ISO/IEC 17799:2005 Control A.

5 Poltica de Seguridad
Polticas de la Seguridad de informacin Documento de la Poltica de la seguridad de informacion Revisin de la Poltica de la politica de seguridad de informacion

A.6 Organizacin de la seguridad de informacin

Organizacin Interna Comit de gerencia para la seguridad de informacion Coordinacin de la seguridad de informacion Asignacin de las responsabilidades de la seguridad de informacin Proceso de autorizacin para el tratamiento de la informacin Acuerdos de Confidencialidad

Contacto con autoridades Revisin independiente de la Seguridad de Informacin Agentes Externos Identificacin de los riesgos relacionados con los partidos externos.

Direccionando seguridad cuando se trata con los clientes Direccionando seguridad en acuerdos de terceros

A.7 Gerencia de activo

Responsabilidad de Activos Inventario de activos Propiedad de activos Uso aceptable de activos Clasificacin de la Informacin Pautas de la Clasificacin Informacin que etiqueta y que dirige

A.8 Seguridad de recursos humanos

Antes del empleo

Roles y responsabilidades

Roles y responsabilidades Investigacin de antecedentes

Trminos y condiciones del empleo

Durante el empleo

Responsabilidades de la gerencia Conocimiento, educacin y capacitacin en seguridad de la informacin Proceso disciplinario Terminacin o cambio de empleo Responsabilidades de terminacin Devolucin de los activos

Retiro de los derechos de acceso

A.9 Seguridad fsica y ambiental

reas Seguras Permetro fsico de la seguridad Controles fsicos de entrada Asegurando oficinas, cuartos e instalaciones Proteccin contra externas y ambientales amenazas Trabajo en seguras reas reas pblicas del acceso, de la entrega y del cargamento Seguridad del equipo Localizacin y proteccin del equipo. Utilidades de soporte Seguridad de cableado Mantenimiento de equipo Seguridad del equipo offpremises

Asegure la disposicin o la reutilizacin del equipo

Retiro de propiedad

A.10 Gerencia de las comunicaciones y de las operaciones

Procedimientos operacionales y responsabilidades Procedimientos de operacin documentados Gestion del cambio Segregacin de deberes Separacin del desarrollo, prueba y operacionales instalaciones Gerencia de la entrega del servicio de los terceros Servicio de entrega Supervisin y revisin de los servicios de los terceros

Cambios del manejo a los servicios de los terceros Planeamiento y aceptacin del sistema Gerencia de la capacidad Aceptacin del sistema Proteccin contra malvolo y mvil cdigo Controles contra malvolo cdigo Controles contra mvil cdigo Back-Up Informacin Back-Up Gerencia de la seguridad de la red Controles de Red Seguridad de servicios de red Direccin de los medios Gestion de medios removibles Disposicin de medios Procedimientos del manejo de la informacin Seguridad de la documentacin del sistema Intercambio de la informacin Polticas y procedimientos del intercambio de informacin Acuerdos de cambio Medios fsicos en trnsito Mensajera electrnica Sistemas de informacin de negocio Servicios electrnicos del comercio Comercio electrnico Transacciones on-line Publicacin disponible de informacin Supervisin

Auditoria de registro Uso del sistema de supervisin Proteccin del registro de informacin Registros del administrador y del operador Avera de registro Sincronizacin del reloj

A.11 Control de accesos

Requisito del negocio para el control de acceso Polticas de acceso de control Registro del usuario Administracin de privilegios Administracin de passwords de usuarios Revisin de las derechos de acceso de usuario Responsabilidades del usuario Uso de password Equipo desatendido del usuario Escritorio claro y poltica clara de la pantalla Control de acceso de red Poltica en el uso de los servicios de red Autentificacin del usuario para externas conexiones Identificacin del equipo en redes Diagnstico alejado y proteccin portuaria de la configuracin Segregacin en redes Control de la conexin de red Control de la encaminamiento de la red Control de acceso operativo del sistema Asegure los procedimientos de la conexin a la comunicacin Identificacin y autentificacin de usuario Sistema de administracin de la contrasea Uso de las utilidades de sistema Temporizacin de la sesin Limitacin del tiempo de conexin Control de acceso del uso y de informacin Restriccin del acceso de informacin Aislamiento sensible del sistema El computar mvil y el teleworking Mviles el computar y comunicaciones Teleworking

