iso 27001 checklist
Post on 26-Oct-2015
613 Views
Preview:
TRANSCRIPT
cualquier vaina_x000D_
Referencia Area de Auditoría, objectivo y preguntaChecklist Estandar Control
1.Política de Seguridad1.1 5.1 Políticas de Seguridad de Información1.1.1 5.1.1
1.1.2 5.1.2
2.Organization de la Seguridad2.1 6.1 Organización Interna2.11 6.11
2.1.2 6.1.2
2.1.3 6.1.3
2.1.4 6.1.4
2.1.5 6.1.5
Documento de la Política de Seguridad de Información
Revisión de la Política de Seguridad
Compromiso de la Direccion con la Seguridad de Información
Coordinación de la Seguridad de Información
Asignación de Responsabilidades de Seguridad de Información
Proceso de autorizacion de servicios de Procesamiento de Información
Acuerdos de Confidencialidad
cualquier vaina_x000D_
2.1.6 6.1.6
2.1.7 6.1.7
2.1.8 6.1.8
2.2 6.2 Partes Externas2.2.1 6.2.1
2.2.2 6.2.2
2.2.3 6.2.3
3.Administración de Activos3.1 7.1 Responsibilidad por Activos3.1.1 7.1.1 Inventario de Activos
3.1.2 7.1.2 Propiedad de Activos
3.1.3 7.1.3 Uso aceptable de Activos
Contacto con las Autoridades
Contacto con Grupos de Intereses Especiales
Revisión Independiente sobre la Seguridad de Información
Identificación de los riesgos relacionados con partes externas
Abordar la seguridad al tratar con los clientes
Abordar la seguridad en acuerdos con terceros
cualquier vaina_x000D_
3.2 7.2 Clasificación de la Información3.2.1 7.2.1 Directrices de Clasificación
3.2.2 7.2.2
4.Seguridad de RRHH4.1 8.1 Previo al Empleo4.1.1 8.1.1 Roles y Responsabilidades
4.1.2 8.1.2 Selección
4.1.3 8.1.3
4.2 8.2 Durante el Empleo4.2.1 8.2.1
4.2.2 8.2.2
Etiquetado y manejo de información
Términos y condiciones de empleo
Reesponsabilidades de la Direccion
Sensibilización, educación y formación sobre la Seguridad de la Información
cualquier vaina_x000D_
4.2.3 8.2.3 Proceso Disciplinario
4.3 8.3 Terminación o Cambio de Empleo4.3.1 8.3.1
4.3.2 8.3.2 Devolucion de activos
4.3.3 8.3.3
5. Seguridad Fisica y del Entorno5.1 9.1 Areas Seguras5.1.1 9.1.1
5.1.2 9.1.2 Controles de acceso fisico
5.1.3 9.1.3
5.1.4 9.1.4
5.1.5 9.1.5 Trabajo en areas seguras
5.1.6 9.1.6
5.2 9.2 Seguridad de los Equipos5.2.1 9.2.1
Responsabilidades de Terminación
Retiro de los Derechos de Acceso
Perímetro de Seguridad Física
Seguridad de oficinas, recintos e instalaciones
Protección contra amenazas extrenas y ambientales
Areas de carga, despacho y acceso publico.
Ubicación y Proteccion de los Equipos
cualquier vaina_x000D_
5.2.2 9.2.2 Servicios de Suministro
5.2.3 9.2.3 Seguridad del Cableado
5.2.4 9.2.4 Mantenimiento de Equipos
5.2.5 9.2.5
5.2.6 9.2.6
5.2.7 9.2.7 Retiro de Activos
6.Gestión de Comunicaciones y Operaciones6.1 10.1 Procedimientos operacionales y responsabilidades6.1.1 10.1.1
6.1.2 10.1.2 Gestion del Cambio
6.1.3 10.1.3
Seguridad de los Equipos Fuera de las Instalaciones
Seguridad de Reutilización o Eliminacion de Equipos
Documentación de los Procedimientos Operativos
Distribucion(Segregacion) de funciones
cualquier vaina_x000D_
6.1.4 10.1.4
6.2 10.2 Gestion de la prestacion del servicio por terceras partes6.2.1 10.2.1 Prestacion del Servicio
6.2.2 10.2.2
6.2.3 10.2.3
6.3 10.3 Planificacion y aceptacion del sistema6.3.1 10.3.1 Gestión de la Capacidad
6.3.2 10.3.2 Aceptación del Sistema
6.4 10.4 Protección contra códigos maliciosos y móvil6.4.1 10.4.1
6.4.2 10.4.2
6.5 10.5 Respaldo
Separacion de las instalaciones de desarrollo, ensayo y operación.
