(En A Es) Traducción de ISO - 17799 - Checklist

Lista de verificación de auditoría
El auditor nombre:___________________________ La fecha de auditoría:___________________________
La información 7799.2 de BS de administración de seguridad: la 2002 lista de chequeo

de auditoría
Referencia La área de auditoría, el objetivo y la pregunta Resultados
Lista de Padrón Sección Pregunta de auditoría Conclusiones Acatamiento
verificación
Política de seguridad
1.1 3.1
Política de seguridad de información
1.1.1 3.1.1 Documento de Si existir una política de seguridad de información,
política de que es aprobado por la dirección, divulgado y
seguridad de comunicar tan apropiado a todos empleados. Si dijo
el compromiso de dirección y puso el enfoque
información organizativo para dirigir la seguridad de información.
1.1.2 3.1.2 Evaluación y Si la política de seguridad tiene un propietario, que es

evaluación responsable de su mantenimiento y evaluación de
acuerdo con un proceso de evaluación definido. Si el
proceso asegura que una evaluación tiene lugar en
respuesta a cualquier cambios afectando la base de la
valoración original, los ejemplo: los incidentes de
seguridad importantes, nuevas vulnerabilidades o los
cambios hacerlo/serlo
La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

de auditoría
verificación
Infraestructura organizativa o técnica.
Seguridad organizativa
2.1 4.1
Infraestructura de seguridad de información
2.1.1 4.1.1 Foro de debate Si hay un foro de debate de dirección de asegurar
de seguridad de que hay una orden clara y el soporte de dirección
visible para iniciativas de seguridad dentro de la
información de
organización.
dirección
2.1.2 4.1.2 Si hay un foro de debate cruz - funcional de
Coordinación de representantes de dirección de partes relevantes de
seguridad de la organización coordinar la puesta en práctica de
información controles de seguridad de información.
2.1.3 4.1.3 Si las responsabilidades para la protección de

Reparto de las posesiones individuales y para llevar procesos de
responsabilidades seguridad específicos fueron definidas
de seguridad de evidentemente.
información
2.1.4 4.1.4 Si hay una proceso de autorización de dirección en
Proceso de su lugar para cualquier nueva instalación de
autorización para procesamiento de la información. Esto debe incluir
todas nuevas instalaciones como equipo físico y
el procesamiento software.
de la información

de auditoría
verificación
Instalaciones
2.1.5 4.1.5 La especialista Si el especialista consejo de seguridad de
seguridad de información es obtenido where apropiado. Una
información persona individual específica puede ser identificada
para coordinar conocimientos en la empresa y
aconseja experiencias para asegurar la regularidad, y proveer
la ayuda en decisión tomar de seguridad.
2.1.6 4.1.6 Cooperación Si los contactos apropiados con autoridades de

entre ejecución de la ley cuerpos regulador, proveedores
organizaciones de servicio de información y operadores de
comunicación electrónica fueron mantenidos para
asegurar que la acción apropiada puede ser tomados
rápidamente y el consejo prevalecía, en caso de un
incidente de seguridad.
2.1.7 4.1.7 Si la puesta en práctica de la política de seguridad es
Evaluación examinada por separado sobre la base regular. Esto
independiente es para proveer la garantía de que las prácticas
de la seguridad organizativas reflejan la política apropiadamente, y
de información que es viable y eficaz.
2.2 4.2
Seguridad del tercer acceso
2.2.1 4.2.1 Identificación Si los riesgos del tercer acceso son identificado
de los riesgos controles de seguridad y apropiados implementado.
de la tercera Si los clases de accesos son identificados,
clasificados
fiesta

de auditoría
verificación
Acceso Y las razones para el acceso son justificadas.
Whether los riesgos para la seguridad con tercero
contratistas el trabajo in situ fue identificado y los
controles apropiados son implementados.
2.2.2 4.2.2 Si hay un contrato formal que contiene, o se referir,
Requisitos de todos los requisitos de seguridad para asegurar el
seguridad en acatamiento con las políticas de seguridad y los
tercero padrones de la organización.
contratos
2.3 4.3
Subcontratar
2.3.1 4.3.1 Requisitos de Si los requisitos de seguridad son addressed en el
seguridad in contrato con el tercero, cuando la organización ha
subcontratar subcontratado la dirección y el control de todo o
algunas de sus sistemas de información, redes y
contratos ambientes de / o desktop. El contrato debe abordar
cómo los requisitos legales son ser cubierto, cómo las
posesiones de la seguridad de la organización son
mantenidas y evaluadas, y el derecho de la auditoría
los asuntos de seguridad física y cómo la
disponibilidad de los servicios es ser mantenido en
caso del desastre.

de auditoría
verificación
Clasificación de posesión y control

3.1 5.1
Rendición de cuentas de posesiones
3.1.1 5.1.1 Existencias de Si un inventario o registro son mantenido actualizado
posesiones con las posesiones importantes relacionar con cada
uno sistema de información. Si cada posesión
identificada tiene un propietario, la clasificación de
seguridad definida y aceptar y la ubicación
identificada.
3.2 5.2
Clasificación de información
3.2.1 5.2.1 Ya sea que hay un plan de clasificación de
Pautas de información o pauta en su lugar; which will ayudar a
clasificación determinar cómo es ser manejado y protegido la
información.
3.2.2 5.2.2 Si uno apropiado set de procedimientos son definidos
Información para información etiquetar y manejo de conformidad
etiquetar y con el plan de clasificación asumido por la
responder organización.
Personal seguridad
4.1 6.1
Seguridad en la definición de trabajo y Resourcing

