ISO 27001 Compliance Checklist

Referencia
Checklist
1.1

Area de Auditora, objectivo y pregunta

Seccin
Polticas de Seguridad de Informacin Existe una Poltica de Seguridad de la Informacin, que es aprobada por la direccin, publicada y comunicada segn proceda, a todos los empleados? Establecen las polticas un compromiso de las Gerencias con relacin al mtodo de la organizacin para la gestin de la seguridad de la informacin? Las polticas de seguridad son revisadas a intervalos regulares, o cuando hay cambios significativos para asegurar la adecuacin y efectividad? Las polticas de Seguridad de la Informacin tiene un propietario, que ha aprobado la responsabilidad de la gestin para el desarrollo, revisin y evaluacin de la poltica de seguridad?

Resultado
Observaciones Estado (%)

Estandar
5.1

Pregunta de Auditora

Poltica de Seguridad

1.1.1

5.1.1

Documento de la Poltica de Seguridad de Informacin

1.1.2

5.1.2

Revisin de la Poltica de Seguridad

Administrador de Seguridad, CISO (Chief Information Security Officer) o CSO (Chief Security Officer).

Existen procedimientos de revisin de las polticas de Revisin Anual o cada vez seguridad y estos incluyen requerimientos para el que haya cambios manejo de su revisin? importantes Los resultados del revisin de la gestin son tenidos en cuenta? Se obtiene la aprobacin de la alta gerencia con relaci a las polticas revisadas?

Organization de la Seguridad de Informacin

2.1 6.1 Si la gerencia demuestra soporte activo a las medidas de seguridad dentro de la organizacin. Esto puede ser realizado por direcciones claras, compromiso demostrado, asignaciones explcitas y conocimiento de las responsabilidades de la seguridad de informacin. Si las actividades de seguridad de informacin son coordinadas por representantes de distintas partes de la organizacin, con sus roles pertinentes y responsabilidades.

2.11

6.11

Gestin de Compromiso con la Seguridad de Informacin

2.1.2

6.1.2

Coordinacin de la Seguridad de Informacin

Vinod Kumar vinodjis@hotmail.com

Page 1

8/7/2012

ISO 27001 Compliance Checklist

2.1.3

6.1.3

2.1.4

6.1.4

2.1.5

6.1.5

2.1.6

6.1.6

2.1.7

6.1.7

2.1.8 2.2 2.2.1 6.2

6.1.8

6.2.1

2.2.2

6.2.2

Estn establecidas las responsabilidades de proteccin de activos individuales y llevar a cabo procesos de seguridad especficos que estn claramente identificados y definidos? Si el proceso de gestin de autorizacin est definido e Proceso de autorizacion de instalaciones implementado para cada nuevo equipo de procesamiento de informacin dentro de la de Procesamiento de Informacin organizacin. Si la organizacin necesita de confidencialidad o Hacer firmar acuerdos de Acuerdos de no Divulgacin para proteccin de confidencialidad a los informacin que estn claramente definidos y empleados. revisados peridicamente. Acuerdos de Confidencialidad Tiene esta direccin la exigencia de proteger la informacin confidencial utilizando trminos legales exigibles? Existe algn procedimiento que describa cuando y quienes deben contactar a las autoridades Contacto con las Autoridades competentes, departamento de bomberos, etc y cmo deben reportarse los incidentes? Participacin en Existen los contactos apropiados con grupos especiales colectividades o asociaciones Contacto con Grupos de Intereses de inters, foros de seguridad o asociaciones de seguridad para estar Especiales profesionales relacionadas con la seguridad? actualizado Tiene la organizacin un enfoque sobre la gestin de la seguridad de informacin, su implementacin, revisin Revisin Independiente sobre la independiente a intervalos regulares o cuando ocurran Seguridad de Informacin cambios significativos? Partes Externas Los riesgos inherentes a equipos o sistemas de Identificacin de los riesgos relacionados informacin de terceros son identificados y luego implementadas medidas de control apropiadas antes con partes externas de permitir el acceso? Son identificados todos los requerimientos de Abordar la seguridad al tratar con los seguridad sean cumplidos antes de conceder acceso a clientes los clientes a los activos de la organizacin? Asignacin de Responsabilidades de Seguridad de Informacin

Vinod Kumar vinodjis@hotmail.com

Page 2

8/7/2012

ISO 27001 Compliance Checklist

2.2.3

6.2.3

Abordar la seguridad en acuerdos con terceros

Los acuerdos con terceros incluyen accesos, procesamiento, comunicaciones, manejo de la informacin o equipos que involucren almacenamiento de informacin que cumplan con todos los requerimientos de seguridad?

Administracin de Activos
3.1 3.1.1 7.1 7.1.1 Responsibilidad por Activos Inventario de Activos Son los activos debidamente identificados e Hardware, Software e inventariados o se mantiene un registro de los activos Informacin (PO2.3 Cobit) importantes? Los activos tienen identificados a sus respectivos propietarios y definidas con ellos clasificaciones de datos y restricciones de acceso en base a la criticidad, y estas restricciones revisadas periodicamente? Son identificadas, documentadas e implementadas todas las regulaciones existentes con respecto al uso aceptable de informacin y activos asociados con el procesamiento de informacin? La informacin es clasificada en terminos de su valor, requerimientos legales, sensibilidad y criticidad para la organizacin? Son definidos conjuntos de procedimientos para etiquetado y manejo de la informacin en concordancia con el esquema de clasificacin atoptado por la organizacin? LOPD o similares.

3.1.2

7.1.2

Propiedad de Activos

3.1.3 3.2 3.2.1 7.2

7.1.3

Uso aceptable de Activos Clasificacin de la Informacin

7.2.1

Directrices de Clasificacin

3.2.2

7.2.2

Etiquetado y manejo de informacin

Seguridad de Recursos Humanos

4.1 8.1 Previo al Empleo Estn claramente definidos y documentados de acuerdo a las polticas de seguridad de informacin de la organizacin los roles y responsabilidades de los empleados, contratistas y terceros? Son los roles y responsabilidades definidos previamente, comunicados claramente a los candidatos a empleo durante el proceso de pre empleo?