Monitoreo y revision de los servicios por terceros
Gestion de los cambios en los servicios por terceras partes
Controles contra códigos maliciosos
Controles contra código movil
cualquier vaina_x000D_
6.5.1 10.5.1 Respaldo de la Información
6.6 10.6 Gestion de la seguridad de las redes6.6.1 10.6.1 Controles de Red
6.6.2 10.6.2
6.7 10.7 Manejo de Medios6.7.1 10.7.1
6.7.2 10.7.2 Eliminacion de Medios
6.7.3 10.7.3
6.7.4 10.7.4
6.8 10.8 Intercambio de la Información6.8.1 10.8.1
6.8.2 10.8.2 Acuerdos de Intercambio
6.8.3 10.8.3 Medios físicos en transito
Seguridad en los Servicios de Red
Gestion de medios removibles
Procedimientos de manejo de la información
Seguridad de la documentacion del sistema
Políticas y Procedimientos para el intercambio de información
cualquier vaina_x000D_
6.8.4 10.8.4 Mensajería Electrónica
6.8.5 10.8.5
6.9 10.9 Servicios de Comercio Electrónico6.9.1 10.9.1 Comercio Electronico
6.9.2 10.9.2 Transacciones On-line
6.9.3 10.9.3
6.10 10.10 Monitoreo 6.10.1 10.10.1 Registro de Auditoría
6.10.2 10.10.2
6.10.3 10.10.3
6.10.4 10.10.4
6.10.5 10.10.5 Registro de Fallas
Sistema de información empresarial
Información disponible públicamente
Monitoreo del uso del sistema
Proteccion de la informacion del registro
Registro del administrador y del operador
cualquier vaina_x000D_
6.10.6 10.10.6 Sincronización de relojes
7.Control de Acceso7.1 11.1 Requisitos del negocio para el control de acceso7.1.1 11.1.1
7.2 11.2 Gestion del acceso de usuarios7.2.1 11.2.1 Registro de Usuarios
7.2.2 11.2.2 Gestión de Privilegios
7.2.3 11.2.3
7.2.4 11.2.4
7.3 11.3 Responsabilidades de Usuarios7.3.1 11.3.1 Uso de Password
7.3.2 11.3.2
7.3.3 11.3.3
7.4 11.4 Control de Acceso a las Redes
Política de Control de Acceso
Gestion de contraseñas para usuarios
Revision de los derechos de acceso de los usuarios
Equipos de usuario desatendido
Política de escritorio despejado y pantalla despejada
cualquier vaina_x000D_
7.4.1 11.4.1
7.4.2 11.4.2
7.4.3 11.4.3
7.4.4 11.4.4
7.4.5 11.4.5 Separacion de la red
7.4.6 11.4.6
7.4.7 11.4.7
7.5 11.5 Controles de Acceso al Sistema Operativo7.5.1 11.5.1
7.5.2 11.5.2
Politica de uso de los servicios en red
Autenticacion de Usuarios para conexiones externas
Identificación de equipos en la red
Proteccion de los puertos de configuracion y diagnostico remoto
Control de Conexiones a las Redes
Control del enrutamiento de la red
Procedimientos de registro de inicio seguro
Identificación y Autenticación de Usuarios
cualquier vaina_x000D_
7.5.3 11.5.3
7.5.4 11.5.4
7.5.5 11.5.5
7.5.6 11.5.6
7.6 11.6 Control de Acceso a las Aplicaciones y a la Información7.6.1 11.6.1
7.6.2 11.6.2
7.7 11.7 Computación Móvil y Teletrabajo7.7.1 11.7.1
7.7.2 11.7.2 Trabajo Remoto
8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion8.1 12.1 Requerimientos de Seguridad de los Sistemas de Información8.1.1 12.1.1
8.2 12.2 Procesamiento Correcto en Aplicaciones
Sistema de gestion de contraseñas
Uso de las utilidades del sistema
Tiempo de inactividad de la sesion
Limitación del tiempo de conexión
Restricción de Acceso a la Información
Aislamiento de Sistemas Sensibles
Computacion y comunicaciones moviles
Analisis y especificacion de los requisitos de seguridad
cualquier vaina_x000D_
8.2.1 12.2.1
8.2.2 12.2.2
8.2.3 12.2.3 Integridad del Mensaje
8.2.4 12.2.4
8.3 12.3 Controles Criptográficos8.3.1 12.3.1
8.3.2 12.3.2 Manejo de Claves
8.4 12.4 Seguridad de los Archivos del Sistema8.4.1 12.4.1
8.4.2 12.4.2
8.4.3 12.4.3
8.5 12.5 Seguridad en los procesos de desarrollo y soporte8.5.1 12.5.1
Validación de Datos de Entrada
Control de Procesamiento Interno
Validación de Datos de Salida
Politica sobre el uso de controles criptograficos
Control de Software Operativo
Protección de los Datos de Prueba del Sistema
Control de Acceso a Código Fuente de los programas
Procedimientos de Control de Cambios
cualquier vaina_x000D_
8.5.2 12.5.2
8.5.3 12.5.3
8.5.4 12.5.4 Fuga de Información
8.5.5 12.5.5
8.6 12.6 Gestión de la Vulnerabilidad Técnica8.6.1 12.6.1
9.Gestión de los Incidentes de Seguridad9.1 13.1 Reporte sobre los eventos y las debilidades de la seguridad de la informacion9.1.1 13.1.1
9.1.2 13.1.2
9.2 13.2 Gestión de los Incidentes y las mejoras en Seguridad de la Información9.2.1 13.2.1
Revisión Técnica de Aplicaciones despues de los Cambios en el Sistema Operativo
Restricciones en Cambios a los Paquetes de Software
Desarrollo de Software Contratado Externamente
Control de Vulnerabilidades Técnicas
Reporte Sobre los Eventos de Seguridad de la Informacion
Reporte sobre las debilidades de seguridad
Responsabilidades y Procedimientos
cualquier vaina_x000D_
9.2.2 13.2.2
9.2.3 13.2.3 Recolección de Evidencias
10.Gestión de la Continuidad del Negocio10.1 14.1 Aspectos de Seguridad de la informacion en la Gestión de la Continuidad del Negocio10.1.1 14.1.1
10.1.2 14.1.2
10.1.3 14.1.3
10.1.4 14.1.4
10.1.5 14.1.5
11.Cumplimiento11.1 15.1 Cumplimiento de los Requerimientos Legales11.1.1 15.1.1
Aprendizaje debido a los incidentes de seguridad de la informacion
Inclusion de la Seguridad de la informacion en el Proceso de Gestión de Continuidad del Negocio
Continuidad del Negocio y Evaluación de Riesgos
Desarrollo e Implementación de Planes de Continuidad incluyendo Seguridad de la Información
Estructura para la planificacion de la continuidad del negocio
Prueba, Mantenimiento y Reevaluacion de los Planes de Continuidad del Negocio
Identificación de Legislación Aplicable
cualquier vaina_x000D_
11.1.2 15.1.2
11.1.3 15.1.3
11.1.4 15.1.4
11.1.5 15.1.5
11.1.6 15.1.6
11.2 15.2 Cumplimiento de las politicas y las normas de seguridad y cumplimiento tecnico11.2.1 15.2.1
11.2.2 15.2.2
11.3 15.3 Consideraciones de Auditoría de los Sistemas de informacion11.3.1 15.3.1
11.3.2 15.3.2
Derechos de Propiedad Intelectual
Protección de los Registros de la Organización
Protección de los Datos y privacidad de los datos personales
Prevencion del uso inadecuado de los servicios de procesamiento de informacion
Reglamentacion de los controles criptograficos
Cumplimiento con Políticas y Normas de Seguridad
Verificacion de Cumplimiento Técnico
Controles de Auditoría de los Sistemas de Información
Proteccion de las herramientas de auditoria de los sistemas de informacion
cualquier vaina_x000D_
Area de Auditoría, objectivo y preguntaPregunta de Auditoría Estado (%)
1.Política de SeguridadPolíticas de Seguridad de Información
50
10
2.Organization de la SeguridadOrganización Interna
10
30
50
90
60
Resultado
Existe una Política de Seguridad de la Información, que es aprobada por la dirección, publicada y comunicada a todos los empleados?Establecen las políticas un compromiso de las Gerencias con relación al método de la organización para la gestión de la seguridad de la información?
