerados sensibles, están en ambientes aislados, en computadoras dedicadas para Aislamiento de Sistemas Sensibles el efecto, con recursos compartidos con aplicaciones seguras y confiables, etc? Utilidades de Uso de Sistemas
Vinod Kumar
[email protected]
Page 14
ISO 27001 Compliance Checklist
7.7
Computación Móvil y Teletrabajo
11.7
7.7.1
11.7.1
7.7.2
11.7.2
Existe una política formal y medidas apropiadas de Encripción de discos en las seguridad adoptadas para protegerse contra riesgo de notebooks utilización de computación móvil y equipos de comunicación? Algunos ejemplos de computación móvil y equipos de Computación Móvil y Comunicaciones telecomunicación incluyen: notebooks, palmtops, laptops, smart cards, celulares. Son tenidos en cuenta los ri esgos tales como trabajar en ambientes no protegidos en cuanto a las políticas de computación móvil? Se desarrollan e implementan políticas, planes operativos y procedimientos con respecto a tareas de teletrabajo? Teletrabajo Las actividades de teletrabajo, son autorizadas y controladas por las gerencias y existen mecanismos adecuados de control para esta forma de trabajo?
Desarrollo, Adquisición y Mantenimiento de Sistemas de Información 8.1
Requerimientos de Seguridad de los Sistemas de Información Los requerimientos de seguridad para nuevos sistemas de información y fortalecimiento de los sistemas existentes, especifican los requerimientos para los controles de seguridad?
12.1
8.1.1
12.1.1
Análisis y Especificaciones de Rquerimientos de Seguridad
Los requerimientos y controles identificados reflejan el valor económico de los activos de información envueltos y las consecuencias de un fallo de seguridad? Los requerimientos para la seguridad de i nformación
8/7/2012
ISO 27001 Compliance Checklist
7.7
Computación Móvil y Teletrabajo
11.7
7.7.1
11.7.1
7.7.2
11.7.2
Existe una política formal y medidas apropiadas de Encripción de discos en las seguridad adoptadas para protegerse contra riesgo de notebooks utilización de computación móvil y equipos de comunicación? Algunos ejemplos de computación móvil y equipos de Computación Móvil y Comunicaciones telecomunicación incluyen: notebooks, palmtops, laptops, smart cards, celulares. Son tenidos en cuenta los ri esgos tales como trabajar en ambientes no protegidos en cuanto a las políticas de computación móvil? Se desarrollan e implementan políticas, planes operativos y procedimientos con respecto a tareas de teletrabajo? Teletrabajo Las actividades de teletrabajo, son autorizadas y controladas por las gerencias y existen mecanismos adecuados de control para esta forma de trabajo?
Desarrollo, Adquisición y Mantenimiento de Sistemas de Información 8.1
Requerimientos de Seguridad de los Sistemas de Información Los requerimientos de seguridad para nuevos sistemas de información y fortalecimiento de los sistemas existentes, especifican los requerimientos para los controles de seguridad?
12.1
8.1.1
8.2
12.1.1
12.2
Análisis y Especificaciones de Rquerimientos de Seguridad
Los requerimientos y controles identificados reflejan el valor económico de los activos de información envueltos y las consecuencias de un fallo de seguridad? Los requerimientos para la seguridad de i nformación de los sistemas y prcesos para implementar dicha seguridad, son integrados en las primeras etapas de los proyectos de sistemas?
Procesamiento Correcto en Aplicaciones
Los datos introducidos a los sistemas, son validados para asegurar que son correctos y apropiados?
Vinod Kumar
[email protected]
Page 15
ISO 27001 Compliance Checklist
8.3
8.2.1
12.2.1
Validación de Datos de Entrada
8.2.2
12.2.2
Control de Procesamiento Interno
8.2.3
12.2.3
Integridad de Mensajería
8.2.4
12.2.4
Validación de Datos de Salida
12.3
Los controles tales como: Diferentes tipos de mensajes de error para datos mal ingresados, Procedimientos para responder a los errores de validación, definición de responsabilidades para todo el personal envuelto en la carga de datos, etc. son considerados? Son incorporadas validaciones en las aplicaciones para detectar/prevenir que puedan ser ingresados datos no válidos por error o deliberadamente? Se tiene en cuenta en el diseño y la implementación de las aplicaciones que el riesgo de falllas en el procesamiento que conduzcan a perdida de integridad de datos sea minimizado? Los requerimientos para aseguramiento y protección de la integridad de los mensajes en las aplicaciones, son debidamente identificados e implementados los controles necesarios? Si una evaluación de riesgos de seguridad se llevó a cabo para determinar si es necesaria la integridad del mensaje, y para determinar el método más apropiado de aplicación. Los sistemas de aplicaciones de salida de datos, son validados para asegurar que el procesamiento de información almacenada sea correcta y apropiada a las circustancias?