de auditoría
verificación
4.1.1 6.1.1 Incluyendo la Whether los papeles de seguridad y las
seguridad en las responsabilidades como colocar la política de
responsabilidades seguridad de información de Organisation es
documentada where apropiado. Esto debe incluir
de trabajo las responsabilidades generales para implementar o
mantener la política de seguridad tanto como las
responsabilidades específicas para la protección de
posesiones especiales, o para la extensión de
procesos de seguridad especiales o actividades.
4.1.2 6.1.2 Si las revisiones de verificación sobre personal
permanentees fueron llevadas a la época de
Personal revisión solicituds de empleo. Esto debe incluir la referencia
y política de calidad, la confirmación de los requisitos
académicos y profesionales alegados y los cheques
de identidad independientes.
4.1.3 6.1.3 Contratos de Si los empleados son pedidos que firmar el acuerdo
confidencialidad de confidencialidad o no divulgación como una
parte de sus términos iniciales y condiciones del
empleo. Si este acuerdo cubre la seguridad de la
instalación de procesamiento de la información y
las posesiones de la organización.
4.1.4 6.1.4 Si términos y condiciones del empleo cubren la
Términos y responsabilidad para la seguridad de información
condiciones del del empleado. Where apropiado, estas
empleo responsabilidades podrían continuar para un punto
definido después del final del empleo.

de auditoría
verificación
4.2 6.2
Usuario entrenamiento
4.2.1 6.2.1 Si todos empleados de la organización y tercero
Educación de usuarios (where relevante) reciben el entrenamiento
seguridad de de seguridad de información apropiado y las
información y actualizaciones de r de regula en políticas
entrenamiento organizativas y procedimientos.
4.3 6.3
Responder a incidentes de seguridad y a funcionamientos defectuosos
4.3.1 6.3.1 Si un procedimiento de señalamiento formal existe,
Incidentes de para informar sobre los incidentes de seguridad a
seguridad de través de la dirección apropiada canalizar tan
señalamiento rápidamente as possible.
4.3.2 6.3.2 Si un procedimiento de señalamiento formal o pauta

Defectos de existen para usuarios, para informar sobre la
seguridad de debilidad de seguridad de moda, o las amenazas de
señalamiento hacerlo/serlo, sistemas o servicios.
4.3.3 6.3.3 Funcionamientos Si procedimientos fueron establecidos para informar

defectuosos de sobre cualquier funcionamientos defectuosos de
software.
software de
señalamiento
4.3.4 6.3.4 Ya sea que hay mecanismos en lugar de permitir los
tipos, los volúmenes y gastos de los incidentes y los
Learning de funcionamientos defectuosos
de auditoría
verificación
Incidentes Ser cuantificado y monitoreado.
4.3.5 6.3.5 Proceso Si hay un proceso disciplinario formal en su lugar
disciplinario para empleados que han infringido las políticas de
seguridad organizativas y los procedimientos. Tal
proceso puede actuar como un factor disuasivo a
empleados que pueden ser inclined ignorar los
procedimientos de seguridad por lo demás.
Seguridad física y ambiental

5.1 7.1
Área segura
5.1.1 7.1.1 Lo que la facilidad de seguridad de borde física ha
sido implementada a protege el servicio de
Perímetro de procesamiento de la información. Algunos ejemplos
seguridad físico de tal instalación de seguridad son puerta de entrada
de control de la tarjeta, paredes la recepción tripulada
etc..,
5.1.2 7.1.2 Lo lo que la entrada controla está en lugar de dejar
Controles de ingresar a solamente personal autorizados a áreas
entrada físicos varias dentro de la organización.
5.1.3 7.1.3 Asegurar Si las habitaciones, que tienen el servicio de
oficinas, procesamiento de la información, están con llave o
tienen armarios bloqueables o cajas fuertes.
habitaciones e
instalaciones

de auditoría
verificación
Si el servicio de procesamiento de la información es
protegido del desastre natural y hecho por el hombre.
Si hay cualquier amenaza potencial de instalaciones
cercanas.
5.1.4 7.1.4 La información es solamente sobre la necesidad de
Trabajar en saber la base. Si existir cualquier control de
áreas seguras seguridad para terceros o para personal que trabaja en
la área segura.
5.1.5 7.1.5 Si la área de entrega y la área de procesamiento de la
Entrega aislada información están aisladas de sí para evitar cualquier
y áreas de acceso no autorizado.
carga
Si una valoración de riesgo fue se conducida para
determinar la seguridad en tales áreas.
5.2 7.2
Seguridad de equipo
5.2.1 7.2.1 Si el equipo estaba ubicado en el lugar apropiado de
Equipo ubicar minimizar el acceso superfluo en áreas de trabajo.
la protección
Si los artículos que requerían la protección especial

fueron aislados para reducir el nivel general de la
protección requerida.

de auditoría
verificación
Ya sea que controles fueron asumidos para
minimizar el riesgo de las amenazas potenciales
como el robo, el fuego, los explosivos, el humo, el
agua, dist, la vibración los efectos química las
interfaces de suministro eléctricas la radiación
electromagnética, inúndese.
Si hay una política hacia comer, beber y fumar on en
proximidades a servicios de procesamiento de la
información.
Si las condiciones ambientales lo son monitorear
cuál afectar las instalaciones de procesamiento de la
información adversamente.
5.2.2 7.2.2 Suministros de Ya sea que el equipo es protegido de los cortes de
energía electricidad usando permanencia de suministros de
energía como las transmisiones múltiples el
suministro eléctrico ininterrumpido (aumentar),
generador de copia de seguridad etc..,
5.2.3 7.2.3 Si el poder y el cable de telecomunicaciones que
Cablegrafiar a lleva los datos o los servicios de información de
seguridad soporte son protegidos de la interceptación o el daño.
Si hay cualquier controles de seguridad adicionales
en su lugar para la información confidencial o crítica.
5.2.4 7.2.4 Mantenimiento Si el equipo es mantenido actualizado según los
de equipo intervalos del servicio recomendados y las
especificaciones del proveedor. Si el mantenimiento
es llevado solamente por personal autorizados.