Las políticas de seguridad son revisadas a intervalos regulares, o cuando hay cambios significativos para asegurar su efectividad? Las políticas de Seguridad de la Información tienen un propietario aprobado por la gerencia, para la gestión, el desarrollo, revisión y evaluación de la política de seguridad?Existen procedimientos de revisión de las políticas de seguridad y estos incluyen requerimientos para el manejo de su revisión?Se obtiene la aprobación de la alta gerencia con relación a las políticas revisadas?
La gerencia demuestra soporte activo a las medidas de seguridad dentro de la organización.?
Las actividades de seguridad de información son coordinadas por representantes de distintas partes de la organización, con sus roles pertinentes y responsabilidades?
Están establecidas las responsabilidades de protección de activos individuales y llevan a cabo procesos de seguridad específicos que estén claramente identificados y definidos?
El proceso de gestión de autorización de nuevos servicios de procesamiento de informacion está definido e implementado?
Se identifican y revisan los requisitos de confidencialidad y propiedad de la informacion?
cualquier vaina_x000D_
90
20
10
Partes Externas30
20
20
3.Administración de ActivosResponsibilidad por Activos
50
80
80
Existe algún procedimiento que describa cuando y quienes deben contactar a las autoridades competentes, departamento de bomberos, etc y cómo deben reportarse los incidentes?
Existen los contactos apropiados con grupos especiales de interés, foros de seguridad o asociaciones profesionales relacionadas con la seguridad?
La direccion implementa revisiones independientes de la gestion de la seguridad de la informacion a intervalos planificados?
Los riesgos inherentes a equipos o sistemas de información de terceros son identificados y luego implementadas medidas de control apropiadas antes de permitir el acceso?
Son identificados todos los requerimientos de seguridad y que sean cumplidos antes de conceder acceso a los clientes a los activos de la organización?
Los acuerdos con terceros incluyen accesos, procesamiento, comunicaciones, manejo de la información o equipos que involucren almacenamiento de información que cumplan con todos los requerimientos de seguridad?
Son los activos debidamente identificados e inventariados ? Dicho inventario contiene informacion como tipo, formato, ubicación, valor para el negocio?
Los activos de la organización tienen designado un propietario dentro de la organización?(Proceso, area)
Son identificadas, documentadas e implementadas todas las reglas con respecto al uso aceptable de información y activos asociados con el procesamiento de información?
cualquier vaina_x000D_
Clasificación de la Información10
30
4.Seguridad de RRHHPrevio al Empleo
50
90
90
Durante el Empleo50
20
La información es clasificada en terminos de su valor, requerimientos legales, sensibilidad y criticidad para la organización?
Son definidos conjuntos de procedimientos para etiquetado y manejo de la información en concordancia con el esquema de clasificación atoptado por la organización?
Están claramente definidos y documentados de acuerdo a las políticas de seguridad de información de la organización los roles y responsabilidades de los empleados, contratistas y terceros?Son los roles y responsabilidades definidos previamente, comunicados claramente a los candidatos a empleo durante el proceso de pre empleo?
Los controles de verificación de antecedentes para todos los candidatos a empleo, contratistas y terceros, son llevados a cabo de acuerdo a los reglamentos leyes pertinentes?Incluye la verificación referencias sobre la confirmación de titulos académicos, cualidades profesionales y chequeos independientes de identidad?
Son firmados con los empleados, contratistas y terceros, acuerdos de confidencialidad y acuerdos de no divulgación como parte inicial de los términos y condiciones de contratos de trabajo?Estos acuerdos y contratos cubren las responsabilidades de seguridad de información de la organización, los empleados, contratistas y terceros?
La direccion exige a los empleados, contratistas y terceros que apliquen la seguridad en concordancia con las Políticas y Procedimientos establecidos en la Organización?
Los empleados, contratistas y terceros reciben la apropiada sensibilización, educación y formación permanente sobre la Seguridad de Información con respecto a sus funciones laborales específicas?
cualquier vaina_x000D_
30
Terminación o Cambio de Empleo90
90
70
5. Seguridad Fisica y del EntornoAreas Seguras
60
40
50
90
20
70
Seguridad de los Equipos70
Existe un proceso disciplinario para aquellos empleados que incumplen las políticas de seguridad?
Las responsabilidades de procedimiento de terminación o cambio de empleo están claramente definidas y asignadas?
Existe un procedimiento a seguir con respecto a asegurar que los empleados, contratistas y terceros devuelvan los activos de la organización que estén en su poder al terminar el contrato de empleo?