4.1.1

8.1.1

Roles y Responsabilidades

Vinod Kumar vinodjis@hotmail.com

Page 3

8/7/2012

ISO 27001 Compliance Checklist

4.1.2

8.1.2

Proyeccin

Los controles de verificacin de antecedentes para todos los candidatos a empleo, contratistas y terceros, son llevados a cabo de acuerdo a las regulaciones relevantes? Incluye la verificacin referencias sobre el carcter, confirmacin de titulos acadmicos, cualidades profesionales y chequeos independientes de identidad? Son firmados con los empleados, contratistas y Art. 65 inciso "k" del Cdigo terceros, contratos de confidencialidad y acuerdos de Laboral. Artculos 147 y 149 no divulgacin como parte inicial de los trminos y del Cdigo Penal - Paraguay. condiciones de contratos de trabajo? Estos acuerdos y contratos cubren las responsabilidades de seguridad de informacin de la organizacin, los empleados, contratistas y terceros? La gestin requiere a los empleados, contratistas y terceros a que apliquen la seguridad en concordancia con las Polticas y Procedimientos establecidos en la Organizacin? Los empleados, contratistas y terceros reciben la apropiada sensibilizacin, educacin y formacin permanente sobre la Seguridad de Informacin con respecto a sus funciones laborales especficas? Existe un proceso disciplinario para aquellos empleados que incumplen las polticas de seguridad?

4.1.3

8.1.3

Trminos y condiciones de empleo

4.2 4.2.1

8.2 8.2.1

Durante el Empleo Administracin de Responsabilidades

4.2.2

8.2.2

Sensibilizacin, educacin y formacin sobre la Seguridad de la Informacin Proceso Disciplinario Terminacin o Cambio de Empleo

4.2.3 4.3 4.3.1 8.3

8.2.3

8.3.1

4.3.2

8.3.2

4.3.3

8.3.3

Las responsabilidades de procedimiento de terminacin o cambio de empleo estn claramente definidas y asignadas? Existe un procedimiento a seguir con respecto a asegurar que los empleados, contratistas y terceros Retorno de activos devuelvan los activos de la organizacin que estn en su poder al terminar el contrato de empleo? Son removidos los derechos de acceso de todos los empleados, contratistas y terceros a los sistemas de Remocin de Derechos de Acceso Lgico informacin al termino de empleo o adecuacin en caso de que cambien de funcin? Responsabilidades de Terminacin

Eliminar todos los usuarios al salir un empleado o cuando cambia de puesto.

Vinod Kumar vinodjis@hotmail.com

Page 4

8/7/2012

ISO 27001 Compliance Checklist

222+A59
5.1 9.1 Areas Seguras Existen mecanismos de control de acceso implementados con respecto al acceso a los sitios de procesamiento de informacin? Algunos ejemplos son Permetro de Seguridad Fsica controles biomtricos, tarjetas de acceso, separacin por muros, control de visitantes, etc. Existen controles de acceso de tal modo a que solo las personas autorizadas puedan ingresar a las distintas Controles Fsicos de Entrada areas de la organizacin? Las salas de servidores u otros equipos de procesamiento (routers, switches, etc.), estn Aseguramiento de Oficinas, Salas de apropiadamente resguardadas bajo llave o en cabinas Servidores e Instalaciones con llave? Se tienen implementadas protecciones o resguardos contra fuego, inundaciones, temblores, explosiones, manifestaciones y otras formas de desastres naturales o Proteccin contra Amenazas Exteriores y provocadas por el hombre? Ambientales/Climticas

5.1.1

9.1.1

5.1.2

9.1.2

5.1.3

9.1.3

5.1.4

9.1.4

5.1.5

9.1.5

Trabajando en Areas Seguras

5.1.6

9.1.6

Zonas de Acceso Pblico, Entrega y Descarga Equipamiento de Seguridad

Verificar locales de posibles Existe alguna amenaza potencial en los locales vecinos problemas en las cercanas en del lugar donde se encuentran las instalaciones? caso de conflictos. Se tienen procedimientos designados e implementados sobre como trabajar en las areas seguras? Con respecto a las zonas de acceso pblico, entrega, descarga donde personas no autorizadas pueden acceder, las zonas de procesamiento de informacin y equipos delicados son aislados y asegurados para prevenir el acceso no autorizado? Los equipos son protegidos para reducir los riesgos de daos ambientales y oportunidades de acceso no autorizado? Los equipos son protegidos contra fallas elctricas y otras fallas que pudieran tener (redundancia)? Que mecanismos de proteccin elctrica son utilizados? Alimentacin multiple, UPS, generador de backup, etc?

5.2 5.2.1

9.2 9.2.1

Equipamiento y Proteccin del Sitio

5.2.2

9.2.2

Utilidades Soportadas

Vinod Kumar vinodjis@hotmail.com

Page 5

8/7/2012

ISO 27001 Compliance Checklist

5.2.3

9.2.3

Cableado de Seguridad

5.2.4

9.2.4

Mantenimiento de Equipos

Los cables de suministro elctrico y comunicaciones son debidamente protegidos contra intercepcin y/o daos? Existen controles adicionales de seguridad con respecto al transporte de informacin crtica? Por ej. Encriptado en las comunicaciones. Se realiza mantenimiento peridico de los equipos de modo a asegurar la continua disponibilidad e integridad? En la realizacin de mantenimientos, son respetados los intervalos y recomendaciones de los fabricantes? Los mantenimientos son realizados unicamente por personal capacitado y autorizado? Los logs de alertas de los equipos, son revisados periodicamente para detectar y corregir posibles fallas en los mismos? (principalmente fallas en discos) Se aplican los controles adecuados cuando se envan los equipos fuera de la organizacin? Todos los equipos estn cubiertos por plizas de seguro y los requerimientos de la Compaa de Seguros estn apropiadamente realizados? Existen mecanismos de control y mitigacin de riesgos implementados con relacin a equipos utilizados fuera de la organizacin? (encripcin de discos de las notebooks, seguro, etc.) En caso de utilizacin de equipos fuera de la organizacin, estos cuentan con la autorizacin respectiva de las gerencias? Cuando se disponga la reutilizacin de equipos o cuando sean dados de baja, son verificados los medios de almacenamiento con respecto a datos y software licenciado y luego destruidos totalmente antes de su entrega? Existen controles implementados con respecto a que ningn equipo, informacin y software sea sacado de la organizacin sin la autorizacin respectiva?

No deben contener informacin confidencial.