A.12 Sistemas de informacin adquisicin, desarrollo y mantenimiento

Requisitos de la seguridad de los sistemas de informacin Anlisis y especificacin de requisitos de la seguridad

Proceso correcto en las aplicaciones

Validacin de datos de entrada Control interno del proceso Integridad del mensaje

Validacin de datos de la salida

Criptogrficos controles
Poltica en el uso criptogrficos de controles Administracin de claves

Seguridad de los ficheros del sistema

Control operacional del software Proteccin de los datos de la prueba del sistema Control de acceso al cdigo de fuente del programa

Seguridad en procesos del desarrollo y de la ayuda

Cambie los procedimientos del control La revisin tcnica de usos despus del sistema operativo cambia Restricciones en cambios a los paquetes de software Salida de la informacin Desarrollo del software de Outsourcing

Administracin Tcnica de la vulnerabilidad

Control tcnicas de vulnerabilidades

A.13 Control de accesos

Divulgando acontecimientos de la seguridad de la informacin Divulgando debilidades de la seguridad Responsabilidades y procedimientos, El aprender de incidentes de la seguridad de la informacin

Coleccin de evidencia

A.14 Gerencia de la continuidad del negocio

Aspectos de la seguridad de la informacin de la gerencia de la continuidad del negocio

Incluyendo seguridad de la informacin en el proceso de la gerencia de la continuidad del negocio

Continuidad del negocio y agravio de riesgo

Desarrollando y poniendo planes de la continuidad en ejecucin incluyendo seguridad de la informacin Marco del planeamiento de la continuidad del negocio Probando, manteniendo y valorando de nuevo planes de la continuidad del negocio

A.15 Conformidad
Conformidad con requerimientos legales Identificacin aplicable de la legislacin Las derechos intelectual de caracterstica (IPR) Proteccin de organizacin de expedientes Proteccin de los datos y aislamiento personal de la informacin Prevencin del uso errneo de las instalaciones de la tratamiento de la informacin Regulacin criptogrficos de criptogrficos de controles Conformidad con polticas y estndares de la seguridad, y tcnica Conformidad con polticas y estndares de la seguridad Comprobacin tcnica de la conformidad Consideraciones de la intervencin de los sistemas de informacin

Controles de la intervencin de los sistemas de informacin Proteccin de las herramientas de la intervencin de lo s sistemas de Informacin

Pregunta

se tienen las politicas generales del a organizacin definidas? las politicas son actualizadas periodicamente?

nformacin
la gerencia es conciente de la responsabilidad de la seguridad de informacion? son coordinadas las actividades de la Seguridad de Informacion por diversos representantes de la organizacin? Existe un documento formal para la asignacion de responsabilidades para el personal de seguridad de Informacion? se cuenta con un proceso de autorizacion para el tratamiento de la informacion Cuentan con herramientas para el control de autorizaciones? Dentro de las politicas de la empresa se cuenta con acuerdos de confidencialidad Son revisados periodicamente los acuerdos de confidencialidad? Los responsables de la Gestion de la Seguridad de informacion tiene un contacto directo con las principales autoridades de la organizacion se revisa independientemente el manejo de la seguridad de informacion fuera de los intervalos previstos?

Se toman en cuenta los riesgos que pudieran ser ocasionados por agentes externos? Se usa metodologia para el analisis de riesgos? Se toman acciones para minimizar los riesgos detectados? son identificados todos los requisitos de seguridad antes de brindar informacion al cliente? se cubren los requisitos minimos de seguridad para el acceso a terceros? Se monitorea periodicamente el cumplimiento de estos acuerdos? Se actualizan los requisitos de seguridad minimos para los acuerdos con terceros?

se tiene identificado todos los activos de la organizacin, usando un codigo unico, descripcion, fecha de ingreso, responsable , area de operacion,etc Se cuenta con un registro de propiedad de los activos de la organizacion son identificados y documentados todas las reglas de uso de la informacion?

la informacin es clasificada en trminos de su valor, requerimientos legales, sensibilidad y criticalidad a la organizacin? los procedimientos para la informacin son desarrollados y puestos en ejecucin de acuerdo con el esquema de la clasificacin adoptado por la organizacin?

Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la informacin han firmado un acuerdo sobre sus roles y responsabilidades con relacin a la seguridad? Los antecedentes de todos los candidatos al empleo, contratistas y terceros ha sido adecuadamente investigados, especialmente para los trabajos confidenciales?