de auditoría
verificación
Si los diarios son mantenidos actualizado con todas
fallas suspected o verdaderas y todas medidas
preventivas y correctivas.
Whether apropiados los controles son implementados
mientras envían equipo de instalaciones. Si el equipo
es cubierto por el seguro, whether el seguro los
requisitos son satisfechos.
5.2.5 7.2.5 Asegurar de Si cualquier uso de equipo fuera de las instalaciones
equipo off para el procesamiento de la información de una
organización tiene que ser autorizado por la
instalaciones de
dirección.
-
Si la seguridad proporcionó estos equipos mientras
fuera las instalaciones están sobre el par con o más
de la seguridad proveer las instalaciones dentro.
5.2.6 7.2.6 Asegure Whether storage device contener la información
traspaso o uso confidencial es destruida físicamente o bien escrito
desde lo alto.
repetido de
equipo
5.3 7.3
Controles generales
5.3.1 7.3.1 Whether la facilidad automática pantalla de
Escritorio de computadora bloquear está activada. Esto bloquearía
Borrar y la pantalla cuando la computadora es dejada
pantalla clara desatentida para un período.

de auditoría
verificación
Política Si los empleados son aconsejados dejar cualquier
material confidencial en forma de documentos de
papel, media etc.., En una manera bloqueada
mientras de asistencia nula.
5.3.2 7.3.2 Whether equipo, información o software pueden ser
Retiro de tomados exterior sin la autorización apropiada.
propiedad
Si controles sorpresa o auditorías regulares fueron
dirigidos para detectar el retiro no autorizado de
propiedad. Si las personas individuales son
conscientes de estos clases de controles sorpresa o
auditorías regulares.
Comunicaciones y dirección de operaciones

6.1 8.1
Procedimiento en funcionamiento y responsabilidades
6.1.1 8.1.1 Si la política de seguridad ha identificado cualquier
Documentó los procedimientos operativos como copia de seguridad,
procedimientos el mantenimiento de equipo etc..,
operativos
Si tales procedimientos son documentados y usados.
6.1.2 8.1.2 Si todos programas que funcionan en sistemas de

producción están sujetos a control de cambio estricto
Cambio de i.e.., Cualquier cambio de ser hecho a esos
operaciones programas de producción tiene que se ir

de auditoría
verificación
Control A través del cambio controle la autorización.
Si los diarios de auditoría son mantenidos
actualizado para cualquier cambio hecho a los
programas de producción.
6.1.3 8.1.3 Whether un procedimiento de dirección de Incident
Procedimientos exista para manejar los incidentes de seguridad.
de dirección de
incidente
Ya sea que el procedimiento aborda el incidente las
responsabilidades de dirección, la reacción ordenada
y rápida para los incidentes de seguridad.
Si el procedimiento se dirige a diferentes clases de
incidentes se extender negación del servicio a
incumplimiento de la confidencialidad etc.., Y las
maneras de tratar con ellos.
Si los senderos de auditoría y los troncos que se
relacionan con los incidentes son el mantenido
movimiento y previsor tomado en una manera que el
incidente no se repite.
6.1.4 8.1.4 Si servicios y áreas de la responsabilidad son
Segregación de separados para reducir las oportunidades para la
los servicios modificación no autorizada o los mal uso de la
información o servicios.
6.1.5 8.1.5 Si las instalaciones de desarrollo y lo prueba están
separadas de las instalaciones en funcionamiento.
Separación del
Por ejemplo el software de desarrollo debe funcionar
desarrollo en una computadora diferente a eso de la
computadora con la producción

de auditoría
verificación
Y instalaciones Software. Donde desarrollo necesario y red de
en producción deben ser separados de sí.
funcionamiento
6.1.6 8.1.6 Si ninguno de la instalación de procesamiento de la
Dirección de información es dirigida por compañía externa o
instalaciones contratista (tercera parte).
externa
Si los riesgos se relacionaron con tal dirección ser
identificado con anticipación, hablado de con el
tercero y controles apropiados fueron incluidos en el
contrato. Whether necesaria la aprobación es
obtenida de empresa y propietarios de aplicación.
6.2 8.2
Planificación de sistema y aprobación
6.2.1 8.2.1 Planificación de Si las demandas de capacidad son monitoreadas y las
capacidad proyecciones de futuros requisitos de capacidad son
hechas. Esto es para asegurar que poder de
procesamiento suficiente y almacenamiento están
disponibles. Ejemplo: el espacio de disco duro de
observación, el RAM, la CPU sobre servidores
exigentes.
6.2.2 8.2.2 Si los criterios de aprobación de sistema son
Sistema establecidos para nuevas sistemas de información,
versiones actualizadas y nuevos versiones.

de auditoría
verificación
Aprobación Whether apropriadas pruebas fueron llevadas antes
de la aprobación.
6.3 8.3
Protección en contra del software malicioso
6.3.1 8.3.1 Si existir cualquier control contra el uso de software
Control en malicioso. Si la política de seguridad hace los
contra del asuntos de concesión de licencia de software de
software dirección como prohibir el uso del software no
malicioso autorizado.
Ya sea que existir cualquier procedimiento para

verificar todos boletines de advertencia son exactos e
informativos con respecto a el uso de software
malicioso.
Si el software de Antivirus es instalado sobre las
computadoras para verificar y aislar o retirar
cualquier virus de computadora y entornos. Si esta
firma de software es actualizada sobre una base
regular para obstaculizar cualquier más recientes
virus.
Si todo lo tráfico que nace de la red un- de confianza
hacia dentro a la organización es examinado en busca
de virus. Ejemplo: buscando virus en el correo
electrónico, envie por correo electrónico anexos y en
la red, FTP el tráfico.
6.4 8.4
Manejo de la casa

de auditoría
verificación
6.4.1 8.4.1 Copia de Whether la copia de seguridad de la información de
seguridad de la empresa esencial como servidor de producción
información componentes de la red críticos, copia de seguridad de
configuración etc.., Fue tomado con regularidad.
Ejemplo: el lunes - el jueves: copia de seguridad y el
viernes incremental: copia de seguridad completa.
Si los medios de comunicación de copia de seguridad

junto con el procedimiento de restaurar la copia de
seguridad son guardados bien y bien fuera del sitio
verdadero.
Si los medios de comunicación de copia de seguridad
son con regularidad hacer pruebas para asegurar que
podían ser restituidos dentro del time frame asignado
en el procedimiento en funcionamiento para la
recuperación.
6.4.2 8.4.2 Operador Whether en funcionamiento los personal mantienen
troncos actualizados un diario de sus ies de activit como
nombre de la persona, errores movimiento correctivo
etc.., Si los operador troncos son cotejados con la
base regular contra los procedimientos operativos.
6.4.3 8.4.3 Si los defectos son informados sobre y llevados bien.