5.2.5

9.2.5

Aseguramiento de Equipos fuera de las Oficinas

Utilizar encripcin de los datos de las notebooks (Truecrypt es gratuito y muy bueno)

5.2.6

9.2.6

Disposiciones de Seguridad de Reutilizacin de Equipos

5.2.7

9.2.7

Autorizaciones de Sacar Equipos

Gestin de Comunicaciones y Operaciones

6.1 10.1 Procedimientos y Responsabilidades Operativas

Vinod Kumar vinodjis@hotmail.com

Page 6

8/7/2012

ISO 27001 Compliance Checklist

6.1.1

10.1.1

6.1.2 6.1.3

10.1.2 10.1.3

6.1.4

10.1.4

6.2

10.2

6.2.1

10.2.1

6.2.2

10.2.2

6.2.3

10.2.3

6.3

10.3

Los procedimientos operativos son documentados, actualizados y estn disponibles para todos los Documentacin de Procedimientos usuarios que puedan necesitarlos? Dichos procedimientos son tratados como documentos Operativos formales y cualquier cambio en los mismos necesita la autorizacin pertinente? Son controlados todos los cambios en los sistemas y Manejo de Cambios equipos de procesamiento de informacin? Son separadas las tareas y responsabilidades de modo a reducir las oportunidades de modificacin o mal uso Segregacin de Tareas de los sistemas de informacin? Los equipos de desarrollo y pruebas estn separados de los equipos operacionales? Por ejemplo desarrollo Separacin de desarrollo, test e de software debe estar en un equipo separado del de instalaciones operativas produccin. Cuando sea necesario, incluso deben estar en segmentos de red distintos unos del otro. Manejo de Entrega de Servicios Tercerizados Existen medidas que son tomadas para asegurar que los controles de seguridad, niveles de servicio y entrega sean incluidos y verificados en los contratos de Entrega de Servicios servicios con terceros, as como su revisin peridica de cumplimiento? Son los servicios, reportes y registros provedos por teceros regularmente monitoreados y revisados? Monitoreo y revisin de servicios Existen controles de auditora que son realizados a tercerizados intervalos regulares sobre los servicios, reportes y registros suministrados por terceros? Se gestionan los cambios en la provisin de servicios, incluyendo mantenimiento y la mejora en las polticas Manejo de Cambios de servicios de seguridad de informacin existentes, tercerizados procedimientos y controles? Se tienen en cuenta sistemas de negocio crticos, procesos involucrados y re-evaluacin de riesgos? Planeamiento y Aceptacin de Sistemas

Separar ambientes y ponerlos en VLANes distintas que no se vean entre s. Los datos de desarrollo deben ser ilegibles.

Vinod Kumar vinodjis@hotmail.com

Page 7

8/7/2012

ISO 27001 Compliance Checklist

6.3.1

10.3.1

6.3.2

10.3.2

6.4 6.4.1

10.4 10.4.1

6.4.2

10.4.2

La capacidad de procesamiento de los sistemas son monitoreados en base a la demanda y proyectados en base a requerimientos futuros, de modo a asegurar que la capacidad de proceso y almacenamiento estn Gestin de la Capacidad disponibles? Ejemplo: Monitoreo de espacio en disco, Memoria RAM, CPU en los servidores crticos. Son establecidos criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y nuevas Aceptacin de Sistemas versiones? Son realizadas pruebas antes de la aceptacin de los mismos? Proteccin contra cdigo malicioso y mvil Existen controles para deteccin, prevencin y recuperado contra cdigo malicioso y son Controles contra cdigo malicioso desarrollados e implementados procedimientos apropiados de advertencia a los usuarios? En caso de necesitarse cdigo mvil, este solo debe utilizarse una vez que haya sido autorizado. Las configuraciones del cdigo mvil autorizado deben realizarse y operarse de acuerdo a las Polticas de Seguridad.La ejecucin del cdigo mvil no autorizado, debe prevenirse. Controles contra cdigo movil (Cdigo Mvil es cdigo de software que se transfiere de una computadora a otra y que se ejecuta automticamente. Realiza una funcin especfica con muy poca o casi ninguna intervencin del usuario. El cdigo mvil est asociado a un gran nmero de servicios de middleware) Copias de Respaldo Se realizan copias de respaldo de la informacin y software y son testeados regularmente en conconrdancia con las polticas de backup? Toda la informacin y el software esencial puede ser recuperado en caso de ocurrencia de un desastre o fallo Ver donde se va a recuperar de medios? el backup en caso de desastre.

6.5

10.5

6.5.1

10.5.1

Respaldo de la Informacin

6.6

10.6

Administracin de la Seguridad de la Red

Vinod Kumar vinodjis@hotmail.com

Page 8

8/7/2012

ISO 27001 Compliance Checklist

6.6.1

10.6.1

Controles de Red

La red es adecuadamente administrada y controlada para protegerse de tretas y en orden a mantener la seguridad de los sistemas y aplicaciones en uso a traves de la red, incluyendo la informacin en transito? Existen controles implementados para asegurar el transito de la informacin en la red y evitar que esta sea leda o accesada de forma no autorizada? Las caractersticas de seguridad, niveles de servicio y requerimientos de administracin de todos los servicios de red son identificados e incluidos en cualquier acuerdo de servicio de red? La capacidad del proveedor de servicios de red de proporcionar los servicios de forma segura, es determinada y regularmente monitoreada y se tienen derechos de auditora acordada para medir niveles de servicio? Existen procedimientos para el manejo de medios removibles como cintas, diskettes, tarjetas de memoria, lectores de CD, pendrives, etc.? Los procedimientos y niveles de autorizacin estn claramente definidos y documentados? En caso de que los medios ya no sean requeridos, estos son eliminados de forma segura bajo procedimientos formalmente establecidos? Existen procedimientos para el manejo del almacenamiento de la informacin? Aborda este procedimiento temas como: proteccin de la informacin contra acceso no autorizado o mal uso? La documentacin de los sistemas est protegida contra acceso no autorizado? Existe una poltica formal, procedimientos y/o controles aplicados para asegurar la proteccin a la informacin? Estos procedimientos y controles cubren el uso de equipos de comunicacin electrnica en el intercambio de informacin?