Son removidos los derechos de acceso de todos los empleados, contratistas y terceros a los sistemas de información al terminar el empleo en caso de que cambien de función?
Existen perimetros de seguridad para proteger las areas que contienen informacion y servicios de procesamiento de informacion?(Paredes, Puertas, Mostradores)
Existen controles de acceso de tal modo que solo las personas autorizadas puedan ingresar a las distintas areas de la organización? Dichos accesos son registrados con hora y fecha de entrada y salida? (Tarjetas, Biometricos)
Las salas de servidores u otros equipos de procesamiento (routers, switches, etc.), están apropiadamente resguardadas bajo llave o en cabinas con llave?
Se tienen implementadas protecciones o resguardos contra fuego, inundaciones, temblores, explosiones, manifestaciones y otras formas de desastres naturales o provocadas por el hombre?
Se tienen procedimientos designados e implementados sobre como trabajar en las areas seguras? Retriccion de ingreso de camaras, celulares, memorias, alimentos?
Con respecto a las zonas de acceso público, entrega, descarga donde personas no autorizadas pueden acceder, las zonas de procesamiento de información y equipos delicados son aislados y asegurados para prevenir el acceso no autorizado?
Los equipos son protegidos para reducir los riesgos de daños ambientales y oportunidades de acceso no autorizado?
cualquier vaina_x000D_
60
60
40
10
10
40
6.Gestión de Comunicaciones y OperacionesProcedimientos operacionales y responsabilidades
10
50
40
Los equipos son protegidos contra fallas eléctricas y otras fallas en los servicios de suministro?
Los cables de suministro eléctrico y comunicaciones son debidamente protegidos contra intercepción y/o daños?
Se realiza mantenimiento periódico de los equipos de modo a asegurar la continua disponibilidad e integridad?En la realización de mantenimientos, son respetados los intervalos y recomendaciones de los fabricantes?Los mantenimientos son realizados unicamente por personal capacitado y autorizado?Los logs de alertas de los equipos, son revisados periodicamente para detectar y corregir posibles fallas en los mismos? (principalmente fallas en discos)Se aplican los controles adecuados cuando se envían los equipos fuera de la organización?(Cambios por garantias donde toque enviar el equipo a reparar fuera de la empresa)Todos los equipos están cubiertos por pólizas de seguro y los requerimientos de la Compañía de Seguros están apropiadamente realizados?
Existen mecanismos de control y mitigación de riesgos implementados con relación a equipos utilizados fuera de la organización? (encripción de discos de las notebooks, seguro, etc.)En caso de utilización de equipos fuera de la organización, estos cuentan con la autorización respectiva de las gerencias?
Cuando se disponga la reutilización de equipos o cuando sean dados de baja, son verificados los medios de almacenamiento con respecto a datos y software licenciado y luego destruidos totalmente antes de su entrega?
Existen controles implementados con respecto a que ningún equipo, información y software sea sacado de la organización sin la autorización respectiva?
Los procedimientos operativos son documentados, actualizados y están disponibles para todos los usuarios que puedan necesitarlos?Dichos procedimientos son tratados como documentos formales y cualquier cambio en los mismos necesita la autorización pertinente?
Son controlados todos los cambios en los sistemas y equipos de procesamiento de información?
Son separadas las tareas y responsabilidades de modo a reducir las oportunidades de modificación o mal uso de los sistemas de información?
cualquier vaina_x000D_
60
Gestion de la prestacion del servicio por terceras partes70
70
70
Planificacion y aceptacion del sistema50
80
Protección contra códigos maliciosos y móvil70
10
Respaldo
Los equipos de desarrollo y pruebas están separados de los equipos operacionales? Por ejemplo desarrollo de software debe estar en un equipo separado del de producción. Cuando sea necesario, incluso deben estar en segmentos de red distintos unos del otro.
Se garantiza que los controles de seguridad, las definiciones del servicio y los niveles de prestacion del servicio incluidos en el acuerdo sean implementados, mantenidos y operados por el tercero?
Son los servicios, reportes y registros proveídos por teceros regularmente monitoreados y revisados?
Se gestionan los cambios en la prestacion de servicios de los terceros?
La capacidad de procesamiento de los sistemas son monitoreados en base a la demanda y proyectados en base a requerimientos futuros, de modo a asegurar que la capacidad de proceso y almacenamiento estén disponibles? Ejemplo: Monitoreo de espacio en disco, Memoria RAM, CPU en los servidores críticos.
Son establecidos criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones? Son realizadas pruebas antes de la aceptación de los mismos?
Existen controles para detección, prevención y recuperado contra código malicioso y son desarrollados e implementados procedimientos apropiados de advertencia a los usuarios?
En caso de necesitarse código móvil, este solo debe utilizarse una vez que haya sido autorizado. Las configuraciones del código móvil autorizado deben realizarse y operarse de acuerdo a las Políticas de Seguridad. La ejecución del código móvil no autorizado, debe prevenirse. (Código Móvil es código de software que se transfiere de una computadora a otra y que se ejecuta automáticamente. Realiza una función específica con muy poca o casi ninguna intervención del usuario. El código móvil está asociado a un gran número de servicios de middleware)
cualquier vaina_x000D_
50
Gestion de la seguridad de las redes20
20
Manejo de Medios10
10
30
30
Intercambio de la Información40
10
10
Se realizan copias de respaldo de la información y software y son testeados regularmente en conconrdancia con las políticas de backup?Toda la información y el software esencial puede ser recuperado en caso de ocurrencia de un desastre o fallo de medios?
Se cuentan con controles que garanticen la seguridad de la informacion sobre las redes y la proteccion de los servicios conectados contra el acceso no autorizado?
Se consideran los requisitos de seguridad, niveles de servicio de los servicios contratados para la gestion de la red?