Controles Criptográficos
La organización posee políticas de uso de controlec criptográficos para protección de la información? Estas políticas son implementadas con éxito?
8/7/2012
ISO 27001 Compliance Checklist
8.2.1
12.2.1
Validación de Datos de Entrada
8.2.2
12.2.2
Control de Procesamiento Interno
8.2.3
12.2.3
Integridad de Mensajería
8.2.4
12.2.4
Validación de Datos de Salida
8.3
Los controles tales como: Diferentes tipos de mensajes de error para datos mal ingresados, Procedimientos para responder a los errores de validación, definición de responsabilidades para todo el personal envuelto en la carga de datos, etc. son considerados? Son incorporadas validaciones en las aplicaciones para detectar/prevenir que puedan ser ingresados datos no válidos por error o deliberadamente? Se tiene en cuenta en el diseño y la implementación de las aplicaciones que el riesgo de falllas en el procesamiento que conduzcan a perdida de integridad de datos sea minimizado? Los requerimientos para aseguramiento y protección de la integridad de los mensajes en las aplicaciones, son debidamente identificados e implementados los controles necesarios? Si una evaluación de riesgos de seguridad se llevó a cabo para determinar si es necesaria la integridad del mensaje, y para determinar el método más apropiado de aplicación. Los sistemas de aplicaciones de salida de datos, son validados para asegurar que el procesamiento de información almacenada sea correcta y apropiada a las circustancias?
Controles Criptográficos
12.3
La organización posee políticas de uso de controlec criptográficos para protección de la información? Estas políticas son implementadas con éxito? 8.3.1
12.3.1
Políticas de Uso de Controles Criptográficos
Vinod Kumar
[email protected]
La política criptográfica considera el enfoque de gestión hacia el uso de controles criptográficos, los resultados de la evaluación de riesgo para identificar nivel requerido de protección, gestión de claves y métodos de diversas normas para la aplicación efectiva? La administración de claves se utiliza efectivamente para apoyar el uso de técnicas criptográficas en la organización?
Page 16
ISO 27001 Compliance Checklist
8.3.2
8.4
12.3.2
12.4
Seguridad de los Archivos de Sistemas
8.4.1
12.4.1
8.4.2
12.4.2
8.4.3
12.4.3
8.5
12.5
8.5.1
Manejo de Claves
Las claves criptográficas están protegidas correctamente contra modificación, pérdida y/o destrucción? Las claves públicas y privadas están protegidas contra divulgación no autorizada? Los equipos utilizados para generar o almacenar claves, están físicamente protegidos? Los sistemas de administración de claves, están basados en procedimientos estandarizados y seguros?
12.5.1
Existen procedimientos para controlar la instalación de software en los sistemas operativos (Esto es para Control de Software Operativo minimizar el riesgo de corrupción de los sistemas operativos) Los sistemas de testeo de datos, están debidamente protegidos y controlados? Protección de Datos de Prueba de La utilización de información personal o cualquier Sistemas información sensitiva para propósitos de testeo, está prohibida? Existen controles estrictos de modo a restringir el acceso al código fuente? (esto es para prevenir posibles Control de Acceso a Código Fuente cambios no autorizados) Seguridad en el Desarrollo y Servicios de Soporte Existen procedimientos de control estricto con respecto a cambios en los sistemas de información? (Esto es para minimizar la posible corrupción de los sistemas Procedimientos de Control de Cambios de información) Estos procedimientos aborda la necesidad de
8/7/2012
ISO 27001 Compliance Checklist
8.3.2
8.4
12.3.2
12.4
Manejo de Claves
Seguridad de los Archivos de Sistemas
8.4.1
12.4.1
8.4.2
12.4.2
8.4.3
12.4.3
8.5
Las claves criptográficas están protegidas correctamente contra modificación, pérdida y/o destrucción? Las claves públicas y privadas están protegidas contra divulgación no autorizada? Los equipos utilizados para generar o almacenar claves, están físicamente protegidos? Los sistemas de administración de claves, están basados en procedimientos estandarizados y seguros?