6.6.2

10.6.2

Seguridad en los Servicios de Red

6.7

10.7

Manejo de Medios

6.7.1

10.7.1

Manejo de medios removibles

6.7.2

10.7.2

Disposicin de los medios

6.7.3

10.7.3

Procedimientos de manejo de la informacin Seguridad en la Documentacin de los Sistemas Intercambio de Informacin

6.7.4 6.8 10.8

10.7.4

6.8.1

10.8.1

Polticas y Procedimientos de intercambio de informacin

Vinod Kumar vinodjis@hotmail.com

Page 9

8/7/2012

ISO 27001 Compliance Checklist

6.8.2

10.8.2

Acuerdos de Intercambio

6.8.3

10.8.3

Medios fsicos en transito

6.8.4

10.8.4

Mensajera Electrnica

6.8.5 6.9 10.9

10.8.5

Sistema de informacin empresarial Servicios de Comercio Electrnico

Existen acuerdos de intercambio de informacin y software entre la organizacin y partes externas? El contenido de los acuerdos con respecto a la seguridad refleja la sensibilidad y criticidad de la informacin de negocio envuelta en el proceso? Los medios fsicos que contengan informacin es protegida contra acceso no autorizado, mal uso o corrupcin de datos durante el transporte entre las organizaciones? La informacin que se enva por mensajera electrnica Correos importantes que van es bien protegida? afuera deben ser encriptados (Mensajera Electrnica incluye pero no es restringida GPG, y lo dems por VPNs. solamente a email, intercambio electrnico de datos, mensajera instantanea, etc.) Las polticas y procedimientos son desarrolladas y tendientes a fortalecer la proteccin de informacin asociada con la interconexin de sistemas de negocio? La informacin envuelta en el comercio electrnico cruza a travs de redes publicas y est protegida contra actividades fraudulenteas, posibles disputas contractuales o cualquier acceso no autorizado que permita lectura o manipulacin de esos datos? En los controles de seguridad son tenidos en cuenta la aplicacin de controles criptogrficos? El comercio electrnico entre los socios comerciales incluyen un acuerdo, que compromete a ambas partes a la negociacin de los trminos convenidos, incluidos los detalles de las cuestiones de seguridad? La informacin envuelta en transacciones en lnea est protegida contra transmisiones incompletas, mal ruteo, alteracin de mensajera, divulgacin no autorizada, duplicacin no autorizada o replicacin? La integridad de la informacin disponible publicamente est protegida contra modificacin no autorizada? No permitir conexiones a travs de redes pblicas sin encripcin.

6.9.1

10.9.1

Comercio Electrnico

6.9.2

10.9.2

Transacciones On-line

Procesadores de POS, Homebanking, etc.

6.9.3 6.10

10.9.3 10.10

Informacin disponible pblicamente Monitoreo

Proteccin de datos de la pgina web.

Vinod Kumar vinodjis@hotmail.com

Page 10

8/7/2012

ISO 27001 Compliance Checklist

6.10.1

10.10.1

Registros de Auditora

Los registros de auditora que guardan la actividad de los usuarios, excepciones, eventos de seguridad de informacin que ocurren, se guardan por un periodo razonable de tiempo de tal modo a poder realizar investigaciones futuras y monitoreo de acceso?

6.10.2

10.10.2

6.10.3

10.10.3

6.10.4

10.10.4

Se tienen en consideracin medidas de proteccin a la privacidad en el mantenimiento de registros de auditora? Son desarrollados procedimientos de monitoreo de equipos de procesamiento de datos? El resultado de la actividad de monitoreo es revisada regularmente de forma peridica? Uso de Sistemas de Monitoreo Los niveles de monitoreo requeridos por los equipos de procesamiento de informacin son determinados por un anlisis de riesgos? Los equipos que contienen los registros y logs de Proteccin de los Logs auditora son bien protegidos contra posibles manipulaciones y acceso no autorizado? Las actividades de los Administradores y Operadores Log de actividades de Administradores y de sistemas son registradas en los logs? Operadores Son revisados regularmente los logs? Las fallas son registradas en logs, y luego analizadas y acciones apropiadas realizadas en consecuencia? Registro de Fallas Los niveles de registros en logs requeridos para cada sistema individual son determinados en base a anlisis de riesgos y la degradacin de performance es tenida en cuenta? Los relojes de todos los sistemas de informacin estn sincronizados en base a una misma fuente de tiempo exacta acordada? (La correcta sincronizacin de los relojes es importante para asegurar la cronologa de eventos en los logs)

6.10.5

10.10.5

6.10.6

10.10.6

Sincronizacin de relojes

Access Control
7.1 11.1 Requerimientos del Negocio para Control de Acceso Las polticas de control de acceso son desarrolladas y revisadas basadas en los requerimientos de seguridad del negocio? 11.1.1 Poltica de Control de Acceso

7.1.1

Vinod Kumar vinodjis@hotmail.com

Page 11

8/7/2012

ISO 27001 Compliance Checklist

7.1.1

11.1.1

Poltica de Control de Acceso

Los controles de acceso tanto fsico como lgico son tenidos en cuenta en las polticas de control de acceso? Tanto a los usuarios como a los proveedores de servicios se les dio una clara declaracin de los requisitos de la empresa en cuanto a control de acceso?

7.2 7.2.1

11.2 11.2.1

Administracin de Accesos de Usuarios Registracin de Usuarios Existe algn procedimiento formal de altas/bajas de usuarios para acceder a los sistemas? La asignacin y uso de privilegios en los sistemas de informacin, es restringida y controlada en base a las necesidades de uso y dichos privilegios son solo otorgados bajo un esquema formal de autorizacin? La asignacin y reasignacin de contraseas debe controlarse a travs de un proceso de gestin formal. Se les solicita a los usuarios que firmen un acuerdo de confidencialidad del password? Existe un proceso de revisin de privilegios y derechos de acceso a intervalos regulares. Por ejemplo: Privilegios especiales cada 3 meses, privilegios normales cada 6 meses? Existe alguna prctica de seguridad en el sitio para guiar a la seleccin y mantenimiento de contraseas seguras? Los usuarios y terceros son concientes de los requisitos de seguridad y procedimientos para proteger los equipos desatendidos? Por ejemplo: Salir del sistema cuando las sesiones son terminadas o configurar terminacin automtica de sesiones por tiempo de inactividad, etc. La organizacin ha adoptado una poltica de escritorio limpio con relacin a los papeles y dispositivos de almacenamiento removibles?

7.2.2

11.2.2

Gestin de Privilegios

7.2.3

11.2.3

Administracin de Contraseas de Usuarios

Revisin de Roles de Usuarios 7.2.4 7.3 7.3.1 11.2.4 11.3 11.3.1 Responsabilidades de Usuarios Uso de Password

7.3.2

11.3.2

Equipos desatendidos de Usuarios

7.3.3

11.3.3

Poltica de Escritorio Limpio y Pantalla Limpia

Vinod Kumar vinodjis@hotmail.com

Page 12

8/7/2012

ISO 27001 Compliance Checklist

7.3.3

11.3.3

Poltica de Escritorio Limpio y Pantalla Limpia

La organizacin ha adoptado una poltica de pantalla limpia con relacin a los equipos de procesamiento de informacin?