Existen procedimientos para el manejo de medios removibles como cintas, diskettes, tarjetas de memoria, lectores de CD, pendrives, etc.?Los procedimientos y niveles de autorización están claramente definidos y documentados?
En caso de que los medios ya no sean requeridos, estos son eliminados de forma segura bajo procedimientos formalmente establecidos?
Existen procedimientos para el manejo del almacenamiento de la información?Aborda este procedimiento temas como: protección de la información contra acceso no autorizado o mal uso?
La documentación de los sistemas está protegida contra acceso no autorizado?
Existe una política formal, procedimientos y/o controles aplicados para asegurar la protección a la información?Estos procedimientos y controles cubren el uso de equipos de comunicación electrónica en el intercambio de información?
Existen acuerdos de intercambio de información y software entre la organización y partes externas?El contenido de los acuerdos con respecto a la seguridad refleja la sensibilidad y criticidad de la información de negocio envuelta en el proceso?
Los medios físicos que contengan información es protegida contra acceso no autorizado, mal uso o corrupción de datos durante el transporte entre las organizaciones?
cualquier vaina_x000D_
40
40
Servicios de Comercio Electrónico10
10
40
Monitoreo 30
20
30
30
40
La información que se envía por mensajería electrónica es bien protegida?(Mensajería Electrónica incluye pero no es restringida solamente a email, intercambio electrónico de datos, mensajería instantanea, etc.)
Las políticas y procedimientos son desarrolladas y tendientes a fortalecer la protección de información asociada con la interconexión de sistemas de negocio?
En los controles de seguridad son tenidos en cuenta la aplicación de controles criptográficos?El comercio electrónico entre los socios comerciales incluyen un acuerdo, que compromete a ambas partes a la negociación de los términos convenidos, incluidos los detalles de las cuestiones de seguridad?
La información envuelta en transacciones en línea está protegida contra transmisiones incompletas, mal ruteo, alteración de mensajería, divulgación no autorizada, duplicación no autorizada o replicación?(Certificados digitales)
La integridad de la información disponible publicamente está protegida contra modificación no autorizada?
Los registros de auditoría que guardan la actividad de los usuarios, excepciones, eventos de seguridad de información que ocurren, se guardan por un periodo razonable de tiempo de tal modo a poder realizar investigaciones futuras y monitoreo de acceso?
Son desarrollados procedimientos de monitoreo de equipos de procesamiento de datos?El resultado de la actividad de monitoreo es revisada regularmente de forma periódica?Se aplican actividades de monitoreos exigidos por la ley?
Los equipos que contienen los registros y logs de auditoría son bien protegidos contra posibles manipulaciones y acceso no autorizado?
Las actividades de los Administradores y Operadores de sistemas son registradas en los logs?Son revisados regularmente los logs?
Las fallas reportadas por usuarios o por los sistemas son registradas y luego analizadas y se toman acciones al respecto?
cualquier vaina_x000D_
20
7.Control de AccesoRequisitos del negocio para el control de acceso
60
Gestion del acceso de usuarios60
40
20
20
Responsabilidades de Usuarios20
10
10
Control de Acceso a las Redes
Los relojes de todos los sistemas de información están sincronizados en base a una misma fuente de tiempo exacta acordada?(La correcta sincronización de los relojes es importante para asegurar la cronología de eventos en los logs)
Las políticas de control de acceso son desarrolladas y revisadas basadas en los requerimientos de seguridad del negocio?Los controles de acceso tanto físico como lógico son tenidos en cuenta en las políticas de control de acceso?Tanto a los usuarios como a los proveedores de servicios se les dio una clara declaración de los requisitos de la empresa en cuanto a control de acceso?
Existe algún procedimiento formal de altas/bajas de usuarios para acceder a los sistemas?
La asignación y uso de privilegios en los sistemas de información, es restringida y controlada en base a las necesidades de uso y dichos privilegios son solo otorgados bajo un esquema formal de autorización?
Existe un proceso formal de asignacion de contraseñas?Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del password?
Existe un procedimiento formal de revision periodica de derechos de acceso de los usuarios?
Existe alguna práctica de seguridad en el sitio para guiar a la selección y mantenimiento de contraseñas seguras?
Se concientiza a los usuarios sobre los requisitos y los procedimientos de seguridad para proteger los equipos desatendidos?Por ejemplo: Salir del sistema cuando las sesiones son terminadas o configurar terminación automática de sesiones por tiempo de inactividad, etc.
La organización ha adoptado una política de escritorio limpio con relación a los papeles y dispositivos de almacenamiento removibles?La organización ha adoptado una política de pantalla limpia con relación a los equipos de procesamiento de información?
cualquier vaina_x000D_
10
50
80
40
20
40
40
Controles de Acceso al Sistema Operativo20
40
Se le provee a los usuarios acceso unicamente a los servicios de red a los cuales han sido autorizados específicamente?Existen políticas de seguridad relacionadas con la red y los servicios de red?
Son utilizados mecanismos apropiados de autenticación para controlar el acceso remoto de los usuarios?
La identificación automática es considerada para autenticar conexiones desde equipos y direcciones específicas?
Los accesos físicos y lógicos a puertos de diagnóstico están apropiadamente controlados y protegidos por mecanismos de seguridad?
Los grupos de servicios de información, usuarios y sistemas de información son segregados en la red?La red (desde donde asociados de negocios o terceros necesitan acceder a los sistemas de información) es segregada utilizando mecanismos de seguridad perimetral como firewalls?En la segregación de la red son hechas las consideraciones para separar las redes wireles en internas y privadas?
Existe una política de control de acceso que verifique conexiones provenientes de redes compartidas, especialmente aquellas que se extienden mas allá de los límites de la organización?
Existen políticas de control de acceso que establezcan los controles que deben ser realizados a los ruteos implementados en la red?Los controles de ruteo, están basados en mecanismos de identificación positiva de origen y destino?
