Evaluacion Iso 27001 Checklist

SISTESEG
ISO 27001 GAP ANALYSIS

Fecha: 10/7/2007 CONFIDENCIAL Pgina 1 de 16
Control ISO 5.1
Requerimiento POLTICA DE SEGURIDAD DE LA INFORMACIN Se tiene documento de la poltica de seguridad de la Informacin Se hace revisin y evaluacin de este documento y se promulga su lectura y aplicacin. ORGANIZACIN SEGURIDAD Compromiso de las Directivas con la seguridad de la informacin
Control (SI/NO)
Porcentaje de cumplimiento
5.1.1
5.1.2
6.1
6.1.1
6.1.2
Coordinacin de la Seguridad
6.1.3
Asignacin de responsabilidades Proceso de Autorizacin a reas de procesamiento de informacin Se realizan acuerdos de confidencialidad
6.1.4
6.1.5
6.1.6
Contacto con las autoridades
SISTESEG
Fecha: 10/7/2007 Control ISO 6.1.7 Requerimiento Contacto con grupos de especial inters CONFIDENCIAL Control (SI/NO) Pgina 2 de 16 Porcentaje de cumplimiento
6.1.8
Se realiza Auditora interna
6.2
Terceros
6.2.1
Identificacin de riesgos
6.2.2
Aproximacin a la seguridad al tratar con clientes
6.2.3
Aproximacin a la seguridad en acuerdos con terceros
7.1
GESTION DE ACTIVOS
7.1.1
Inventario de activos tecnolgicos y de la informacin. Responsables de los activos tecnolgicos
7.1.2
7.1.3
Uso aceptable de las activos tecnolgicos
7.2
Clasificacin de la Informacin
SISTESEG
Fecha: 10/7/2007 Control ISO 7.2.1 Requerimiento Normas para clasificacin de la informacin CONFIDENCIAL Control (SI/NO) Pgina 3 de 16 Porcentaje de cumplimiento
7.2.2
Identificacin y Manejo de la informacin SEGURIDAD RECURSO HUMANO Previo a la contratacin
8.1
8.1.1
Roles y responsabilidades
8.1.2
Investigacin del personal que va a ser contratado
8.1.3
Trminos y condiciones laborales
8.2
Durante el empleo
8.2.1
Responsabilidades de las directivas
8.2.2
Conciencia de la seguridad, educacin y entrenamiento
8.2.3
Procesos disciplinarios
8.3
Terminacin del contrato o cambio de empleo
SISTESEG
Fecha: 10/7/2007 Control ISO 8.3.1 Requerimiento Responsabilidades en la terminacin del contrato CONFIDENCIAL Control (SI/NO) Pgina 4 de 16 Porcentaje de cumplimiento
8.3.2
Devolucin de activos tecnolgicos
8.3.3
Eliminacin de permisos sobre los activos
9.1
SEGURIDAD FISICA reas Restringidas
9.1.1
Permetro de Seguridad Fsica
9.1.2
Controles fsicos de entrada
9.1.3
Aseguramiento de oficinas, cuartos e instalaciones
9.1.4
Proteccin contra amenazas externas y ambientales
9.1.5
Trabajo en reas restringidas
9.1.6
Acceso pblico, envos y reas de carga
9.2
Seguridad de los Componentes Tecnolgicos
SISTESEG
Fecha: 10/7/2007 Control ISO 9.2.1 Requerimiento Ubicacin y proteccin de equipos tecnolgicos CONFIDENCIAL Control (SI/NO) Pgina 5 de 16 Porcentaje de cumplimiento
9.2.2
Seguridad en el suministro de electricidad y servicios (utilities)
9.2.3
Seguridad en el cableado
9.2.4
Mantenimiento
9.2.5
Seguridad de equipos fuera de las reas seguras
9.2.6
Destruccin y reutilizacin de equipos
9.2.7
Extraccin de activos informticos
10.1
COMUNICACIONES Y MANEJOS OPERATIVOS Procedimientos Operativos y Responsabilidades Documentacin de procesos operativos
10.1.1
10.1.2
Control de Cambios
SISTESEG
Fecha: 10/7/2007 Control ISO 10.1.3 Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 6 de 16 Porcentaje de cumplimiento
Segregacin de funciones
10.1.4
Separacin de los ambientes de Desarrollo, prueba y produccin Administracin de Servicios de terceros
10.2
10.2.1
Entrega de servicios
10.2.2
Monitoreo y revisin de servicios de terceros
10.2.3
Administracin de cambios a servicios de terceros
10.3
Planeamiento y aceptacin de sistemas
10.3.1
Administracin de la capacidad
10.3.2
Aceptacin de sistemas
10.4
Proteccin contra cdigo malicioso y mvil
10.4.1
Controles contra cdigo malicioso
SISTESEG
Controles contra cdigo mvil
10.5
Copias de seguridad
10.5.1
Respaldo de la informacin.
10.6
Administracin de la seguridad de la red
10.6.1
Controles de la Red
10.6.2
Seguridad de los Servicios de Red
10.7
Manipulacin de medios
10.7.1
Administracin de medios removibles
10.7.2
Destruccin de medios
10.7.3
Procedimientos de manejo de la informacin
10.7.4
Seguridad de la documentacin de los sistemas
SISTESEG
Fecha: 10/7/2007 Control ISO 10.8 Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 8 de 16 Porcentaje de cumplimiento
Intercambio de informacin
10.8.1
Polticas y procedimientos del intercambio de informacin
10.8.2
Acuerdos para el intercambio de informacin.
10.8.3
Medios fsicos en movimiento
10.8.4
Mensajera Electrnica
10.8.5
Sistemas de informacin de negocios
10.9
Servicios de Comercio Electrnico
10.9.1
Comercio Electrnico
10.9.2
Transacciones en Lnea
10.9.3
Informacin pblica
10.10
Monitoreo
SISTESEG
Auditora de registros
10.10.2
Uso de sistemas de monitoreo
10.10.3
Proteccin de registros de monitoreo
10.10.4
Registros de monitoreo de administradores y operadores
10.10.5
Registro de fallas
10.10.6
Sincrona CONTROL DE ACCESO A LA INFORMACIN; de acuerdo a las necesidades del negocio. Poltica de Control de Acceso Administracin de acceso de los usuarios Registro de Usuarios