7.4

11.4

Control de Acceso a la Red Se le provee a los usuarios acceso unicamente a los servicios de red a los cuales han sido autorizados Polticas sobre Servicios de Red especficamente? Existen polticas de seguridad relacionadas con la red y los servicios de red? Son utilizados mecanismos apropiados de Autenticaciones de Usuarios para autenticacin para controlar el acceso remoto de los conexiones externas usuarios? Son considerados equipos de identificacin automtica Identificacin de equipamientos en la red para autenticar conexiones desde equips y direcciones especficas? Los accesos fsicos y lgicos a puertos de diagnstico Diagnstico Remoto y configuracin de estn apropiadamente controlados y protegidos por proteccin de puertos mecanismos de seguridad? Los grupos de servicios de informacin, usuarios y sistemas de informacin son segregados en la red? La red (desde donde asociados de negocios o terceros necesitan acceder a los sistemas de informacin) es segregada utilizando mecanismos de seguridad Segregacin en la Red perimetral como firewalls? En la segregacin de la red son hechas las consideraciones para separar las redes wireles en internas y privadas? Existe una poltica de control de acceso que verifique conexiones provenientes de redes compartidas, Control de Conexiones de Red especialmente aquellas que se extienden mas all de los lmites de la organizacin? Existen polticas de control de acceso que establezcan los controles que deben ser realizados a los ruteos implementados en la red? Control de Ruteo de Red Los controles de ruteo, estn basados en mecanismos de identificacin positiva de origen y destino? Controles de Acceso a Sistemas Operativos Los accesos a sistemas operativos son controlados por Procedimientos de log-on seguro procedimientos de log-on seguro?

7.4.1

11.4.1

7.4.2

11.4.2

7.4.3

11.4.3

7.4.4

11.4.4

7.4.5

11.4.5

7.4.6

11.4.6

7.4.7

11.4.7

7.5 7.5.1

11.5 11.5.1

Vinod Kumar vinodjis@hotmail.com

Page 13

8/7/2012

ISO 27001 Compliance Checklist

7.5.2

11.5.2

Identificacin y Autenticacin de Usuarios

7.5.3

11.5.3

Gestin de Contraseas

Un nico identificador de usuario (user ID) es provedo a cada usuario incluyendo operadores, administradores de sistemas y otros tcnicos? Se eligen adecuadas tcnicas de autenticacin para demostrar la identidad declarada de los usuarios? El uso de cuentas de usuario genricas son suministradas slo en circunstancias especiales excepcionales, donde se especifcan los beneficios claros de su utilizacin. Controles adicionales pueden ser necesarios para mantener la seguridad. Existe un sistema de gestin de contraseas que obliga al uso de controles como contrasea individual para auditora, periodicidad de caducidad, complejidad mnima, almacenamiento encriptado, no despliegue de contraseas por pantalla, etc.?

7.5.4

11.5.4

7.5.5

11.5.5

7.5.6

11.5.6

7.6 7.6.1

11.6 11.6.1

7.6.2

11.6.2

En caso de existir programas utilitarios capaces de saltarse los controles de aplicaciones de los sistemas, estos estn restringidos y bien controlados? Las aplicaciones son cerradas luego de un periodo determinado de inactividad? (Un tiempo determinado de inactividad puede ser Expiracin de Sesiones determinado por algunos sistemas, que limpian la pantalla para prevenir acceso no autorizado, pero no cierra la aplicacin o las sesiones de red) Existen restricciones limitando el tiempo de conexin de aplicaciones de alto riesgo? Este tipo de configuraciones debe ser considerada para aplicaciones Limitacin de tiempo de conexin sensitivas cuyas terminales de acceso se encuentran en lugares de riesgo. Control de Acceso a las Aplicaciones y a la Informacin El acceso a la informacin y los sistemas de aplicaciones por parte los usuarios y personal de Restriccin de Acceso a la Informacin soporte, est restringido en concordancia con las polticas de control de acceso definidas? Aquellos sistemas considerados sensibles, estn en ambientes aislados, en computadoras dedicadas para Aislamiento de Sistemas Sensibles el efecto, con recursos compartidos con aplicaciones seguras y confiables, etc? Utilidades de Uso de Sistemas

Vinod Kumar vinodjis@hotmail.com

Page 14

8/7/2012

ISO 27001 Compliance Checklist

7.7

11.7

Computacin Mvil y Teletrabajo Existe una poltica formal y medidas apropiadas de Encripcin de discos en las seguridad adoptadas para protegerse contra riesgo de notebooks utilizacin de computacin mvil y equipos de comunicacin? Algunos ejemplos de computacin mvil y equipos de Computacin Mvil y Comunicaciones telecomunicacin incluyen: notebooks, palmtops, laptops, smart cards, celulares. Son tenidos en cuenta los riesgos tales como trabajar en ambientes no protegidos en cuanto a las polticas de computacin mvil? Se desarrollan e implementan polticas, planes operativos y procedimientos con respecto a tareas de teletrabajo? Teletrabajo Las actividades de teletrabajo, son autorizadas y controladas por las gerencias y existen mecanismos adecuados de control para esta forma de trabajo? Requerimientos de Seguridad de los Sistemas de Informacin Los requerimientos de seguridad para nuevos sistemas de informacin y fortalecimiento de los sistemas existentes, especifican los requerimientos para los controles de seguridad? 12.1.1 Anlisis y Especificaciones de Rquerimientos de Seguridad Los requerimientos y controles identificados reflejan el valor econmico de los activos de informacin envueltos y las consecuencias de un fallo de seguridad? Los requerimientos para la seguridad de informacin de los sistemas y prcesos para implementar dicha seguridad, son integrados en las primeras etapas de los proyectos de sistemas? Los datos introducidos a los sistemas, son validados para asegurar que son correctos y apropiados?