Los accesos a sistemas operativos son controlados por procedimientos de log-on seguro?
Un único identificador de usuario (user ID) es proveído a cada usuario incluyendo operadores, administradores de sistemas y otros técnicos?Se eligen adecuadas técnicas de autenticación para demostrar la identidad declarada de los usuarios?El uso de cuentas de usuario genéricas son suministradas sólo en circunstancias especiales excepcionales, donde se especifícan los beneficios claros de su utilización. Controles adicionales pueden ser necesarios para mantener la seguridad.
cualquier vaina_x000D_
20
10
10
10
Control de Acceso a las Aplicaciones y a la Información50
30
Computación Móvil y Teletrabajo10
10
8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de InformacionRequerimientos de Seguridad de los Sistemas de Información
50
Procesamiento Correcto en Aplicaciones
Existe un sistema de gestión de contraseñas que obliga al uso de controles como contraseña individual para auditoría, periodicidad de caducidad, complejidad mínima, almacenamiento encriptado, no despliegue de contraseñas por pantalla, etc.?
En caso de existir programas utilitarios capaces de saltarse los controles de aplicaciones de los sistemas, estos están restringidos y bien controlados?
Las aplicaciones son cerradas luego de un periodo determinado de inactividad?(Un tiempo determinado de inactividad puede ser determinado por algunos sistemas, que limpian la pantalla para prevenir acceso no autorizado, pero no cierra la aplicación o las sesiones de red)
Existen restricciones limitando el tiempo de conexión de aplicaciones de alto riesgo? Este tipo de configuraciones debe ser considerada para aplicaciones sensitivas cuyas terminales de acceso se encuentran en lugares de riesgo.
El acceso a la información y los sistemas de aplicaciones por parte los usuarios y personal de soporte, está restringido en concordancia con las políticas de control de acceso definidas?
Aquellos sistemas considerados sensibles, están en ambientes aislados, en computadoras dedicadas para el efecto, con recursos compartidos con aplicaciones seguras y confiables, etc?
Existe una política formal y medidas apropiadas de seguridad adoptadas para protegerse contra el riesgo de utilización de computación y equipos de comunicación movil?
Se desarrollan e implementan políticas, planes operativos y procedimientos con respecto a tareas de teletrabajo?
Los requerimientos de seguridad para nuevos sistemas de información y fortalecimiento de los sistemas existentes, especifican los requerimientos para los controles de seguridad?Los requerimientos para la seguridad de información de los sistemas y procesos son integrados en las primeras etapas de los proyectos de sistemas?
cualquier vaina_x000D_
60
60
20
70
Controles Criptográficos10
10
Seguridad de los Archivos del Sistema70
10
40
Seguridad en los procesos de desarrollo y soporte60
Los datos introducidos a los sistemas, son validados para asegurar que son correctos y apropiados?Los controles tales como: Diferentes tipos de mensajes de error para datos mal ingresados, Procedimientos para responder a los errores de validación, definición de responsabilidades para todo el personal envuelto en la carga de datos, etc. son considerados?
Son incorporadas validaciones en las aplicaciones para detectar/prevenir que puedan ser ingresados datos no válidos por error o deliberadamente?Se tiene en cuenta en el diseño y la implementación de las aplicaciones que el riesgo de fallas en el procesamiento que conduzcan a perdida de integridad de datos sea minimizado?
Los requerimientos para aseguramiento y protección de la integridad de los mensajes en las aplicaciones, son debidamente identificados e implementados los controles necesarios?(Criptografia)
Los sistemas validan los datos de salida para asegurar que el procesamiento de la informacion almacenada es correcta?
La organización posee políticas de uso de controles criptográficos para protección de la información? Estas políticas son implementadas con éxito?
La administración de claves se utiliza efectivamente para apoyar el uso de técnicas criptográficas en la organización?Las claves criptográficas están protegidas correctamente contra modificación, pérdida y/o destrucción?Las claves públicas y privadas están protegidas contra divulgación no autorizada?Los equipos utilizados para generar o almacenar claves, están físicamente protegidos?
Existen procedimientos para controlar la instalación de software en los sistemas operativos (Esto es para minimizar el riesgo de corrupción de los sistemas operativos)
Los datos de pruebas se seleccionan, protegen y contran cuidadosamente?
Existen controles estrictos de modo a restringir el acceso al código fuente? (esto es para prevenir posibles cambios no autorizados)
Existen procedimientos de control estricto con respecto a cambios en los sistemas de información? (Esto es para minimizar la posible corrupción de los sistemas de información)Estos procedimientos aborda la necesidad de evaluación de riesgos, análisis de los impactos de los cambios?
cualquier vaina_x000D_
30
50
20
80
Gestión de la Vulnerabilidad Técnica10
9.Gestión de los Incidentes de SeguridadReporte sobre los eventos y las debilidades de la seguridad de la informacion
30
10
Gestión de los Incidentes y las mejoras en Seguridad de la Información10
Existen procesos a seguir o procedimientos para revisión y testeo de las aplicaciones críticas de negocio y seguridad, luego de cambios en el Sistema Operativo? Periódicamente, esto es necesario cada vez que haya que hacer un parcheo o upgrade del sistema operativo.
Las modificaciones a los paquetes de software, son desalentadas o limitadas extrictamente a los cambios mínimos necesarios?Todos los cambios son estrictamente controlados?
Existen controles para prevenir la fuga de información?Controles tales como escaneo de dispositivos de salida, monitoreo regular del personal y actividades permitidas en los sistemas bajo regulaciones locales, monitoreo de recursos, son considerados?
El desarrollo de software tercerizado, es supervisado y monitoreado por la organización?Puntos como: Adquisición de licencias, acuerdos de garantía, requerimientos contractuales de calidad asegurada, testeo antes de su instalación definitiva, revisión de código para prevenir troyanos, son considerados?