Tala de árboles Esto incluye la acción correctiva que está tomado, la
de falla evaluación de los troncos de falla y verificar las
acciones tomadas
6.5 8.5
Dirección de la red

de auditoría
verificación
6.5.1 8.5.1 Ya sea que controles en funcionamiento eficaces
Controles de la como red distinta y instalaciones de administración
red de sistema lo fueron sea establecido where necesario.
Si responsabilidades y procedimientos para la
dirección de equipo remoto, incluir equipo en usuario
áreas fueron establecidos.
Ya sea que existir cualquier controles especiales
proteger confidencialidad e integridad del
procesamiento de datos sobre la red pública y
proteger los sistemas conectados. Ejemplo: redes
privadas prácticamente, la otra encriptación y los
mecanismos de hashing etc..,
6.6 8.6
Manejo media y seguridad
6.6.1 8.6.1 Si existir un procedimiento para la dirección de
Dirección de entornos de computadora removibles como cintas,
entornos de discos, casetes, tarjetas de memoria e informes.
computadora
removibles
6.6.2 8.6.2 Traspaso de Si los medios de comunicación que no son más
requerido son dispuestos saliendo bien y sin peligro.
medios de
comunicación
Si el traspaso de artículos delicados es registrado
where necesario para mantener un rastro de auditoría.

de auditoría
verificación
6.6.3 8.6.3 Si existir un procedimiento para manejar el
Procedimientos almacenamiento de la información. Hace este
procedimiento números de dirección como la
de manejo de protección de información de la revelación no
información autorizada o el mal uso.
6.6.4 8.6.4 Seguridad de la Si la documentación de sistema es protegida del
documentación acceso no autorizado. Si la lista de acceso para la
de sistema documentación de sistema es guardada al mínimo y
autorizada por el propietario de aplicación. Ejemplo:
la documentación de sistema tiene que ser guardada
sobre una unidad de disco compartida para los
propósitos específicos, el documento tiene que tener
listas de Control de Access activado (para ser
accesible solamente por usuarios limitados.)
6.7 8.7
Intercambio de la información y el software
6.7.1 8.7.1 Si existir cualquier acuerdo formal o informal entre
Información y las organizaciones para el intercambio de la
acuerdo de información y el software.
intercambio de
software
Si el acuerdo lo hace abordar los asuntos de
seguridad sobre la base de la sensibilidad de la
información de la empresa involucrada.

de auditoría
verificación
6.7.2 8.7.2 Seguridad de Whether la seguridad de medios de comunicación
mientras ser transportado tenido en cuenta. Si los
medios de
medios de comunicación son protegido del acceso no
comunicación autorizado, el mal uso o la corrupción bien.
en tránsito
6.7.3 8.7.3 Whether electrónico el comercio es protegido bien y
Seguridad de controles implementado para proteger contra la
comercio actividad fraudulenta, la disputa de contrato y las
electrónica revelación o modificación de la información.
Si los controles de seguridad como Authentication,

Authorisation son considerados en el ambiente de
ECommerce.
Whether electrónico los arreglos de comercio entre
socios comerciales incluyen un acuerdo
documentado, que promete ambas fiestas a los
términos aceptados del comercio, incluyendo los
detalles de los asuntos de seguridad.
6.7.4 8.7.4 Seguridad del Ya sea que hay una política en su lugar para el uso
correo aceptable de correo electrónico o hembras la política
de seguridad aborda los asuntos con respecto a el uso
electrónico
del correo electrónico.
electrónico
Whether controles como antivirus de control, aislar
anexos potencialmente poco seguros, enviar correo
no solicitado al control, inconformista transmitir
etc.., Ser puesto in place para reducir los riesgos
creados por el correo electrónico electrónico.

de auditoría
verificación
6.7.5 8.7.5 Seguridad de Si hay una política de uso aceptable de abordar el uso
sistemas de la de sistemas de la oficina electrónicos.
oficina
electrónicos
Si hay cualquier pautas en su lugar controlar la
empresa y los peligros para la seguridad eficazmente
relacionar con la oficina electrónica sistemas.
6.7.6 8.7.6 Ya sea que hay cualquier autorización formal el
Sistemas proceso en su lugar para la información ser hecho
públicamente públicamente disponible. Como la aprobación del
disponibles Cambiar controlar cuál incluir la empresa, el
propietario de aplicación etc..,
Si hay cualquier controles en lugar de proteger la
integridad de tal información públicamente
disponible de cualquier acceso no autorizado. Esto
podría incluir controles como cortafuegos, el
endurecimiento de sistema operativo, cualquier tipo
de detección de intrusión de herramientas use
monitorear el sistema etc..,
6.7.7 8.7.7 Ya sea que hay cualquier políticas, procedimientos o
Otras formas controles en lugar de proteger el cambio de la
del intercambio información a través del uso de la voz, mande por
de información facsímil y grabe en video instalaciones de
comunicación.
Si los personal son hechos acordar que mantener la
confidencialidad de la información confidencial
mientras usar tales formas de la facilidad de
intercambio de información.