7.7.1

11.7.1

7.7.2

11.7.2

Desarrollo, Adquisicin y Mantenimiento de Sistemas de Informacin

8.1 12.1

8.1.1

8.2

12.2

Procesamiento Correcto en Aplicaciones

8.2.1

12.2.1

Validacin de Datos de Entrada

Vinod Kumar vinodjis@hotmail.com

Page 15

8/7/2012

ISO 27001 Compliance Checklist

8.2.1

12.2.1

Validacin de Datos de Entrada

8.2.2

12.2.2

Control de Procesamiento Interno

8.2.3

12.2.3

Integridad de Mensajera

8.2.4 8.3 12.3

12.2.4

Validacin de Datos de Salida Controles Criptogrficos

Los controles tales como: Diferentes tipos de mensajes de error para datos mal ingresados, Procedimientos para responder a los errores de validacin, definicin de responsabilidades para todo el personal envuelto en la carga de datos, etc. son considerados? Son incorporadas validaciones en las aplicaciones para detectar/prevenir que puedan ser ingresados datos no vlidos por error o deliberadamente? Se tiene en cuenta en el diseo y la implementacin de las aplicaciones que el riesgo de falllas en el procesamiento que conduzcan a perdida de integridad de datos sea minimizado? Los requerimientos para aseguramiento y proteccin de la integridad de los mensajes en las aplicaciones, son debidamente identificados e implementados los controles necesarios? Si una evaluacin de riesgos de seguridad se llev a cabo para determinar si es necesaria la integridad del mensaje, y para determinar el mtodo ms apropiado de aplicacin. Los sistemas de aplicaciones de salida de datos, son validados para asegurar que el procesamiento de informacin almacenada sea correcta y apropiada a las circustancias? La organizacin posee polticas de uso de controlec criptogrficos para proteccin de la informacin? Estas polticas son implementadas con xito?

8.3.1

12.3.1

Polticas de Uso de Controles Criptogrficos

La poltica criptogrfica considera el enfoque de gestin hacia el uso de controles criptogrficos, los resultados de la evaluacin de riesgo para identificar nivel requerido de proteccin, gestin de claves y mtodos de diversas normas para la aplicacin efectiva? La administracin de claves se utiliza efectivamente para apoyar el uso de tcnicas criptogrficas en la organizacin?

8.3.2

12.3.2

Manejo de Claves

Vinod Kumar vinodjis@hotmail.com

Page 16

8/7/2012

ISO 27001 Compliance Checklist

8.3.2

12.3.2

Manejo de Claves

Las claves criptogrficas estn protegidas correctamente contra modificacin, prdida y/o destruccin? Las claves pblicas y privadas estn protegidas contra divulgacin no autorizada? Los equipos utilizados para generar o almacenar claves, estn fsicamente protegidos? Los sistemas de administracin de claves, estn basados en procedimientos estandarizados y seguros?

8.4 8.4.1

12.4 12.4.1

Seguridad de los Archivos de Sistemas Existen procedimientos para controlar la instalacin de software en los sistemas operativos (Esto es para Control de Software Operativo minimizar el riesgo de corrupcin de los sistemas operativos) Los sistemas de testeo de datos, estn debidamente protegidos y controlados? Proteccin de Datos de Prueba de La utilizacin de informacin personal o cualquier Sistemas informacin sensitiva para propsitos de testeo, est prohibida? Existen controles estrictos de modo a restringir el acceso al cdigo fuente? (esto es para prevenir posibles Control de Acceso a Cdigo Fuente cambios no autorizados) Seguridad en el Desarrollo y Servicios de Soporte Existen procedimientos de control estricto con respecto a cambios en los sistemas de informacin? (Esto es para minimizar la posible corrupcin de los sistemas Procedimientos de Control de Cambios de informacin) Estos procedimientos aborda la necesidad de evaluacin de riesgos, anlisis de los impactos de los cambios? Existen procesos a seguir o procedimientos para revisin y testeo de las aplicaciones crticas de negocio Revisin Tcnica de Aplicaciones luego y seguridad, luego de cambios en el Sistema Operativo? Peridicamente, esto es necesario cada vez de Cambios en el Sistema Operativo que haya que hacer un parcheo o upgrade del sistema operativo. Las modificaciones a los paquetes de software, son Restricciones en Cambios de Paquetes de desalentadas o limitadas extrictamente a los cambios Software mnimos necesarios?

8.4.2

12.4.2

8.4.3 8.5 12.5

12.4.3

8.5.1

12.5.1

8.5.2

12.5.2

8.5.3

12.5.3

Vinod Kumar vinodjis@hotmail.com

Page 17

8/7/2012

ISO 27001 Compliance Checklist

8.5.3 12.5.3 Restricciones en Cambios de Paquetes de Software Todos los cambios son estrictamente controlados? Existen controles para prevenir la fuga de informacin? Controles tales como escaneo de dispositivos de salida, monitoreo regular del personal y actividades permitidas en los sistemas bajo regulaciones locales, monitoreo de recursos, son considerados? El desarrollo de software tercerizado, es supervisado y monitoreado por la organizacin? Puntos como: Adquisicin de licencias, acuerdos de garanta, requerimientos contractuales de calidad asegurada, testeo antes de su instalacin definitiva, revisin de cdigo para prevenir troyanos, son considerados? Se obtiene informacin oportuna en tiempo y forma sobre las vulnerabilidades tcnicas de los sistemas de informacin que se utilizan? La organizacin evala e implementa medidas apropiadas de mitigacin de riesgos a las vulnerabilidades a las que est expuesta?

8.5.4

12.5.4

Fuga de Informacin

8.5.5

12.5.5

Desarrollo de Software Tercerizado

Controlar aplicaciones y disclaimer contractual Revisin de los contratos para tener en cuenta los Service Level Agreements (Acuerdos de Niveles de Servicio).

8.6

12.6

Gestin de Vulnerabilidades Tcnicas

8.6.1

12.6.1

Control de Vulnerabilidades Tcnicas

Gestin de Incidentes de Seguridad de Informacin

9.1 13.1 Reportando Eventos de Seguridad y Vulnerabilidades Los eventos de seguridad de informacin, son reportados a travs de los canales correspondientes lo Reportando Eventos de Seguridad de la ms rpido posible? Son desarrollados e implementados procedimientos Informacin formales de reporte, respuesta y escalacin en incidentes de seguridad? Existen procedimientos que aseguren que todos los empleados deben reportar cualquier vulnerabilidad en la seguridad en los servicios o sistemas de informacin? Gestin de Incidentes de Seguridad de la Informacin y Proceso de Mejoras Estn claramente establecidos los procedimientos y responsabilidades de gestin para asegurar una rpida, efectiva y ordenada respuesta a los incidentes de seguridad de informacin? Responsabilidades y Procedimientos Reportando Vulnerabilidaes de la Seguridad

9.1.1

13.1.1

9.1.2 9.2 13.2

13.1.2

9.2.1

13.2.1

Vinod Kumar vinodjis@hotmail.com

Page 18

8/7/2012

ISO 27001 Compliance Checklist

9.2.1

13.2.1

Responsabilidades y Procedimientos

Es utilizado el monitoreo de sistemas, alertas y vulnerabilidades para detectar incidentes de seguridad? Los objetivos de la gestin de incidentes de seguridad de informacin, estn acordados con las gerencias? Existen mecanismos establecidos para identificar y cuantificar el tipo, volumen y costo de los incidentes de seguridad? La informacin obtenida de la evaluacin de incidentes de seguridad que ocurrieron en el pasado, es utilizada para determinar el impacto recurrente de incidencia y corregir errores? Si las medidas de seguimiento contra una persona u organizacin despus de un incidente de seguridad de la informacin implica una accin legal (ya sea civil o penal) Las evidencias relacionadas con incidentes, son recolectadas, retenidas y presentadas conforme las disposiciones legales vigentes en las jurisdicciones pertinentes? Los procedimientos internos son desarrollados y seguidos al pi de la letra cuando se debe recolectar y presentar evidencia para propsitos disciplinarios dentro de la organizacin?