11.1
11.1.1 11.2 11.2.1
11.2.2
Administracin de privilegios
11.2.3
Administracin de Contraseas (passwords)
SISTESEG
Fecha: 10/7/2007 Control ISO 11.2.4 11.3 Requerimiento Revisin de los permisos asignados a los usuarios Responsabilidades de los usuarios Uso de las contraseas CONFIDENCIAL Control (SI/NO) Pgina 10 de 16 Porcentaje de cumplimiento
11.3.1
11.3.2
Equipos desatendidos
11.3.3
Poltica de escritorios y pantallas limpias Control de acceso a la red de datos Polticas para el uso de los servicios de la red de datos Autenticacin de usuarios para conexiones externas Identificacin de equipos en la red Diagnstico remoto y proteccin de la configuracin de puertos
11.4 11.4.1
11.4.2
11.4.3
11.4.4
11.4.5
Segregacin en la red
11.4.6
Control de conexin a la red
SISTESEG
Fecha: 10/7/2007 Control ISO Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 11 de 16 Porcentaje de cumplimiento
11.4.7
Control de enrutamiento de la red Control de acceso a los sistemas operativos Procedimientos para inicio de sesin de las estaciones de trabajo
11.5
11.5.1
11.5.2
Identificacin y autenticacin de los usuarios.
11.5.3
Sistema de administracin de contraseas.
11.5.4
Uso de las utilidades del sistema
11.5.5
Time-out para las estaciones de trabajo. Limitacin en los periodos de tiempo de conexin a servicios y aplicaciones Control de acceso a las aplicaciones
11.5.6
11.6
11.6.1
Restriccin de acceso a los sistemas de informacin
11.6.2
Aislamiento de sistemas sensibles
SISTESEG
Fecha: 10/7/2007 Control ISO 11.7 11.7.1 11.7.2 Requerimiento Computacin Mvil y Teletrabajo Computacin Mvil y comunicacioines Teletrabajo DESARROLLO DE SOFTWARE Requerimientos de seguridad para los sistemas de informacin CONFIDENCIAL Control (SI/NO) Pgina 12 de 16 Porcentaje de cumplimiento
12.1
12.1.1
Anlisis y especificaciones de los requerimientos de seguridad
12.2
Procesamiento correcto en aplicaciones
12.2.1
Validacin de los datos de entrada
12.2.2
Control del procesamiento interno
12.2.3
Integridad de los mensajes
12.2.4
Validacin de los datos de salida Controles Criptogrficos Poltica para el uso de controles criptogrficos
12.3 12.3.1
SISTESEG
Fecha: 10/7/2007 Control ISO 12.3.2 12.4 Requerimiento Administracin de llaves Seguridad en los archivos del sistema (System Files) Control del software operacional(operativo) Proteccin de los datos en sistemas de prueba Control de acceso a las libreras de cdigo fuente Seguridad en el desarrollo y en los procesos de soporte tcnico Procedimientos para el control de cambios Revisin tcnica de aplicaciones despus de cambios al sistema operativo Restricciones a cambios en paquetes de software CONFIDENCIAL Control (SI/NO) Pgina 13 de 16 Porcentaje de cumplimiento
12.4.1
12.4.2
12.4.3
12.5 12.5.1
12.5.2
12.5.3
12.5.4
Fuga de informacin
12.5.5 12.6 12.6.1 13.1
Desarrollo de software por parte de Outsourcing Administracin Tcnica de Vulnerabilidades Control tcnico de vulnerabilidades REPORTE DE EVENTOS DE SEGURIDAD INFORMTICA Y DE SUS DEBILIDADES
SISTESEG
Fecha: 10/7/2007 Control ISO Requerimiento CONFIDENCIAL Control (SI/NO) Pgina 14 de 16 Porcentaje de cumplimiento
13.1.1
Reporte de eventos de Seguridad de la informacin.
13.1.2
Reporte de debilidades de seguridad Administracin de incidentes de seguridad informtica y de su mejoramiento Responsabilidades y procedimientos
13.2
13.2.1
13.2.2
Aprendizaje a partir de los incidentes de seguridad
13.2.3
Recoleccin de evidencia ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO Inclusin de seguridad de la informacin en el proceso de administracin de la continuidad del negocio Continuidad del negocio y anlisis de impacto (BIA) Desarrollo e implementacin de planes de continuidad Marco de planeacin para la continuidad del negocio
14.1
14.1.1
14.1.2
14.1.3
14.1.4
SISTESEG
Fecha: 10/7/2007 Control ISO Requerimiento Pruebas, mantenimiento y revisin de los planes de continuidad del negocio CUMPLIMIENTO CON REQUERIMIENTOS LEGALES Identificacin de leyes aplicables CONFIDENCIAL Control (SI/NO) Pgina 15 de 16 Porcentaje de cumplimiento
14.1.5
15.1
15.1.1
15.1.2
Derechos de autor y propiedad intelectual Salvaguardar los registros de la organizacin Proteccin de los datos y privacidad de la informacin personal
15.1.3
15.1.4
15.1.5
Prevencin mal uso de los componentes tecnolgicos Regulacin de controles criptogrficos Revisin de la poltica de seguridad y cumplimiento tcnico Cumplimiento de los diferentes requerimientos y controles establecidos por la poltica de seguridad
15.1.6 15.2
15.2.1
15.2.2
Chequeo del cumplimiento tcnico
SISTESEG
Fecha: 10/7/2007 Control ISO 15.3 Requerimiento Consideraciones relacionadas con la auditora interna Controles para auditora del sistema CONFIDENCIAL Control (SI/NO) Pgina 16 de 16 Porcentaje de cumplimiento
15.3.1
15.3.2
Proteccin de las herramientas para auditora del sistema
FIN