12.5
8.5.1
12.5.1
8.5.2
12.5.2
8.5.3
12.5.3
Existen procedimientos para controlar la instalación de software en los sistemas operativos (Esto es para Control de Software Operativo minimizar el riesgo de corrupción de los sistemas operativos) Los sistemas de testeo de datos, están debidamente protegidos y controlados? Protección de Datos de Prueba de La utilización de información personal o cualquier Sistemas información sensitiva para propósitos de testeo, está prohibida? Existen controles estrictos de modo a restringir el acceso al código fuente? (esto es para prevenir posibles Control de Acceso a Código Fuente cambios no autorizados) Seguridad en el Desarrollo y Servicios de Soporte Existen procedimientos de control estricto con respecto a cambios en los sistemas de información? (Esto es para minimizar la posible corrupción de los sistemas Procedimientos de Control de Cambios de información) Estos procedimientos aborda la necesidad de evaluación de riesgos, análisis de los impactos de los cambios? Existen procesos a seguir o procedimientos para revisión y testeo de las aplicaciones críticas de negocio Revisión Técnica de Aplicaciones luego y seguridad, luego de cambios en el Sistema Operativo? Periódicamente, esto es necesario cada vez de Cambios en el Si stema Operativo que haya que hacer un parcheo o upgrade del sistema operativo. Las modificaciones a los paquetes de software, son Restricciones en Cambios de Paquetes de desalentadas o limitadas extrictamente a los cambios Software mínimos necesarios?
Vinod Kumar
[email protected]
Page 17
8/7/2012
ISO 27001 Compliance Checklist
Todos los cambios son estrictamente controlados?
8.5.4
12.5.4
8.5.5
8.6
1 2. 5. 5
De sa rr ol lo de So ft wa re Ter ce ri za do
Gestión de Vulnerabilidades Técnicas
12.6
8.6.1
Fuga de Información
Existen controles para prevenir la fuga de información? Controles tales como escaneo de dispositivos de salida, monitoreo regular del personal y actividades permitidas en los sistemas bajo regulaciones locales, monitoreo de recursos, son considerados? El desarrollo de software t ercerizado, es supervisado y monitoreado por la organización? Puntos como: Adquisición de licencias, acuerdos de garantía, requerimientos contractuales de calidad asegurada, testeo antes de su instalación definitiva, revisión de código para prevenir troyanos, son considerados?
12.6.1
Control de Vulnerabilidades Técnicas
Se obtiene información oportuna en ti empo y forma sobre las vulnerabilidades técnicas de los sistemas de información que se utilizan? La organización evalúa e implementa medidas apropiadas de mitigación de riesgos a las vulnerabilidades a las que está expuesta?
Gestión de Incidentes de Seguridad de Información 9.1
13.1
9.1.1
13.1.1
Reportando Eventos de Seguridad y Vulnerabilidades Los eventos de seguridad de información, son reportados a través de los canales correspondientes lo Reportando Eventos de Seguridad de la más rápido posible? Son desarrollados e implementados procedimientos Información formales de reporte, respuesta y escalación en incidentes de seguridad?
Controlar aplicaciones y disclaimer contractual Revisión de los contratos para tener en cuenta los Service Level Agreements (Acuerdos de Niveles de Servicio).
0
ISO 27001 Compliance Checklist
Todos los cambios son estrictamente controlados?
8.5.4
12.5.4
8.5.5
8.6
1 2. 5. 5
De sa rr ol lo de So ft wa re Ter ce ri za do
Controlar aplicaciones y disclaimer contractual Revisión de los contratos para tener en cuenta los Service Level Agreements (Acuerdos de Niveles de Servicio).
0
Gestión de Vulnerabilidades Técnicas
12.6
8.6.1
Fuga de Información
Existen controles para prevenir la fuga de información? Controles tales como escaneo de dispositivos de salida, monitoreo regular del personal y actividades permitidas en los sistemas bajo regulaciones locales, monitoreo de recursos, son considerados? El desarrollo de software t ercerizado, es supervisado y monitoreado por la organización? Puntos como: Adquisición de licencias, acuerdos de garantía, requerimientos contractuales de calidad asegurada, testeo antes de su instalación definitiva, revisión de código para prevenir troyanos, son considerados?