9.2.2

13.2.2

Aprendiendo de los Incidentes de Seguridad de la Informacin

9.2.3

13.2.3

Recoleccin de Evidencia

Gestin de la Continuidad del Negocio

10.1 14.1 Aspectos de Seguridad en la Gestin de la Continuidad del Negocio Existen procesos que direccionan los requerimientos de seguridad de informacin para el desarrollo y mantenimiento de la Continuidad del Negocio dentro de la Organizacin? Estos procesos, entienden cuales son los riesgos que la Incluyendo Seguridad en el Proceso de organizacin enfrenta, identifican los activos crticos, Gestin de Continuidad del Negocio los impactos de los incidentes, consideran la implementacin de controles preventivos adicionales y la documentacin de los Planes de Continuidad del Negocio direccionando los requerimientos de seguridad?

10.1.1

14.1.1

Vinod Kumar vinodjis@hotmail.com

Page 19

8/7/2012

ISO 27001 Compliance Checklist

10.1.2

14.1.2

Continuidad del Negocio y Evaluacin de Riesgos

10.1.3

14.1.3

Desarrollo e Implementacin de Planes de Continuidad incluyendo Seguridad de la Informacin

Los eventos que puedan causar interrupcin al negocio, son identificados sobre la base de probabilidad, impacto y posibles consecuencias para la seguridad de informacin? Son desarrollados planes para mantener y restaurar las operaciones de negocio, asegurar disponibilidad de informacin dentro de un nivel aceptable y en el rango de tiempo requerido siguiente a la interrupcin o falla de los procesos de negocio? Considera el Plan, la identificacin y acuerdo de responsabilidades, identificacin de prdida aceptable, implementacin de procedimientos de recuperacin y restauracin, documentacin de procedimientos y testeo peridico realizado regularmente? Existe un marco nico del Plan de Continuidad de Negocios?

10.1.4

14.1.4

10.1.5

14.1.5

Este marco, es mantenido regularmente para Business continuity planning framework asegurarse que todos los planes son consistentes e identifican prioridades para testeo y mantenimiento? El Plan de Continuidad del Negocio direccionan los requerimientos de seguridad de informacin identificados? Los Planes de Continuidad del Negocio, son probados regularmente para asegurarse de que estn actualizados y son efectivos? Los tests de planes de continuidad de negocio, Prueba, Mantenimiento y Reevaluando aseguran que todos los miembros del equipo de recuperacin y otros equipos relevantes sean Planes de Continuidad del Negocio advertidos del contenido y sus responsabilidades para la continuidad del negocio y la seguridad de informacin, son concientes de sus roles y funciones dentro del plan cuando este se ejecuta? Cumplimiento con Requerimientos Legales

Cumplimiento
11.1 15.1

Vinod Kumar vinodjis@hotmail.com

Page 20

8/7/2012

ISO 27001 Compliance Checklist

11.1.1

15.1.1

Identificacin de Legislacin Aplicable

Todas las leyes relevantes, regulaciones, requerimientos contractuales y organizacionales son tenidos en cuenta de modo a que estn documentados para cada sistema de informacin en la organizacin? Los controles especficos y responsabilidades individuales de modo a cumplir con estos requerimientos, son debidamente definidos y documentados? Existen procedimientos para asegurar el cumplimiento de los requerimientos legales, regulatorios y contractuales sobre el uso de materiales y software que estn protegidos por derechos de propiedad Musica mp3, imgenes, intelectual? libros, software, etc. Estos procedimientos, estn bien implementados? Controles tales como: Poltica de Cumplimiento de Derechos de Propiedad Intelectual, Procedimientos de Adquisicin de Software, Poltica de concientizacin, Mantenimiento de Prueba de la Propiedad, Cumplimiento con Trminos y Condiciones, son consideradas? Los registros importantes de la organizacin estn protegidos contra prdida, destruccin y falsificacin en concordancia con los requerimientos legales, regulatorios, contractuales y de negocio? Estn previstas las consideracines con respecto al posible deterioro de medios de almacenamiento utilizados para almacenar registros? Los sistemas de almacenamiento son elegidos de modo a que los datos requeridos puedan ser recuperados en un rango de tiempo aceptable y en el formato necesario, dependiendo de los requerimientos a ser cumplidos? La proteccin de los datos y la privacidad, estn asegurados por legislaciones relevantes, regulaciones y si son aplicables, por clusulas contractuales?

11.1.2

15.1.2

Derechos de Propiedad Intelectual

11.1.3

15.1.3

Proteccin de los Registros de la Organizacin

Backup y Auditora Unidades de Cintas que ya no tienen repuestos, Storage de Discos fallan y ya no hay.