Existen roles y responsabilidades definidas para la seguridad de los empleados, contratistas y terceros en concordancia con la politica de seguridad de la informacion?

Se han Definido y comunicado los roles y responsabilidades para las personas no contratadas ?

En su institucin se lleva un proceso de investigacin de antecedentes de sus nuevos empleados? Se han relizado chequeos de verificacion de antecedentes de todos los candidatos para empleo, contratistas y terceros? Se consulta con servicios externos especializados sobre informacion de antecedentes personales? En su organizacin todos los empleados estn supeditados a la firma de un contrato de trabajo?
los usuarios empleados, contratatists y terceros han firnado un acuerdo de confidencialidad para acceder a la informacion?

Se han definido las responsalibidades de la gerencia para asegurar que se aplique la seguridad en todo le timepo de empleo de la persona? Se han proporcionado a los usuarios, empleados contratatistas y terceras personas conocimientos en procedimiento de seguridad?

En su organizacin la gerencia se preocupa de informar adecuadamente a los empleados sobre roles y responsabilidades de seguridad? La gerencia de Recursos Humanos tiene un plan de concientizacin sobre temas de seguridad de la informacin? Existe un proceso disciplinario para aquellos empleados que incurran en faltas concernientes al tema de seguridad de la informacion? En su organizacin Existe responsabilidades por parte del empleado al terminar su periodo laboral? En su organizacin Existe alguna responsabilidad por parte del empleado al terminar su periodo laboral en cuanto a la devolucin de activos? (software, documentos corporativos, equipos)
Existen penalidades o sanciones para cada tipo de incidente que afecte los activos en devolucion

Existen procesos definidos para el retiro de accesos a la informacin a aquellas personas que se retiren de la compaa? Existen procesos definidos para el reajuste de permisos y accesos a la informacin a aquellas personas que tengan un cambio de funciones? La organizacin exige que los empleados que se retiran devuelvan cualquier tipo de documentos que los acrediten como personal activo de la empresa.

Se cuenta con permetros de seguridad en las reas que contienen las instalaciones de la informacin? Las reas consideradas como seguras estn protegidas por controles apropiados de la entrada slo para personal autorizado? Se cuenta con seguridad para las oficinas, los cuartos, y las Instalaciones? Se cuenta con proteccin ante amenazas ambientales y artificiales en la organizacin? Se tiene pautas para trabajar en reas seguras? Se cuenta con un control a las areas publicas donde las personas desautorizadas pueden entrar?

Los equipos estn protegidos contra amenazas ambientales y peligros de accesos desautorizados? Los equipo estn protegido contra los apagones y otras interrupciones causados por fallas de soporte? La energa y las telecomunicaciones que cablean servicios informativos de los datos estn protegidos contra la interceptacin de dao? El equipo est mantenido correctamente para asegurar su disponibilidad e integridad continuadas? La seguridad se aplica al equipo del apagado de diversos riesgos del trabajo fuera de las premisas de la organizacin? Todos los equipos artculo que contienen medios de almacenaje sern comprobados para asegurarse de que cualesquiera datos sensibles y software licenciado se hayan quitado o se haya sobrescrito con seguridad antes de la disposicion?

Se lleva un control de: los equipos, la informacin o software previa autorizacin?

s y de las operaciones
Estan documentados y disponibles al usuario todos los procesos de operacin existentes en la organizacin? La gerencia controla adecuadamente el cambio en los sistemas operacionales? Los deberes y las reas de la responsabilidad son segregados para reducir evitar el uso malintencionado de los activos de la organizacion? El desarrollo, la prueba y las instalaciones operacionales son separados para deducir riesgos de acceso o accesos desautorizados? Los controles de la seguridad, las definiciones del servicio de entrega estn asegurados? Los servicios, los informes y los expedientes proporcionados por terceros son supervisados regularmente? Los cambios a la disposicin de servicios, incluyendo mantenimiento y mejora de las polticas son manejados segn la criticidad de los sistemas, procesos de negocio involucrados y re-evaluacion del riesgo? El uso de recursos es supervisado, para asegurar el funcionamiento requerido del sistema? Se monitorea el uso de los recursos y se realizan proyecciones de capacidad futura? Los criterios de la aceptacin para los nuevos sistemas de informacin, las mejoras y las nuevas versiones son establecidos durante el desarrollo y antes de la aceptacin? Se cuenta con la deteccin, la prevencin, y controles de la recuperacin a proteger contra cdigo malevolo? El cdigo mvil autorizado funciona segn una poltica claramente definida de seguridad?