12.6.1
Control de Vulnerabilidades Técnicas
Se obtiene información oportuna en ti empo y forma sobre las vulnerabilidades técnicas de los sistemas de información que se utilizan? La organización evalúa e implementa medidas apropiadas de mitigación de riesgos a las vulnerabilidades a las que está expuesta?
Gestión de Incidentes de Seguridad de Información 9.1
13.1
9.1.1
13.1.1
9.1.2
13.1.2
9.2
13.2
Reportando Eventos de Seguridad y Vulnerabilidades Los eventos de seguridad de información, son reportados a través de los canales correspondientes lo Reportando Eventos de Seguridad de la más rápido posible? Son desarrollados e implementados procedimientos Información formales de reporte, respuesta y escalación en incidentes de seguridad?
Existen procedimientos que aseguren que todos los empleados deben reportar cualquier vulnerabilidad en la seguridad en los servicios o sistemas de información? Gestión de Incidentes de Seguridad de la Información y Proceso de Mejoras Están claramente establecidos los procedimientos y responsabilidades de gestión para asegurar una rápida, efectiva y ordenada respuesta a los i ncidentes de seguridad de información? Reportando Vulnerabilidaes de la Seguridad
Vinod Kumar
[email protected]
Page 18
ISO 27001 Compliance Checklist
9.2.1
13.2.1
Responsabilidades y Procedimientos
9.2.2
13.2.2
Aprendiendo de los Incidentes de Seguridad de la Información
9.2.3
13.2.3
Recolección de Evidencia
Es utilizado el monitoreo de sistemas, alertas y vulnerabilidades para detectar incidentes de seguridad? Los objetivos de la gestión de incidentes de seguridad de información, están acordados con las gerencias? Existen mecanismos establecidos para identificar y cuantificar el tipo, volumen y costo de los incidentes de seguridad? La información obtenida de la evaluación de incidentes de seguridad que ocurrieron en el pasado, es utilizada para determinar el impacto recurrente de incidencia y corregir errores? Si las medidas de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica una acción legal (ya sea civil o penal) Las evidencias relacionadas con incidentes, son recolectadas, retenidas y presentadas conforme las disposiciones legales vigentes en las jurisdicciones pertinentes? Los procedimientos internos son desarrollados y seguidos al pié de la letra cuando se debe recolectar y presentar evidencia para propósitos disciplinarios dentro de la organización?
Gestión de la Continuidad del Negocio 10.1
14.1
Aspectos de Seguridad en la Gestión de la Continuidad del Negocio Existen procesos que direccionan los requerimientos de seguridad de información para el desarrollo y
8/7/2012
ISO 27001 Compliance Checklist
9.2.1
13.2.1
Responsabilidades y Procedimientos
9.2.2
13.2.2
Aprendiendo de los Incidentes de Seguridad de la Información
9.2.3
13.2.3
Recolección de Evidencia
Es utilizado el monitoreo de sistemas, alertas y vulnerabilidades para detectar incidentes de seguridad? Los objetivos de la gestión de incidentes de seguridad de información, están acordados con las gerencias? Existen mecanismos establecidos para identificar y cuantificar el tipo, volumen y costo de los incidentes de seguridad? La información obtenida de la evaluación de incidentes de seguridad que ocurrieron en el pasado, es utilizada para determinar el impacto recurrente de incidencia y corregir errores? Si las medidas de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica una acción legal (ya sea civil o penal) Las evidencias relacionadas con incidentes, son recolectadas, retenidas y presentadas conforme las disposiciones legales vigentes en las jurisdicciones pertinentes? Los procedimientos internos son desarrollados y seguidos al pié de la letra cuando se debe recolectar y presentar evidencia para propósitos disciplinarios dentro de la organización?
Gestión de la Continuidad del Negocio 10.1
14.1
10.1.1
14.1.1
Aspectos de Seguridad en la Gestión de la Continuidad del Negocio Existen procesos que direccionan los requerimientos de seguridad de información para el desarrollo y mantenimiento de la Continuidad del Negocio dentro de la Organización? Estos procesos, entienden cuales son los riesgos que la Incluyendo Seguridad en el Proceso de organización enfrenta, identifican los activos críticos, Gestión de Continuidad del Negocio los impactos de los incidentes, consideran la implementación de controles preventivos adicionales y la documentación de los Planes de Continuidad del Negocio direccionando los requerimientos de seguridad?