de auditoría
verificación
Acceda al Control
7.1 9.1
Requisitos de la empresa para el control de acceso
7.1.1 9.1.1 Política de Si los requisitos de la empresa para el control de
Control de acceso han sido definidos y documentados.
acceso
Si la política de control de Access aborda las reglas y
los derechos para cada usuario o un grupo del
usuario.
Ya sea que los usuarios y service providers fueron
dados una sentencia clara del requisito de la empresa
sea cubierto por controles de acceso.
7.2 9.2
Usuario dirección de acceso
7.2.1 9.2.1 Si hay cualquier usuario registro formal y
Usuario procedimiento de de-registration para conceder el
registro acceso para los multiusuario sistemas de información
y servicios.
7.2.2 9.2.2 Dirección de Si la asignación y la uso de cualquier privilegios en
privilegio el ambiente de sistema de información multiusuario
están restringido y controlado i.e.., Los privilegios
son asignados sobre la base de necesidad - para - uso;
los privilegios son asignados solamente después de
proceso de autorización formal.

de auditoría
verificación
7.2.3 9.2.3 Usuario El reparto y la reasignación de contraseñas deben ser
dirección de controlados a través de un proceso de dirección
formal.
contraseña
Si los usuarios son pedidos que firmar una
declaración para guardar la contraseña confidencial.
7.2.4 9.2.4 Evaluación de Ya sea que existir un proceso to usuario de
evaluación acceda a los derechos a intervalos
los usuario
regulares. Ejemplo: privilegios especiales examinan
derechos de los privilegios cada 3 meses, normales cada 6
acceso polillas.
7.3 9.3
Usuario responsabilidades
7.3.1 9.3.1 Si hay cualquier pautas en su lugar guiar usuarios
Uso de
seleccionando y mantener actualizado contraseñas
contraseña seguras.
7.3.2 9.3.2 Usuario equipo Si los usuarios y los contratistas son hechos
desatentido consciente de los requisitos de seguridad y los
procedimientos para proteger equipo desatentido,
tanto como su responsabilidad de implementar tal
protección. Ejemplo: salir del sistema cuando la
sesión es terminada o poner log de automóvil
saliendo, terminar las sesiones when termina etc..,
7.4 9.4
Control de acceso de la red
7.4.1 9.4.1 Ya sea que existir una política que hace las
La política incumbencias de dirección relacionando servicios
sobre el uso de con redes y red

de auditoría
verificación
Servicios de la Como: partes de la red de ser accedido, los oficios
red religiosos de Authorisation de determinar quién ser
permitido hacer qué, procedimientos a los que
proteger el acceso conectan a una red conexiones y
conectan a una red servicios.
7.4.2 9.4.2 Hizo cumplir la Ya sea que hay cualquier control que restringe la ruta
ruta entre la usuario unidad terminal y los servicios de
computadora designados el usuario es autorizado
acceder al ejemplo: la ruta hecho cumplir para
reducir el riesgo.
7.4.3 9.4.3 Ya sea que existir ninguno mecanismo de
Usuario autentificación para conexiones externas
autentificación estimulantes. Ejemplos: la técnica criptografía
para conexiones basada en, el equipo físico que fichas, fichas de
externas software, desafían / el protocolo de respuesta etc..,
7.4.4 9.4.4 Autentificación Si las conexiones para sistemas de computadora

de nodo remotos que son fuera de organizaciones la
administración de seguridad son autentificadas. La
autentificación de nodo puede servir de unos medios
alternativos de autentificar grupos de usuarios
remotos donde están conectados con una instalación
de computadora segura y compartida.
7.4.5 9.4.5 Puerto Si los accesos para puertos diagnósticos son bien
diagnóstico controlados i.e.., Proteger por un mecanismo de
lejano seguridad.
de auditoría
verificación
Protección
7.4.6 9.4.6 Si la red (donde el(la/los/las) de socio comercial y
el / o terceras partes necesitan el acceso para
Segregación en
sistema de información) es separada usando
redes mecanismos de seguridad de perímetro como
cortafuegos.
7.4.7 9.4.7 Si existir cualquier control de conexión de la red
Protocolos de para redes compartidas que se extienden más allá de
conexión de la los límites organizativos. Ejemplo: el correo
red electrónico, el acceso a la web, las transferencias de
ficheros, etcétera.,
7.4.8 9.4.8 Control de Ya sea que existir ninguno conecte a una red el
direccionamient control para asegurar que conexiones de
o de la red computadora e flujos de información no violan la
política de control de acceso de las aplicaciones de
la empresa. Esto es a menudo esencial para las
redes compartidas con usuarios non-
organizaciones.
Si los controles de direccionamiento están basados
en la fuente segura y el mecanismo de
identificación de destino. Ejemplo: traducción de
dirección de la red (Nat).
7.4.9 9.4.9 Whether la organización, usar servicio de la red
Seguridad de público o confidencial asegura que una descripción
servicios de la clara de los atributos de seguridad de todos
red servicios usados es proveída.
7.5 9.5
Control de acceso de sistema operativo

de auditoría
verificación
7.5.1 9.5.1 Whether el mecanismo de identificación automático
Identificación final es use autentificar conexiones.
final
automática
7.5.2 9.5.2 de diario final Si el acceso para sistema de información es
sobre alcanzable solamente vía un proceso de entrada en el
sistema seguro.
procedimientos
Si hay un procedimiento en su lugar para entrar al
sistema a una sistema de información. Esto es para
minimizar la oportunidad del acceso no autorizado.
7.5.3 9.5.3 Usuario Whether único el identificador es proveído a cada
identificación y usuario como operadores, administradores del
autorización sistema y todos otros personal incluyendo la falta
técnica. Las usuario cuentas genéricas deben ser
proporcionado bajo las circunstancias excepcionales
donde hay un beneficio de la empresa claro
solamente. Controles adicionales podrían ser
necessary mantener la rendición de cuentas.
Ya sea que el método de autentificación usado lo
hace pruebe la identidad alegada del usuario; método
comúnmente usado: la contraseña que solamente el
usuario sabe.
7.5.4 9.5.4 Ya sea que existir un sistema de dirección de
Sistema de contraseña que impone controles de contraseña
dirección de varios como: la contraseña individual para la
contraseña rendición de cuentas, haga cumplir los cambios de
contraseña, guarde contraseñas en la forma cifrada,