Tienen establecidos procedimiento de polticas de respaldo de data y su prctica de restauracin oportuna?

Las redes estn manejadas y controladas adecuadamente? los servicios de red estn identificados y se cuenta con la seguridad de los servicios? Se cuenta con procedimientos para la gerencia de los medios desprendibles? Se cuenta con procedimientos formales de la dispsicin de los medios? Los procedimientos para la direccin y el almacenaje de la informacin est protegido contra el acceso desautorizado? La documentacin del sistema es protegida contra el acceso desautorizado?

Se cuenta con polticas de intercambio, procedimientos, y controles formales para el manejo de la informacin? Se cuenta con acuerdos para el intercambio de la informacin? Los medios que contienen la informacin son protegidos contra el acceso y uso desautorizado? La mensajera electrnica es protegida adecuadamente? Se lleva un control de las polticas y los procedimientos desarrollados y puestos en ejecucin en los sitemas de negocio? El comercio electronico es protegida contra actividad fraudulenta, conflicto del contrato, y accesos a modificaciones desautorizadas? La informacn en las transacciones en lnea son protegidas para evitar cualquier alteracin? Toda informacin pblica es protegida adecuadamente para prevenir la modioficacin desautorizada

Se lleva un control de los registros de auditoria en los procesos de informacin en toda la organizacin? Los resultados y las actividades de supervisin son cumplidos regularmente? Las instalaciones y la informacin son protegidos contra el acceso desautorizado? Las actividades del administrador de sistema y del operador de sistema son registradas? Se lleva un control de registro de las averas y de las acciones tomadas? Todos los relojes de los sitemas de informacin utilizados dentro de la organizacin se encuentran sincronizados?

se tiene definido las poiticas de acceso? se cuenta con una documentacion actualizada de las politicas de seg. Ya definidas? se cuenta con una herramienta de verificacin de usuarios activos en la red? los privilegios estn definidos segn el rol del usuario? la gerencia es la encargada de dar el visto bueno para otorgar nuevos password? hay algn intervalo establecido para verificar los accesos del usuario?

se tiene definido un estandar de nivel de dificultad para la generacin de password? las pc's desatendidas son formateadas? existencia de ambientes seguros para almecenamietno de documentos criticos?

se maneja un nivel de acceso a internet segn rol? usuarios cuentan con algn dispositivo de seguridad la conexin? los equipos a utilizar en las instalacines trabajan bajo un mismo dominio? utilizacion de firewall para habilitacion y deshabilitacion de puertos? manejo de dominios de red divididos? se cuenta con autentificacion para conexiones limitantes al negocio? se cuenta con alguna certificacin en cableado estructurado?

se hace uso de perfiles en red para el ingreso a la red? los usuarios nuevos son registrados con id's nicos? los id's guardan realacin con los datos del usuario? existe una herramienta de validacin de contreas? restrincines de configuracin de funciones adicionales del S.O.? se tiene un intervalo de expiracin de password? se tiene definido un tiempo maximo de conexin a la red?

los usuarios contarn con accesos segn rol otorgado? se cuenta con ambientes adecuados y especificos para los sistemas centralizados?

se hace uso de licencias para conexin a moviles? se utilizan claves aleatorias para el accesos? utilizacin de firewall para el control de accesos?

icin, desarrollo y mantenimiento

Las declaraciones de los requisitos del negocio para los nuevos sistemas de informacin, o los realces a los sistemas de informacin existentes especificarn los requisitos para los controles de la seguridad? se han realizados procesos de pruebas de adquision formal de los productos comprados?

se han diseados controles apropiados de aplicaciones para asegurar un procesamiento correcto?