Vinod Kumar
[email protected]
Page 19
ISO 27001 Compliance Checklist
10.1.2
14.1.2
Continuidad del Negocio y Evaluación de Riesgos
10.1.3
14.1.3
Desarrollo e Implementación de Planes de Continuidad incluyendo Seguridad de la Información
10.1.4
14.1.4
Los eventos que puedan causar interrupción al negocio, son identificados sobre la base de probabilidad, impacto y posibles consecuencias para la seguridad de información? Son desarrollados planes para mantener y restaurar las operaciones de negocio, asegurar disponibilidad de información dentro de un nivel aceptable y en el rango de tiempo requerido siguiente a la interrupción o falla de los procesos de negocio? Considera el Plan, la identificación y acuerdo de responsabilidades, identificación de pérdida aceptable, implementación de procedimientos de recuperación y restauración, documentación de procedimientos y testeo periódico realizado regularmente? Existe un marco único del Plan de Continuidad de Negocios?
Este marco, es mantenido regularmente para Business continuity planning framework asegurarse que todos los planes son consistentes e identifican prioridades para testeo y mantenimiento? El Plan de Continuidad del Negocio direccionan los requerimientos de seguridad de información identificados? Los Planes de Continuidad del Negocio, son probados regularmente para asegurarse de que están actualizados y son efectivos? Los tests de planes de continuidad de negocio, Prueba, Mantenimiento y Reevaluando aseguran que todos los miembros del equipo de
8/7/2012
ISO 27001 Compliance Checklist
10.1.2
14.1.2
Continuidad del Negocio y Evaluación de Riesgos
10.1.3
14.1.3
Desarrollo e Implementación de Planes de Continuidad incluyendo Seguridad de la Información
10.1.4
14.1.4
10.1.5
14.1.5
Los eventos que puedan causar interrupción al negocio, son identificados sobre la base de probabilidad, impacto y posibles consecuencias para la seguridad de información? Son desarrollados planes para mantener y restaurar las operaciones de negocio, asegurar disponibilidad de información dentro de un nivel aceptable y en el rango de tiempo requerido siguiente a la interrupción o falla de los procesos de negocio? Considera el Plan, la identificación y acuerdo de responsabilidades, identificación de pérdida aceptable, implementación de procedimientos de recuperación y restauración, documentación de procedimientos y testeo periódico realizado regularmente? Existe un marco único del Plan de Continuidad de Negocios?
Este marco, es mantenido regularmente para Business continuity planning framework asegurarse que todos los planes son consistentes e identifican prioridades para testeo y mantenimiento? El Plan de Continuidad del Negocio direccionan los requerimientos de seguridad de información identificados? Los Planes de Continuidad del Negocio, son probados regularmente para asegurarse de que están actualizados y son efectivos? Los tests de planes de continuidad de negocio, Prueba, Mantenimiento y Reevaluando aseguran que todos los miembros del equipo de recuperación y otros equipos relevantes sean Planes de Continuidad del Negocio advertidos del contenido y sus responsabilidades para la continuidad del negocio y la seguridad de información, son concientes de sus roles y funciones dentro del plan cuando este se ejecuta?
Cumplimiento 11.1
Cumplimiento con Requerimientos Legales
15.1
Vinod Kumar
[email protected]
Page 20
8/7/2012
ISO 27001 Compliance Checklist
11.1.1
15.1.1
Identificación de Legislación Aplicable
11.1.2
15.1.2
Derechos de Propiedad Intelectual
11.1.3
15.1.3
Protección de los Registros de la Organización
Todas las leyes relevantes, regulaciones, requerimientos contractuales y organizacionales son tenidos en cuenta de modo a que estén documentados para cada sistema de información en la organización? Los controles específicos y responsabilidades individuales de modo a cumplir con estos requerimientos, son debidamente definidos y documentados? Existen procedimientos para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales sobre el uso de materiales y software que estén protegidos por derechos de propiedad Musica mp3, imágenes, intelectual? libros, software, etc. Estos procedimientos, están bien implementados? Controles tales como: Política de Cumplimiento de Derechos de Propiedad Intelectual, Procedimientos de Adquisición de Software, Política de concientización, Mantenimiento de Prueba de la Propiedad, Cumplimiento con Términos y Condiciones, son consideradas? Los registros importantes de la organización están protegidos contra pérdida, destrucción y falsificación en concordancia con los requerimientos legales, regul atori os, contractual es y de negoci o? Están previstas las consideraciónes con respecto al posible deterioro de medios de almacenamiento utilizados para almacenar registros? Los sistemas de almacenamiento son elegidos de modo
Backup y Audito ría Unidades de Cintas que ya no tienen repuestos, Storage de Discos fallan y ya no hay.