11.1.4

15.1.4

Proteccin de los Datos y privacidad de los datos personales

Vinod Kumar vinodjis@hotmail.com

Page 21

8/7/2012

ISO 27001 Compliance Checklist

11.1.5

15.1.5

11.1.6 11.2 15.2

15.1.6

11.2.1

15.2.1

11.2.2

15.2.2

11.3

15.3

11.3.1

15.3.1

El uso de instalaciones de proceso de informacin para cualquier propsito no autorizado o que no sea del negocio, sin la aprobacin pertinente, es tratada como utilizacin impropia de las instalaciones? Los mensajes de alerta de ingreso, son desplegados Prevencin del maluso de las antes de permitir el ingreso a la red o a los sistemas? instalaciones de procesamiento El usuario tiene conocimiento de las alertas y reacciona apropiadamente al mensaje en pantalla? Es realizado un asesoramiento jurdico, antes de aplicar cualquier procedimiento de monitoreo y control? Los controles criptogrficos son usados en Regulacin de Controles Criptogrficos cumplimiento de los acuerdos contractuales establecidos, leyes y regulaciones? Cumplimiento con las polticas, estndares y regulaciones tcnicas Los Administradores se aseguran que todos los procedimientos dentro de su area de responsabilidad, se llevan a cabo correctamente para lograrl el cumplimiento de las normas y polticas de seguridad? Cumplimiento con Polticas de Los Administradores, revisan regularmente el Seguridad y Estndares cumplimiento de las instalaciones de procesamiento de informacin dentro del area de su responsabilidad de modo a cumplir con los procedimientos y polticas de seguridad pertinentes? Los sistemas de informacin son regularmente revisados con respecto al cumplimiento de estndares de seguridad? Chequeo de Cumplimiento Tcnico La verificacin tcnica es llevada a cabo por, o bajo la supervisin de, personal tcnico competente y autorizado? Consideraciones de Auditora de Sistemas Los requerimientos y actividades de auditora, incluyen verificacin de sistemas de informacin que fueron previamente planeados cuidadosamente de Controles de Auditora de los Sistemas modo a minimizar los riesgos de interrupciones en el de Informacin proceso de negocio? Los requerimientos de auditoria son alcanzables y de acuerdo con una gestin adecuada?

Vinod Kumar vinodjis@hotmail.com

Page 22

8/7/2012

ISO 27001 Compliance Checklist

11.3.2

15.3.2

Proteccin de la informacin contra las heramientas de auditora

La informacin a la que se accede por medio de las herramientas de auditora, ya sean software o archivos de datos, estn protegidos para prevenir el mal uso o fuga no autorizada? El ambiente de auditora est separado de los Servidores de auditora ambientes operacionales y de desarrollo, a penos que (ACL, IDEA, etc.) separados haya un nivel apropiado de proteccin? de los ambientes de desarrollo y oltp.

Vinod Kumar vinodjis@hotmail.com

Page 23

8/7/2012

ISO 27001 Compliance Checklist

Dominio
Politicas de Seguridad Organizacin de la Seguridad de Informacin

Objetivos
Polticas de Seguridad de Informacin Organizacin Interna Partes Externas Responsabilidad de Activos Clasificacin de Informacin Previo al Empleo Durante al Empleo Terminacin o Cambio de empleo Areas Seguras Equipamiento de Seguridad Procedimientos y Responsabilidades Operativas Manejo de Entrega de Servicios Tercerizados Planeamiento y Aceptacin de Sistemas Proteccin contra Cdigo Malicioso y Mvil Copias de Respaldo Administracin de la Seguridad en la Red Manejo de Medios Intercambio de Informacin Servicios de Comercio Electrnico Monitoreo Requerimientos del Negocio para Control de Acceso Administracin de Accesos de Usuarios Responsabilidades de Usuarios Control de Acceso a la Red Control de Acceso a Sistemas Operativos Control de Acceso a las Aplicaciones y a la Informacin Computacin Mvil y Teletrabajo Requerimientos de Seguridad de los Sistemas de Informacin Procesamiento Correcto en las Aplicaciones Controles Criptogrficos Seguridad de los Archivos de Sistemas Seguridad en el Desarrollo y Servicios de Soporte Gestin de Vulnerabilidades Tcnicas Reportando Eventos de Seguridad y Vulnerabilidades Gestin de Incidentes de Seguridad de la Informacin y Proceso de Mejoras Aspectos de Seguridad en la Gestin de la Continuidad del Negocio Cumplimiento con Requerimientos Legales Cumplimiento con las Polticas, Estndares y Regulaciones Tcnicas Consideraciones de Auditora de Sistemas

Estado (%)
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

Manejo de Activos

Seguridad de Recursos Humanos

Seguridad Fsica y Ambiental

Gestin de Comunicaciones y Operaciones

Control de Acceso

Desarrollo, Adquisicin y Mantenimiento de Sistemas de Inforacin

Gestin de Incidentes de Seguridad de Informacin Gestin de la Continuidad del Negocio

Cumplimiento

Vinod Kumar vinodjis@hotmail.com

Page 24

8/7/2012

ISO 27001 Compliance Checklist Dominio

Polticas de Seguridad Organizacin de la Seguridad de Informacin Manejo de Activos Seguridad de Recursos Humanos Seguridad Fsica y Ambiental Gestin de Comunicaciones y Operaciones Control de Acceso Desarrollo, Adquisicin y Mantenimiento de Sistemas de Inforacin Gestin de Incidentes de Seguridad de Informacin Gestin de la Continuidad del Negocio Cumplimiento

Estado (%)
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

Vinod Kumar vinodjis@hotmail.com

Page 25

8/7/2012

Estado
100% 10% 20% 30% 40% 50% 60% 70% 80% 90% 0%

Cumplimiento por Dominio

Polticas de Seguridad Organizacin de la Seguridad de Informacin Manejo de Activos Seguridad de Recursos Humanos Seguridad Fsica y Ambiental 0% 0% 0% 0% 0% 0%

Dominio

Gestin de Comunicaciones y Operaciones

Control de Acceso Desarrollo, Adquisicin y Mantenimiento de Sistemas de Inforacin Gestin de Incidentes de Seguridad de Informacin Gestin de la Continuidad del Negocio Cumplimiento

0% 0% 0% 0% 0%

ISO 27001 Compliance Checklist

Chequeo de Cumplimiento Un formato condicional ha sido provedo sobre la hoja de "Chequeo de Cumplimiento" bajo el campo "Estado (% 1 a 25 26 a 75 76 a 100 En el campo "Observaciones" comente la evidencia que usted vi o los comentarios sobre la implementacin En el campo "Estado (%)" escriba el nivel de cumplimimiento sobre la escala mencionada mas arriba Si alguno de los controles no es aplicable, por favor ponga "NA" o algo que denote que ese control en particular

Cumplimiento por Control Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada Objetivo de co "Chequeo de Cumplimiento" Cumplimiento por Dominio Nota: Esta hoja ha sido programada para mostrar automticamente el estado pertinente por cada dominio en ba de Cumplimiento". Representacin Grfica Esto le proporcionar una representacin grfica del estado por dominio, el cual puede ser incorporado a su pre

Vinod Kumar vinodjis@hotmail.com

Page 27

8/7/2012

ISO 27001 Compliance Checklist

mplimiento" bajo el campo "Estado (%)" y se menciona abajo:

ntarios sobre la implementacin mencionada mas arriba denote que ese control en particular no es aplicable para la organizacin.

o pertinente por cada Objetivo de control en base al estado que se carga en la hoja

o pertinente por cada dominio en base al estado que se carga en la hoja "Chequeo

cual puede ser incorporado a su presentacin a las Gerencias

Vinod Kumar vinodjis@hotmail.com

Page 28

8/7/2012