La entrada de datos a los usos son validados para asegurarse de que estos datos son correctos y apropiados? Los chequeos de la validacin son incorporados en usos para detectar cualquier corrupcin de la informacin con errores de proceso o para deliberar actos? Los requisitos para asegurar la autenticidad y proteger integridad del mensaje en usos son identificados, y los controles apropiados identificados y sern puestos en ejecucin? se a hecho una evaluacionde lso riegso para asegurar integridad de los mensajes? La salida de datos de un uso son validada para asegurarse de que el proceso de la informacin almacenada es correcto y apropiado a las circunstancias? Se tiene una poltica en el uso de los controles criptogrficos para la proteccin de la informacin desarrollada y puesta en ejecucin.? Se ha buscado asesoria especailizada para identificar el nivel de proteccion apropiado? Se tiene un rea para apoyar el uso de la organizacin de tcnicas criptogrficas? se han definido fecha de activacion y desactivacion de claves para un tiempo limitado? Se cuenta con procedimientos para controlar la instalacin del software en sistemas operacionales? Los datos de prueba son seleccionados cuidadosamente, y protegidos y controlados? El acceso al cdigo de fuente del programa es restringido? La puesta en prctica de cambios es controlada por el uso de los procedimientos formales del control de cambios? Cuando se cambian los sistemas operativos, los usos crticos del negocio son revisados y probados para asegurarse ningn impacto adverso en operaciones o seguridad de organizacin? Las modificaciones a las paquetes de software son desarrolladas, en base a los cambios necesarios, y todos los cambios son controlados hasta su trmino? Las oportunidades para la salida de la informacin sern prevenidas? El desarrollo del software de Outsourcing es supervisado por la organizacin? Las vulnerabilidades tcnicas de los sistemas de informacin son evaluadas y se toman las medidas apropiadas para el manejo del riesgo?

los acontecimientos de seguridad de informacion seran divulgados por los canales apropiados? sera responsabilidad de todos los usuarios: observar y divulgar cualquier debilidad observada o sospechosa de la seguridad en sistemas o servicios? se realizara el control respectivo sobre los incidentes de la seguridad de informacion? los incidentes de la seguridad de la informacin se cuantificarn y seran supervisados? despus de un incidente en seguridad de informacin cuando implique la demanda legal (civil o criminal),la evidencia ser recogida para conformarse las reglas para la evidencia colocada en el jurisdiccin relevante?

egocio
Un proceso es desarrollado y mantenido para la continuidad del negocio a travs de la organizacin que trata los requisitos de la seguridad de la informacin necesitados para la continuidad del negocio de la organizacin? Los acontecimientos que pueden causar interrupciones a los procesos del negocio estn identificados, junto con la probabilidad y el impacto de tales interrupciones y de sus consecuencias para la seguridad de la informacin? Los planes son desarrollados y puestos en ejecucin para mantener o para restaurar operaciones y para asegurar la disponibilidad de la informacin en el nivel requerido y en escala de tiempo requerida despus de la interrupcin, o falta, de los procesos crticos del negocio? Se cuenta con un plan de continuidad de negocio para asegurar la seguridad de informacin e identificar sus prioridades? Los planes de la continuidad del negocio son probados y puestos al da regularmente para asegurarse de que son actualizados y eficaces?

gerencia de la continuidad del negocio

La organizacin documenta los requisitos estatutorios, reguladores y contractuales para cada sistema de informacion? Han sido puestos en ejecucion los procesos para asegurar el cumplimiento con los requisitos estatutorios, reguladores y contractuales? Si es asi hace cuanto han sido puestos en marcha? Existe proteccion contra la perdida, destruccion y falsificacion de los expedientes de acuerdo a los requisitos estatutorios, reguladores, contractuales y del negocio? Los datos seran debidamente protegidos y aislados? Los usuarios usan las instalaciones de tratamiento de la informacion sin autorizacion? Se usaran controles criptograficos para ser usados con las leyes, regulaciones y acuerdos relevantes? Se realizan correctamente todos los procedimientos de la seguridad dentro del area de responsabilidad de cada encargado? a seguridad, y tcnica Se comprueban regularmente los sistemas de informacin para saber si hay cumplimiento con estandares de la puesta en practica de la seguridad? Si es asi cada cuanto se comprueban? Se planea y acuerda cuidadosamente los requisitos y actividades de la intervencion que implican cheques en sistemas operacionales? stemas de informacin
Los requisitos y las actividades de la intervencin que implican cheques en sistemas operacionales son planeados y acordados cuidadosamente para reducir al mnimo el riesgo de interrupciones a los procesos del negocio?

Esta protegido el acceso a las herramientas de intervencion de los sistemas de informacion para prevenir cualquier uso erroreo o compromiso posible?

SI

NO

Respuesta