ISO 27001 Compliance Checklist
11.1.1
15.1.1
Identificación de Legislación Aplicable
11.1.2
15.1.2
Derechos de Propiedad Intelectual
11.1.3
15.1.3
11.1.4
15.1.4
Vinod Kumar
[email protected]
Todas las leyes relevantes, regulaciones, requerimientos contractuales y organizacionales son tenidos en cuenta de modo a que estén documentados para cada sistema de información en la organización? Los controles específicos y responsabilidades individuales de modo a cumplir con estos requerimientos, son debidamente definidos y documentados? Existen procedimientos para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales sobre el uso de materiales y software que estén protegidos por derechos de propiedad Musica mp3, imágenes, intelectual? libros, software, etc. Estos procedimientos, están bien implementados? Controles tales como: Política de Cumplimiento de Derechos de Propiedad Intelectual, Procedimientos de Adquisición de Software, Política de concientización, Mantenimiento de Prueba de la Propiedad, Cumplimiento con Términos y Condiciones, son consideradas?
Los registros importantes de la organización están protegidos contra pérdida, destrucción y falsificación en concordancia con los requerimientos legales, regul atori os, contractual es y de negoci o? Están previstas las consideraciónes con respecto al Protección de los Registros de la posible deterioro de medios de almacenamiento Organización utilizados para almacenar registros? Los sistemas de almacenamiento son elegidos de modo a que los datos requeridos puedan ser recuperados en un rango de tiempo aceptable y en el formato necesario, dependiendo de los requerimientos a ser cumplidos? La protección de los datos y la privacidad, están Protección de los Datos y privacidad de asegurados por legislaciones relevantes, regulaciones y los datos personales si son aplicables, por cláusulas contractuales?
Page 21
ISO 27001 Compliance Checklist
11.1.5
15.1.5
11.1.6
15.1.6
11.2
15.2
11.2.1
15.2.1
11.2.2
15.2.2
El uso de instalaciones de proceso de información para cualquier propósito no autorizado o que no sea del negocio, sin la aprobación pertinente, es tratada como utilización impropia de las instalaciones? Los mensajes de alerta de ingreso, son desplegados Prevención del maluso de las antes de permitir el ingreso a la red o a los sistemas? instalaciones de procesamiento El usuario tiene conocimiento de las alertas y reacciona apropiadamente al mensaje en pantalla? Es realizado un asesoramiento jurídico, antes de aplicar cualquier procedimiento de monitoreo y control? Los controles criptográficos son usados en Regulación de Controles Criptográficos cumplimiento de los acuerdos contractuales establecidos, leyes y regulaciones? Cumplimiento con las políticas, estándares y regulaciones técnicas Los Administradores se aseguran que todos los procedimientos dentro de su area de responsabilidad, se llevan a cabo correctamente para lograrl el cumplimiento de las normas y políticas de seguridad? Cumplimiento con Políticas de Los Administradores, revisan regularmente el Seguridad y Estándares cumplimiento de las instalaciones de procesamiento de información dentro del area de su responsabilidad de modo a cumplir con los procedimientos y políticas de seguridad pertinentes? Los sistemas de información son regularmente revisados con respecto al cumplimiento de estándares de seguridad? Chequeo de Cumplimiento Técnico La verificación técnica es llevada a cabo por, o bajo la
Backup y Audito ría Unidades de Cintas que ya no tienen repuestos, Storage de Discos fallan y ya no hay.