Se obtiene información oportuna en tiempo y forma sobre las vulnerabilidades técnicas de los sistemas de información que se utilizan?La organización evalúa e implementa medidas apropiadas de mitigación de riesgos a las vulnerabilidades a las que está expuesta?
Los eventos de seguridad de información, son reportados a través de los canales correspondientes?Son desarrollados e implementados procedimientos formales de reporte, respuesta y escalación en incidentes de seguridad?
Existen procedimientos que aseguren que todos los empleados deben reportar cualquier vulnerabilidad en la seguridad en los servicios o sistemas de información?
Están claramente establecidos los procedimientos y responsabilidades de gestión para asegurar una rápida, efectiva y ordenada respuesta a los incidentes de seguridad de información?Es utilizado el monitoreo de sistemas, alertas y vulnerabilidades para detectar incidentes de seguridad?
cualquier vaina_x000D_
30
30
10.Gestión de la Continuidad del NegocioAspectos de Seguridad de la informacion en la Gestión de la Continuidad del Negocio
10
30
10
30
10
11.CumplimientoCumplimiento de los Requerimientos Legales
60
Existen mecanismos establecidos para identificar y cuantificar el tipo, volumen y costo de los incidentes de seguridad?La información obtenida de la evaluación de incidentes de seguridad que ocurrieron en el pasado, es utilizada para determinar el impacto recurrente de incidencia y corregir errores?
Las medidas de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica una acción legal (ya sea civil o penal)?Se cuenta con procedimientos internos para recolectar y presentar evidencias?
Se cuenta con un proceso de gestion de la continuidad del negocio en toda la compañía que trata los requisitos de seguridad de la informacion?
Los eventos que puedan causar interrupción al negocio, son identificados sobre la base de probabilidad, impacto y posibles consecuencias para la seguridad de información?
Son desarrollados planes para mantener y restaurar las operaciones de negocio, asegurar disponibilidad de información dentro de un nivel aceptable y en el rango de tiempo requerido siguiente a la interrupción o falla de los procesos de negocio?Considera el Plan, la identificación y acuerdo de responsabilidades, identificación de pérdida aceptable, implementación de procedimientos de recuperación y restauración, documentación de procedimientos y testeo periódico realizado regularmente?
Existe un marco único del Plan de Continuidad de Negocios?Este marco, es mantenido regularmente para asegurarse que todos los planes son consistentes e identifican prioridades para testeo y mantenimiento?
Los Planes de Continuidad del Negocio, son probados regularmente para asegurarse de que están actualizados y son efectivos?
Todas las leyes relevantes, regulaciones, requerimientos contractuales y organizacionales son tenidos en cuenta ?
cualquier vaina_x000D_
60
40
20
20
10
Cumplimiento de las politicas y las normas de seguridad y cumplimiento tecnico50
30
Consideraciones de Auditoría de los Sistemas de informacion50
50
Existen procedimientos para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales sobre el uso de materiales y software que estén protegidos por derechos de propiedad intelectual?Controles tales como: Política de Cumplimiento de Derechos de Propiedad Intelectual, Procedimientos de Adquisición de Software, Política de concientización, Mantenimiento de Prueba de la Propiedad, Cumplimiento con Términos y Condiciones, son consideradas?
Los registros importantes de la organización están protegidos contra pérdida, destrucción y falsificación en concordancia con los requerimientos legales, regulatorios, contractuales y de negocio?
Se protegen los datos y la privacidad de acuerdo con la legislacion?
El uso de instalaciones de proceso de información para cualquier propósito no autorizado o que no sea del negocio, sin la aprobación pertinente, es tratada como utilización impropia de las instalaciones?Es realizado un asesoramiento jurídico, antes de aplicar cualquier procedimiento de monitoreo y control?
Los controles criptográficos son usados en cumplimiento de los acuerdos contractuales establecidos, leyes y regulaciones?
Los Administradores se aseguran que todos los procedimientos dentro de su area de responsabilidad, se llevan a cabo correctamente para lograr el cumplimiento de las normas y políticas de seguridad?
Los sistemas de información son regularmente revisados con respecto al cumplimiento de estándares de seguridad?La verificación técnica es llevada a cabo por, o bajo la supervisión de, personal técnico competente y autorizado?
Las actividades de auditoria sobre los sistemas de informacion se planifican cuidadosamente para minimizar el riesgo de interrupciones de procesos del negocio?
La información a la que se accede por medio de las herramientas de auditoría, ya sean software o archivos de datos, están protegidos para prevenir el mal uso o fuga no autorizada?El ambiente de auditoría está separado de los ambientes operacionales y de desarrollo, a penos que haya un nivel apropiado de protección?