de auditoría
verificación
No contraseñas de visualización sobre la pantalla
etc..,
7.5.5 9.5.5 Whether los utilities de sistema eso viene con las
Uso de servicios instalaciones de computadora, pero podría contar
de sistema más que el sistema y el control de aplicación es
fuerte controlado.
7.5.6 9.5.6 Alarma de Si la previsión de una alarma de coacción es
coacción considerada para usuarios que pueden ser la meta de
la coerción.
proteger
usuarios
7.5.7 9.5.7 Terminal inactivo en áreas públicas debe ser
Tiempo muerto arreglado borrar la pantalla o se apagar
final automáticamente después de un período definido de
la inactividad.
7.5.8 9.5.8 Ya sea que existir ninguno la limitación en el tiempo
Limitación del de conexión para aplicaciones de alto riesgo. Este
tiempo de tipo de set debe ser considerado para aplicaciones
conexión delicadas para las que las unidades terminales son
instaladas en ubicaciones de alto riesgo arriba.
7.6 9.6
Control de Access de aplicación
7.6.1 9.6.1 Whether el acceso para la solicitud junto a grupos /
Restricción de personal varios dentro de la organización debe ser
definido en la política de control de acceso según el
acceso de requerimiento de aplicación de la empresa individual
información y es compatible con la política de acceso de
información de la organización.

de auditoría
verificación
7.6.2 9.6.2 Ya sea que los sistemas delicados son suministrados
con el ambiente de computación aislado como
Aislamiento de
funcionar en una computadora dedicada, compartir
sistema sensible recursos solamente con sistemas de aplicación de
confianza, etcétera.,
7.7 9.7
Acceso de sistema de observación y uso
7.7.1 9.7.1 Tala de árboles Whether diarios de auditoría que graban excepciones
de evento y otra seguridad los eventos relevantes son
producidos y guardados para un punto aceptado
ayudar con las futuras investigaciones y la
observación de control de acceso.
7.7.2 9.7.2 Uso de sistema Si los procedimientos son puestos para monitorear el
de observación uso de la facilidad de procesamiento de la
información. El procedimiento debe asegurar que los
usuarios están llevando a cabo solamente las
actividades que están autorizado explícitamente.
Si los resultados de las actividades de observación

son examinados con regularidad.
7.7.3 9.7.3 Synchronisatio Ya sea que la computadora o el dispositivo de
de reloj n comunicación tienen la capacidad de operar un reloj
legítimo, debe ser puesto a un padrón aceptado como
el tiempo de ordinated de de co de Universal o el
tiempo estándar local. El correcto preparando del
reloj de computadora es importante para asegurar la
exactitud de los diarios de auditoría.

de auditoría
verificación
7.8 9.8
Informática móvil y teleworking
7.8.1 9.8.1 Ya sea que una política formal es asumida eso tiene
Informática en cuenta los riesgos de trabajar con instalaciones de
móvil computación como libretas, computadoras manuales
etc.., Especialmente en ambientes sin protección.
Si trainings fueron organizado para personal usar
instalaciones de informática móvil de levantar su
conocimiento sobre los riesgos adicionales que
resultan de esta manera de trabajar y controles que
tiene que ser implementados para mitigar los riesgos.
7.8.2 9.8.2 Ya sea que hay cualquier política, el procedimiento y
el / o padrón controlar las actividades de teleworking,
Teleworking esto debe ser compatible con la política de seguridad
de la organización.
Whether apropriada la protección del sitio de
teleworking es en su lugar contra las amenazas como
el robo de equipo la revelación no autorizada de la
información etc..,
Desarrollo de sistema y mantenimiento

8.1 10.1
Requisitos de seguridad de sistemas
8.1.1 10.1.1 Si los requisitos de seguridad son incluidos como
part of la expresión de requisito de la empresa para
Requisitos de nuevos sistemas o para el realce a sistemas
seguridad existentes.

de auditoría
verificación
Análisis y Los requisitos de seguridad y controles identificados
especificación deben reflejar el valor de la empresa de posesiones
de información involucradas y la consecuencia del
fracaso de la seguridad.
Si las valoraciones de riesgo son terminadas antes de
la graduación del desarrollo de sistema.
8.2 10.2
Seguridad en sistemas de aplicación
8.2.1 10.2.1 Validación de Si la contribución de datos para el sistema de
datos de aplicación es validada para asegurar que es correcto
contribución y apropiado. Whether los controles como: el tipo
diferente de las entradas para examinar en busca de
mensajees de errores, los procedimientos para
responder a los errores de validación, definir las
responsabilidades de todos personal involucrado en
los datos introdujo el proceso etc.., Ser considerado.
8.2.2 10.2.2 Si las áreas de los riesgos son identificadas en el
Control del ciclo de procesamiento y cheques de validación
fueron incluidos. En algunos casos los datos que ha
procesamiento sido ingresados correctamente pueden ser corroto por
interno los errores de procesamiento o a través de los actos
deliberados.
Whether apropiados los controles son identificados
para aplicaciones para mitigar de los riesgos durante
el procesamiento interno. Los controles dependerán
de la naturaleza de aplicación y impacto de la
empresa de cualquier corrupción de los datos.

de auditoría
verificación
8.2.3 10.2.3 Autentificación Si una valoración del riesgo para la seguridad fue
de mensaje llevada determinar si la autentificación de mensaje es
requerida; y identificar most método apropiado de la
puesta en práctica si es necesario. El mensaje del que
la autentificación es una técnica use detectar los
cambios no autorizados hacerlo/serlo, o la
corrupción, los contenido del mensaje electrónico
transmitido.
8.2.4 10.2.4 Si el producto de datos del sistema de aplicación es
Validación de validado para asegurar que el procesamiento de la
datos de información almacenada es correcto y apropiado a
producto las circunstancias.
8.3 10.3
Controles criptográficos
8.3.1 10.3.1 Ya sea que hay una "Política en uso de controles
Política sobre el criptográficos para la protección de la información"
uso de controles es en su lugar. Ya sea que una valoración de riesgo
criptográficos fue llevada para identificar el nivel de la protección
la información debe ser dado.
8.3.2 10.3.2 Encriptación Si las técnica de encriptación fueron use proteger los
datos. Si las valoraciones fueron dirigidas para
analizar la sensibilidad de los datos y el nivel de la
protección necesitada.
8.3.3 10.3.3 Ya sea que las firmas digitales fueron use