8/7/2012
ISO 27001 Compliance Checklist
11.1.5
15.1.5
11.1.6
15.1.6
11.2
15.2
11.2.1
15.2.1
11.2.2
15.2.2
11.3
15.3
11.3.1
15.3.1
El uso de instalaciones de proceso de información para cualquier propósito no autorizado o que no sea del negocio, sin la aprobación pertinente, es tratada como utilización impropia de las instalaciones? Los mensajes de alerta de ingreso, son desplegados Prevención del maluso de las antes de permitir el ingreso a la red o a los sistemas? instalaciones de procesamiento El usuario tiene conocimiento de las alertas y reacciona apropiadamente al mensaje en pantalla? Es realizado un asesoramiento jurídico, antes de aplicar cualquier procedimiento de monitoreo y control? Los controles criptográficos son usados en Regulación de Controles Criptográficos cumplimiento de los acuerdos contractuales establecidos, leyes y regulaciones? Cumplimiento con las políticas, estándares y regulaciones técnicas Los Administradores se aseguran que todos los procedimientos dentro de su area de responsabilidad, se llevan a cabo correctamente para lograrl el cumplimiento de las normas y políticas de seguridad? Cumplimiento con Políticas de Los Administradores, revisan regularmente el Seguridad y Estándares cumplimiento de las instalaciones de procesamiento de información dentro del area de su responsabilidad de modo a cumplir con los procedimientos y políticas de seguridad pertinentes? Los sistemas de información son regularmente revisados con respecto al cumplimiento de estándares de seguridad? Chequeo de Cumplimiento Técnico La verificación técnica es llevada a cabo por, o bajo la supervisión de, personal técnico competente y autorizado? Consideraciones de Auditoría de Sistemas Los requerimientos y actividades de auditoría, incluyen verificación de sistemas de información que fueron previamente planeados cuidadosamente de Controles de Auditoría de los Sistemas modo a minimizar lo s riesgos de interrupciones en el de Información proceso de negocio? Los requerimientos de auditoria son alcanzables y de acuerdo con una gestión adecuada?
Vinod Kumar
[email protected]
Page 22
ISO 27001 Compliance Checklist
11.3.2
15.3.2
Protección de la información contra las heramientas de auditoría
La información a la que se accede por medio de las herramientas de auditoría, ya sean software o archivos de datos, están protegidos para prevenir el mal uso o fuga no autorizada? El ambiente de auditoría está separado de los Servidores de auditoría ambientes operacionales y de desarrollo, a penos que (ACL, IDEA, etc.) separados haya un nivel apropiado de protección? de los ambientes de desarrollo y oltp.
8/7/2012
ISO 27001 Compliance Checklist
11.3.2
15.3.2
Protección de la información contra las heramientas de auditoría
Vinod Kumar
[email protected]
La información a la que se accede por medio de las herramientas de auditoría, ya sean software o archivos de datos, están protegidos para prevenir el mal uso o fuga no autorizada? El ambiente de auditoría está separado de los Servidores de auditoría ambientes operacionales y de desarrollo, a penos que (ACL, IDEA, etc.) separados haya un nivel apropiado de protección? de los ambientes de desarrollo y oltp.
Page 23
8/7/2012
ISO 27001 Compliance Checklist
Dominio
Objetivos Politicas de Seguridad Organización de la Seguridad de Información
Manejo de Activos
Seguridad de Recursos Humanos
Seguridad Física y Ambiental
Gestión de Comunicaciones y Operaciones
Estado (%)
Políticas de Seguridad de Información
0%
Organización Interna Partes Externas
0% 0%
Responsabilidad de Activos Clasificación de Información
0% 0%
Previo al Empleo Durante al Empleo Terminación o Cambio de empleo
0% 0% 0%
Areas Seguras Equipamiento de Seguridad
0% 0%
Procedimientos y Responsabilidades Operativas Manejo de Entrega de Servicios Tercerizados Planeamiento y Aceptación de Sistemas Protección contra Código Malicioso y Móvil Copias de Respaldo Administración de la Seguridad en la Red Manejo de Medios Intercambio de Información Servicios de Comercio Electrónico Monitoreo
0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
ISO 27001 Compliance Checklist
Dominio
Objetivos
Estado (%)
Políticas de Seguridad de Información
0%
Organización Interna Partes Externas
0% 0%
Responsabilidad de Activos Clasificación de Información
0% 0%
Previo al Empleo Durante al Empleo Terminación o Cambio de empleo
0% 0% 0%
Areas Seguras Equipamiento de Seguridad
0% 0%