ISO 27001 Compliance Checklist
Vinod Kumar_x000D_vinodjis@hotmail.comPage 31 04/17/2023
Dominio Objetivos1.Política de Seguridad Políticas de Seguridad de Información
Organización InternaPartes Externas
3.Administración de ActivosResponsabilidad por Activos
Clasificación de Información
4.Seguridad de RRHH
Previo al Empleo
Durante al Empleo
Terminación o Cambio de empleo
Areas Seguras
Seguridad en los equipos
Procedimientos operacionales y responsabilidades
Gestion de la prestacion del servicio por terceras partes
Planificacion y aceptacion del sistema
Protección contra Código Malicioso y Móvil
Respaldo
Gestion de la seguridad de las redes
Manejo de Medios
Intercambio de Información
Servicios de Comercio Electrónico
Monitoreo
7.Control de Acceso
Requerimientos del Negocio para Control de Acceso
Gestion del acceso de usuarios
Responsabilidades de Usuarios
Control de Acceso a las Redes
Controles de Acceso al Sistema Operativo
Control de Acceso a las Aplicaciones y a la Información
Computación Móvil y Teletrabajo
Requerimientos de Seguridad de los Sistemas de Información
Procesamiento Correcto en Aplicaciones
Controles Criptográficos
Seguridad de los Archivos de Sistemas
Seguridad en los procesos de desarrollo y soporte
Gestión de la Vulnerabilidad Técnica
Reporte sobre los eventos y las debilidades de la seguridad de l
Gestión de los Incidentes y las mejoras en Seguridad de la Info
Aspectos de Seguridad de la informacion en la Gestión de la Co
2.Organization de la Seguridad
5. Seguridad Fisica y del Entorno
6.Gestión de Comunicaciones y Operaciones
8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion
9.Gestión de los Incidentes de Seguridad
10.Gestión de la Continuidad del Negocio
ISO 27001 Compliance Checklist
Vinod Kumar_x000D_vinodjis@hotmail.comPage 32 04/17/2023
11.Cumplimiento
Cumplimiento de los Requerimientos Legales
Cumplimiento de las politicas y las normas de seguridad y cumpl
Consideraciones de Auditoría de los Sistemas de informacion
ISO 27001 Compliance Checklist
Vinod Kumar_x000D_vinodjis@hotmail.comPage 33 04/17/2023
Estado (%)30%
45%23%
70%
20%
77%
33%
83%
0%
41%
40%
70%
65%
40%
50%
20%
20%
28%
20%
28%
60%
35%
13%
40%
18%
40%
10%
50%
53%
10%
40%
48%
10%
20%
23%
18%
ISO 27001 Compliance Checklist
Vinod Kumar_x000D_vinodjis@hotmail.comPage 35 04/17/2023
Dominio Estado (%)1.Política de Seguridad 30%
2.Organization de la Seguridad 34%
3.Administración de Activos 45%
4.Seguridad de RRHH 64%
5. Seguridad Fisica y del Entorno 21%
6.Gestión de Comunicaciones y Operaciones 38%
7.Control de Acceso 31%
8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de 35%
9.Gestión de los Incidentes de Seguridad 22%
10.Gestión de la Continuidad del Negocio 18%
11.Cumplimiento 42%
Total 35%
1.Política de Seguridad
2.Organization de la Seguridad
3.Administración de Activos
4.Seguridad de RRHH
5. Seguridad Fisica y del Entorno
6.Gestión de Comunicaciones y Operaciones7.Control de Acceso
8.Adquisicion, Desarrollo y Mantenimiento de Sistemas de Informacion
9.Gestión de los Incidentes de Seguridad
10.Gestión de la Continuidad del Negocio
11.Cumplimiento
0%
50%
100%
Diagnóstico ISO 27001 - Junio de 2013
Column B
Periodo Calificacion2013-I 35%2013-II 30%2014-I 50%2014-II 40%
2013-I 2013-II 2014-I 2014-II
Column B 35% 30% 50% 40%
5%
15%
25%
35%
45%
55%
ISO 27001 Compliance Checklist
Vinod Kumar_x000D_vinodjis@hotmail.comPage 39 04/17/2023
Chequeo de CumplimientoUn formato condicional ha sido proveído sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (%)" y se menciona abajo:
Escala %
No Aplica N/A
Inexistente 0
Inicial 20
Repetible 40
Definido 60
Gestionado 80
Optimizado 100
1 to 2526 to 7576 to 100
En el campo "Observaciones" comente la evidencia que usted vió o los comentarios sobre la implementaciónEn el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arribaSi alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular no es aplicable para la organización.
Cumplimiento por Control
Cumplimiento por Dominio
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada dominio en base al estado que se carga en la hoja "Chequeo de Cumplimiento".Representación Gráfica
Esto le proporcionará una representación gráfica del estado por dominio, el cual puede ser incorporado a su presentación a las Gerencias
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada Objetivo de control en base al estado que se carga en la hoja "Chequeo de Cumplimiento"
ISO 27001 Compliance Checklist
Vinod Kumar_x000D_vinodjis@hotmail.comPage 40 04/17/2023
Un formato condicional ha sido proveído sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (%)" y se menciona abajo:
Descripción
No aplica.
En el campo "Observaciones" comente la evidencia que usted vió o los comentarios sobre la implementaciónEn el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arribaSi alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular no es aplicable para la organización.
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada dominio en base al estado que se carga en la hoja "Chequeo de Cumplimiento".
Esto le proporcionará una representación gráfica del estado por dominio, el cual puede ser incorporado a su presentación a las Gerencias
Falta de un proceso reconocible. La Organización no ha reconocido que hay un problema a tratar. No se aplican controles.
Se evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo. Sin embargo, no hay procesos estandarizados. La implementación de un control depende de cada individuo y es muchas veces es reactiva.
Los procesos y los controles siguen un patrón regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. Pero no están formalizados, ni hay comunicación formal sobre los procedimientos desarrollados. Hay un alto grado de confianza en los conocimientos de cada persona.
Los procesos y los controles se documentan y se comunican. No se han establecido mecanismos de monitoreo, para una detección de desviaciones efectiva.
Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de acción donde los procesos no estén funcionando eficientemente.
Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prácticas, basándose en los resultados de una mejora continua.
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada Objetivo de control en base al estado que se carga en la hoja "Chequeo de
ISO 27001 Compliance Checklist
Vinod Kumar_x000D_vinodjis@hotmail.comPage 41 04/17/2023
Un formato condicional ha sido proveído sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (%)" y se menciona abajo:
En el campo "Observaciones" comente la evidencia que usted vió o los comentarios sobre la implementaciónEn el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arribaSi alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular no es aplicable para la organización.
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada dominio en base al estado que se carga en la hoja "Chequeo de Cumplimiento".
Esto le proporcionará una representación gráfica del estado por dominio, el cual puede ser incorporado a su presentación a las Gerencias
Nota: Esta hoja ha sido programada para mostrar automáticamente el estado pertinente por cada Objetivo de control en base al estado que se carga en la hoja "Chequeo de
top related