Digital hacerlo/serlo proteger el

de auditoría
verificación
Firmas Autenticidad e y de integrit de documentos
electrónicos.
8.3.4 10.3.4 Si servicios non- rechazo fueron usados, donde
podría ser necesario resolver las disputas sobre
Servicios non- ocurrencia o non- ocurrencia de un evento o el
rechazo movimiento. Ejemplo: discuta involucrar el uso de
una firma digital sobre un pago electrónico o
contrato.
8.3.5 10.3.5 Si hay un sistema de dirección estar en lugar de
Dirección de soportar el uso de las técnica criptográficas como la
tecla técnica de tecla confidencial y la técnica de clave
pública de la organización.
Si la dirección de tecla en la que el sistema está
basado estuvo de acuerdo se poner de los padrones,
los procedimientos y los métodos seguros.
8.4 10.4
Seguridad de archivos del sistema
8.4.1 10.4.1 Si hay cualquier controles en lugar para la puesta en
Control del funcionamiento del software sobre sistemas en
software en funcionamiento. Esto es para minimizar el riesgo de
funcionamiento la corrupción de sistemas en funcionamiento.
8.4.2 10.4.2 Si los datos de prueba de sistema están protegido y
Protección de controlado. El uso de la información personal base
los datos de de datos contener de operaciones debe ser evitado
prueba de para los propósitos de prueba. Si tal información es
sistema usada, los datos deben ser despersonalizados antes
del uso.

de auditoría
verificación
8.4.3 10.4.3 Acceda al Whether severos los controles son en su lugar sobre
Control para el acceso para bibliotecas de fuente de programa.
programar la Esto es para reducir el potencial para la corrupción
de programas de computadora.
biblioteca de
fuente
8.5 10.5
Seguridad en el desarrollo y el proceso de soporte
8.5.1 10.5.1 Si hay procedimientos de control estrictos en su
Procedimientos lugar sobre la puesta en funcionamiento de los
de control de cambios para la sistema de información. Esto es para
Cambiar minimizar la corrupción de sistema de información.
8.5.2 10.5.2 Evaluación Si hay proceso o procedimiento en lugar de asegurar
técnica de los el sistema de aplicación ser examinado y evaluado
después del cambio en el sistema operativo.
cambios de Periódicamente es necessary actualizar operando el
sistema sistema i.e.., Para instalar paquetes del servicio, las
operativo correcciones los arreglos calientes etc..,
8.5.3 10.5.3 Evaluación Si hay cualquier restricciones en lugar de limitar los
técnica de los cambios a paquetes de software. Tan lejos as
cambios de possible el distribuidor proporcionados paquetes de
software debe ser usado sin la modificación. Si los
sistema cambios son deem esencial el software original debe
operativo ser conservado y los cambios eran aplicable
solamente a una copia evidentemente identificada.
Todos cambios deben ser evaluados evidentemente y
documentado así que pueden ser vuelto a aplicar si
necesario a las futuras actualizaciónes del software.
de auditoría
verificación
8.5.4 10.5.4 Canales Si hay controles en lugar de asegurar que los canales
encubiertos y encubiertos y las claves troyanas no son introducidos
clave troyana en el sistema nuevo o actualizado. Un canal
encubierto puede exponer la información por algunos
medios indirectos y obscuros. La clave troyana es
diseñada afectar un sistema en una manera que no es
autorizado.
8.5.5 10.5.5 Subcontrató el Si hay controles en su lugar sobre subcontratar el
desarrollo de software. Los puntos de ser las inclusiones famosas:
software autorizar arreglos, arreglos de depósito requisito
contractual para la garantía de la calidad, evaluando
la investidura de detectar la clave troyana etc. antes.,
Dirección de continuidad de la empresa

9.1 11.1
Aspectos de dirección de continuidad de la empresa
9.1.1 11.1.1 La continuidad Si hay un proceso dirigido en su lugar para contraer y
de la empresa mantener la continuidad de la empresa en toda la
que dirección organización. Este podría incluir Organisation
amplio plan de continuidad de la empresa prueba
procesa regular y actualizar del plan, formulando y
documentar una estrategia de continuidad de la
empresa etc..,

de auditoría
verificación
9.1.2 11.1.2 Continuidad de Si los eventos que podían causar ns de interruptio al
la empresa e proceso de la empresa lo fueron identificar el
análisis de ejemplo: el fracaso de equipo, la inundación y el
fuego. Si una valoración de riesgo fue se conducida
impacto para determinar el impacto de tales interrupciones. Si
un plan de estrategia fue desarrollado sobre la base
de la valoración de riesgo dar como resultado para
determinar un enfoque en conjunto para la
continuidad de la empresa.
9.1.3 11.1.3 Escribir y Si los planes fueron desarrollados para restaurar las
operaciones de la empresa dentro del time frame
implementar la
requerir following una interrupción o fracaso al
continuidad proceso de la empresa. Si el plan es con regularidad
planean hacer pruebas y se actualizar.
9.1.4 11.1.4 La continuidad Ya sea que hay una base sola de la continuidad de la
de la empresa empresa planee. Si esta base es mantenida para
planear la base asegurar que todos planes son consecuentes y
identificar las prioridades para la prueba y el
mantenimiento. Si esto identifica las condiciones
para la activación y las personas individuales
responsables de ejecutar cada componente del plan.
9.1.5 11.1.5 Whether la continuidad de la empresa los planes son