Procedimientos y Responsabilidades Operativas Manejo de Entrega de Servicios Tercerizados Planeamiento y Aceptación de Sistemas Protección contra Código Malicioso y Móvil Copias de Respaldo Administración de la Seguridad en la Red Manejo de Medios Intercambio de Información Servicios de Comercio Electrónico Monitoreo
0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
Requerimientos del Negocio para Control de Acceso Administración de Accesos de Usuarios Responsabilidades de Usuarios Control de Acceso a la Red Control de Acceso a Sistemas Operativos Control de Acceso a las Aplicaciones y a la Información Computación Móvil y Teletrabajo
0% 0% 0% 0% 0% 0% 0%
Requerimientos de Seguridad de los Sistemas de Información Procesamiento Correcto en las Aplicaciones Controles Criptográficos Seguridad de los Archivos de Sistemas Seguridad en el Desarrollo y Servicios de Soporte Gestión de Vulnerabilidades Técnicas
0% 0% 0% 0% 0% 0%
Reportando Eventos de Seguridad y Vulnerabilidades Ges tió n de In cid ent es d e S eg uri da d de la I nf orm ac ió n y Pr oc eso d e M ejo ra s
0% 0%
Gestión de la Continuidad del Negocio
Aspectos de Seguridad en la Gestión de la Continuidad del Negocio
0%
Cumplimiento
Cumplimiento con Requerimientos Legales Cumplimiento con las Políticas, Estándares y Regulaciones Técnicas Consideraciones de Auditoría de Sistemas
0% 0% 0%
Politicas de Seguridad Organización de la Seguridad de Información
Manejo de Activos
Seguridad de Recursos Humanos
Seguridad Física y Ambiental
Gestión de Comunicaciones y Operaciones
Control de Acceso
Desarrollo, Adquisición y Mantenimiento de Sistemas de Inforación
Gestión de Incidentes de Seguridad de Información
Vinod Kumar
[email protected]
Page 24
8/7/2012
ISO 27001 Compliance Checklist Dominio
Estado (%)
Políticas de Seguridad Organización de la Seguridad de Información Manejo de Activos Seguridad de Recursos Humanos Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Control de Acceso Desarrollo, Adquisición y Mantenimiento de Sistemas de Inforación Gestión de Incidentes de Seguridad de Información Gestión de la Continuidad del Negocio Cumplimiento
Vinod Kumar
[email protected]
Page 25
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
8/7/2012
100% 90% 80% 70% 60%
o d a t s E
50% 40% 30% 20% 10%
0% 0%
0%
0%
s o v i t c A e d o j e n a M
s o n a m u H s o s r u c e R e d d a d i r u g e S
0%
d a d i r u g e S e d s a c i t í l o P
Cumplimiento por Dominio
n ó i c a m r o f n I e d d a d i r u g e S a l e d n ó i c a z i n a g r O
0% 0% l a t n e i b m A y a c i s í F d a d i r u g e S
s e n o i c a r e p O y s e n o i c a c i n u m o C e d n ó i t s e G
0% o s e c c A e d l o r t n o C
0%
0%
0%
e e d d o d t a n d e i i r m u i g n n e e ó i S t n c n e ó a a r d i o s c M f n t e a y I n e n m r ó d e f o i c s d i I i c n s a i n u m I q e e t d s d A i n , S i o ó l t l s o e r r a G s e D
o i c o g e N l e d d a d i u n i t n o C a l e d n ó i t s e G
0% o t n e i m i l p m u C
Dominio
ISO 27001 Compliance Checklist Chequeo de Cumplimiento Un formato condicional ha sido proveído sobre la hoja de "Chequeo de Cumplimiento" b
1 a 25 26 a 75 76 a 100 En el campo "Observaciones" comente la evidencia que usted vió o los comentarios sobre En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionad Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que e Cumplimiento por Control Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente "Chequeo de Cumplimiento" Cumplimiento por Dominio Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente de Cumplimiento". Representación Gráfica
ISO 27001 Compliance Checklist Chequeo de Cumplimiento Un formato condicional ha sido proveído sobre la hoja de "Chequeo de Cumplimiento" b
1 a 25 26 a 75 76 a 100 En el campo "Observaciones" comente la evidencia que usted vió o los comentarios sobre En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionad Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que e Cumplimiento por Control Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente "Chequeo de Cumplimiento" Cumplimiento por Dominio Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente de Cumplimiento". Representación Gráfica Esto le proporcionará una representación gráfica del estado por dominio, el cual puede s
Vinod Kumar
[email protected]
Page 27
8/7/2012
ISO 27001 Compliance Checklist
ajo el campo "Estado (%)" y se menciona abajo:
la implementación mas arriba e control en particular no es aplicable para la organización.
or cada Objetivo de control en base al estado que se carga en la hoja
or cada dominio en base al estado que se carga en la hoja "Chequeo
r incorporado a su presentación a las Gerencias
Vinod Kumar
[email protected]
Page 28
8/7/2012
