Checklist de Seguridad de Informacion

Checklist: SQA
1. Identificacin de la auditora
Institucin auditada:
Proyecto:
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre
e-mail

Fono

3. Checklist
S

La organizacin ha definido un documento con la poltica de seguridad de la informacin?

La organizacin ha definido un documento con la poltica de seguridad de la informacin?

La poltica de seguridad de la informacin se revisa peridicamente?

Se han definido las responsabilidades en materia de seguridad de la informacin?

Existe un Comit de Seguridad encargado de la gestin de los temas relativos a la seguridad de la

informacin?
Los contratos y acuerdos con terceras partes tienen en consideracin los requisitos de seguridad de la
organizacin? (Confidencialidad, propiedad intelectual, etc.).
Se dispone de un inventario de activos?

Se ha definido quien es el responsable de los activos?

Se comprueban las referencias de todos los candidatos a empleo?

Se han implantado permetros de seguridad (paredes, puestos de recepcin, entradas controladas por
tarjeta) para proteger las reas de acceso restringido?
Los equipos TIC crticos de la organizacin estn ubicados en salas de CPD?

Se han definido y documentado los procedimientos operacionales TIC?

Las copias se seguridad se realizan regularmente de acuerdo con la poltica de backup establecida?

Se verifica regularmente la correcta realizacin de las copias se seguridad?

Se monitoriza y registra la actividad y el estado de los equipos crticos TIC?.

Se registran las actividades de los administradores y operadores de sistema?

Se ha definido una sistemtica para la asignacin y uso de privilegios en el sistema?.

Se ha definido, documentado e implantado un proceso formal para la asignacin de contraseas?

Se exige a los usuarios que sigan buenas prcticas en materia de seguridad en la seleccin y uso de
contraseas?
Los usuarios se aseguran de proteger los equipos desatendidos? (Ej. bloqueando o cerrando la sesin?

Las cuentas de usuario del sistema son unipersonales o por el contrario existen cuentas genricas de
usuario?
Se controla la instalacin de software en sistemas en produccin?

Existe un proceso formal para la gestin de las vulnerabilidades tcnicas de los sistemas en uso?

Se ha definido, documentado e implantado un proceso formal para la gestin de los incidentes de

seguridad?
Se ha desarrollado un proceso de gestin para la continuidad del negocio?
Se han definido, documentado e implantado planes de continuidad de negocio?

Los planes de continuidad de negocio se revisan y prueban formalmente?

Todos los requisitos relevantes de carcter legal se mantienen identificados?
Se han implementado procedimientos para asegurar el cumplimiento de los requisitos relevantes de
carcter legal?
Se han establecido e implantado procedimientos para la proteccin y privacidad de la informacin desde
un punto de vista legal?
Se verifican los sistemas de informacin regularmente para comprobar su adecuacin a los estndares de
seguridad implementados?

No

Checklist: Proceso de Documentacin

1. Identificacin de la auditora
Institucin auditada:
Proyecto:
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre
e-mail

Fono

3. Checklist
S

Existen estndares definidos para preparar la documentacin de los productos de trabajo?

La documentacin existente se ajusta a dichos estndares?
Existen procedimientos documentados para asegurar la adherencia a estos estndares?
Estos procedimientos distinguen los cambios a los documentos bajo control de configuracin del
software? Este tipo de cambios es revisado?
El contenido de la documentacin de los productos de trabajo es clara, concisa, completa y comprensible?
Los miembros de las revisiones de esta documentacin se encuentran lo suficientemente familiarizados
con ella como para detectar inconsistencias fcilmente?
Existe una autoridad competente para la aprobacin de la documentacin de los entregables (productos de
trabajo)? Es visible para los desarrolladores?
Se entrega oportunamente la documentacin solicitada por el cliente?
Existen suficientes copias de los documentos?
La documentacin es desarrollada paralelamente a las otras actividades del desarrollo de software?
Refleja el estado real del proyecto y de los productos de trabajo?

No

Checklist: SCM
1. Identificacin de la auditora
Institucin auditada:
Proyecto:

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Iniciador:
Tipo de auditora: Interna
Externa

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre
e-mail

Fono

3. Checklist
S

No

Se prepar un plan de SCM? Se encuentra actualizado?

El plan de SCM fue revisado y aprobado?
Se definen en el plan los mecanismos de seleccin e identificacin de tems de configuracin? Se define
el esquema de versiones y revisiones?
Los procedimientos de SCM son implementados adecuadamente? Existen procedimientos para el acceso
a la librera del software?
Existe un grupo de SCM con responsabilidades bien definidas? Cuenta con los recursos adecuados?
Las lneas bases se ajustan a los requerimientos?
Existen procedimientos para gestionar el control de cambios adecuadamente?
Existe un CCB? Quines pertenecen al l? SQA forma parte del comit? Existen procedimientos
claros para sus actividades? Sus actividades son monitoreadas?
Se mantiene informacin sobre el estado de la configuracin del software? Actualizada?
El plan de SCM contempla las auditoras FCA y PCA? Se llevan a cabo?

Checklist: Librera del software

1. Identificacin de la auditora
Institucin auditada:
Proyecto:
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre
e-mail

Fono

3. Checklist
S

Se ha establecido una librera del software? Se ha asignado un responsable?

Existen procedimientos adecuados para el acceso y la gestin de la librera del software?
Se documentan apropiadamente las versiones de los productos de trabajo?
Existe un ndice de los tpicos de la librera del software? Actualizado?
Existe un registro del ingreso/salida (check in/chek out) de los entregables de la librera del software?
Se asigna a cada tem un identificador que refleje la versin y el tipo de producto de trabajo?
Se controla la gestin de la librera del software? Cmo ?

No

Checklist: Identificacin y seguimiento de problemas

1. Identificacin de la auditora
Institucin auditada:
Proyecto:

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Iniciador:
Tipo de auditora: Interna
Externa

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre
e-mail

Fono

3. Checklist
S

No

Existen procedimientos que aseguren la deteccin y correccin de los problemas y/o discrepancias
detectadas?
Se examinan los informes de problemas y de discrepancias para determinar las posibles causas?
Se analiza la relacin entre las diferentes actividades de desarrollo para prevenir disconformidades en los
productos?
Se definen y planifican acciones correctivas? Se asignan los recursos adecuados?
Las acciones correctivas son registradas y documentadas minuciosamente?
Se revisan y monitorean las acciones correctivas para determinar su efectividad, completitud y
complacencia respecto de los estndares?
El nivel de gestin apoya las acciones correctivas?
Los desarrolladores estn de acuerdo en generar informes de problemas y de discrepancias? Los
utilizan?

Checklist: Estado del proyecto

4. Identificacin de la auditora
Institucin auditada:
Proyecto:
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

5. Auditor
Nombre
e-mail

Fono

6. Checklist
S

El estado real del proyecto concuerda con la planificacin? Si no es as, que tan grande es la brecha?
De acuerdo con el plan de proyecto: cul es el estado de las actividades, recursos, productos de trabajo,
hitos?
Determinar: (a) fase de desarrollo actual, (b) estado de avance de las actividades, (c) conformacin y
organizacin del equipo desarrollador, (d) productos de trabajo, (e) hitos, y (f) resultados de las revisiones.

No