La prueba, el evaluados con regularidad para asegurar que están
mantener y el actualizados y eficaces.
re-

de auditoría
verificación
Tasar plan de
continuidad de
la empresa
Whether la continuidad de la empresa los planes
fueron mantenidos por evaluaciones regulares y
actualizaciones para asegurar su eficacia continuada.
Ya sea que los procedimientos fueron incluidos
dentro las organizaciones cambian que el programa
de dirección asegure que temas de continuidad de la
empresa son addressed apropiadamente.
Acatamiento
10.1 12.1
Acatamiento con requisitos legales
10.1.1 12.1.1 Identificación Si todos requerimientos legales y reguladores y
de la legislación contractuales relevantes fueron definidos
aplicable explícitamente y documentados para cada sistema de
información. Whether específicos controles y las
responsabilidades individuales de cubrir estos
requisitos fueron definidos y documentados.
10.1.2 12.1.2 Ya sea que existir cualquier procedimientos de

Derechos de asegurar el acatamiento con las limitaciones legales
propiedad en el uso del material con respecto a el que puede
intelectuals haber propiedad intelectual

de auditoría
verificación
(IPR) Los derechos como el derecho de autor, los derechos
de diseño, el comercio mancha. Si los
procedimientos son implementados bien.
Whether reservados los productos de software son
proporcionados bajo un contrato de licencia que
limita el uso de los productos a computadoras
especificadas. La única excepción podría ser para
hacer copias de seguridad propias del software.
10.1.3 12.1.3 Whether los registros importantes de la organización
Proteger de es protegido de la función de destrucción y falsi de
pérdida.
registros
organizativos
10.1.4 12.1.4 Protección de Si hay una estructura de dirección y control en lugar

datos y de proteger datos y privacidad de la información
privacidad de personal.
la información
personal
10.1.5 12.1.5 Whether el uso de instalaciones de procesamiento de

Prevención del la información para cualquier propósito non-
mal uso del empresa o no autorizada, sin la dirección la
procesamiento aprobación es tratada como el uso impropio de la
de la instalación. Si en la entrada en el sistema un mensaje
información de advertencia es entregado sobre la pantalla de
computadora que demuestra eso el sistema

de auditoría
verificación
Instalación Ser entrado es confidencial y ese acceso no
autorizado no es permitido.
10.1.6 12.1.6 Si la regulación del control criptográfico es según el
Regulación de sector y el acuerdo nacional.
controles
criptográficos
10.1.7 12.1.7 Ya sea que el proceso involucrado en coleccionar las
Colección de pruebas es de conformidad con la mejor apariencia
pruebas legal e industria practique.
10.2 12.2
Evaluaciones de la política de seguridad y acatamiento técnico
10.2.1 12.2.1 Whether todas áreas dentro la organización es
Acatamiento considerada para la evaluación regular de asegurar el
con la política acatamiento con la política de seguridad, los
de seguridad padrones y los procedimientos.
10.2.2 12.2.2 El acatamiento Si sistemas de información eran con regularidad

técnico buscar el acatamiento con los padrones de puesta en
verificar funcionamiento de seguridad. Whether el
acatamiento técnico del que el cheque es llevado out
by, o bajo la supervisión, las personas competentes,
autorizadas.
10.3 12.3
Consideraciones de auditoría de sistema

de auditoría
verificación
10.3.1 12.3.1 Si los requisitos de auditoría y las actividades que
Controles de involucran cheques sobre sistemas en
auditoría de funcionamiento deben ser cuidadosamente planear y
sistema aceptar minimizar el riesgo de las interrupciones al
proceso de la empresa.
10.3.2 12.3.2 Protección de Si acceso para herramientas de auditoría de sistema
herramientas como el software o archivos de datos son protegidos
para prevenir cualquier mal uso posible o acuerdo.
de auditoría de
sistema

(En A Es) Traducción de ISO - 17799 - Checklist

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

(En A Es) Traducción de ISO - 17799 - Checklist

Transféré par

Droits d'auteur :

Formats disponibles

Lista de verificación de auditoría

El auditor nombre:___________________________ La fecha de auditoría:___________________________

La información 7799.2 de BS de administración de seguridad: la 2002 lista de chequeo

1.1.2 3.1.2 Evaluación y Si la política de seguridad tiene un propietario, que es

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

2.1.3 4.1.3 Si las responsabilidades para la protección de

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

2.1.6 4.1.6 Cooperación Si los contactos apropiados con autoridades de

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Clasificación de posesión y control

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

4.3.2 6.3.2 Si un procedimiento de señalamiento formal o pauta

4.3.3 6.3.3 Funcionamientos Si procedimientos fueron establecidos para informar

Seguridad física y ambiental

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Si los artículos que requerían la protección especial

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Comunicaciones y dirección de operaciones

6.1.2 8.1.2 Si todos programas que funcionan en sistemas de

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Ya sea que existir cualquier procedimiento para

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Si los medios de comunicación de copia de seguridad

6.4.3 8.4.3 Si los defectos son informados sobre y llevados bien.

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Si los controles de seguridad como Authentication,

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

7.4.4 9.4.4 Autentificación Si las conexiones para sistemas de computadora

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Si los resultados de las actividades de observación

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Desarrollo de sistema y mantenimiento

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

8.3.3 10.3.3 Ya sea que las firmas digitales fueron use

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Dirección de continuidad de la empresa

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

9.1.5 11.1.5 Whether la continuidad de la empresa los planes son

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

10.1.2 12.1.2 Ya sea que existir cualquier procedimientos de

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

10.1.4 12.1.4 Protección de Si hay una estructura de dirección y control en lugar

10.1.5 12.1.5 Whether el uso de instalaciones de procesamiento de

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

10.2.2 12.2.2 El acatamiento Si sistemas de información eran con regularidad

La información 7799.2 de BS de administración de seguridad: la 2002 lista de cheque

Vous aimerez peut-être aussi

El auditor nombre:_ La fecha de auditoría:_