Evaluacion Iso 27001 Checklist

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Evaluacion Iso 27001 Checklist

Uploaded by

Copyright:

Available Formats

SISTESEG

ISO 27001 GAP ANALYSIS

Control ISO 5.1

Contacto con las autoridades

Se realiza Auditora interna

Aproximacin a la seguridad al tratar con clientes

Aproximacin a la seguridad en acuerdos con terceros

Inventario de activos tecnolgicos y de la informacin. Responsables de los activos tecnolgicos

Uso aceptable de las activos tecnolgicos

Identificacin y Manejo de la informacin SEGURIDAD RECURSO HUMANO Previo a la contratacin

Investigacin del personal que va a ser contratado

Trminos y condiciones laborales

Responsabilidades de las directivas

Conciencia de la seguridad, educacin y entrenamiento

Terminacin del contrato o cambio de empleo

Devolucin de activos tecnolgicos

Eliminacin de permisos sobre los activos

SEGURIDAD FISICA reas Restringidas

Permetro de Seguridad Fsica

Controles fsicos de entrada

Aseguramiento de oficinas, cuartos e instalaciones

Proteccin contra amenazas externas y ambientales

Trabajo en reas restringidas

Acceso pblico, envos y reas de carga

Seguridad de los Componentes Tecnolgicos

Seguridad en el suministro de electricidad y servicios (utilities)

Seguridad de equipos fuera de las reas seguras

Destruccin y reutilizacin de equipos

Extraccin de activos informticos

COMUNICACIONES Y MANEJOS OPERATIVOS Procedimientos Operativos y Responsabilidades Documentacin de procesos operativos

Separacin de los ambientes de Desarrollo, prueba y produccin Administracin de Servicios de terceros

Monitoreo y revisin de servicios de terceros

Administracin de cambios a servicios de terceros

Planeamiento y aceptacin de sistemas

Proteccin contra cdigo malicioso y mvil

Controles contra cdigo malicioso

Controles contra cdigo mvil

Administracin de la seguridad de la red

Seguridad de los Servicios de Red

Administracin de medios removibles

Procedimientos de manejo de la informacin

Seguridad de la documentacin de los sistemas

Polticas y procedimientos del intercambio de informacin

Acuerdos para el intercambio de informacin.

Medios fsicos en movimiento

Sistemas de informacin de negocios

Servicios de Comercio Electrnico

Uso de sistemas de monitoreo

Proteccin de registros de monitoreo

Registros de monitoreo de administradores y operadores

11.1.1 11.2 11.2.1

Administracin de Contraseas (passwords)

Control de conexin a la red

Identificacin y autenticacin de los usuarios.

Sistema de administracin de contraseas.

Uso de las utilidades del sistema

Restriccin de acceso a los sistemas de informacin

Aislamiento de sistemas sensibles

Anlisis y especificaciones de los requerimientos de seguridad

Procesamiento correcto en aplicaciones

Validacin de los datos de entrada

Control del procesamiento interno

Integridad de los mensajes

12.5.5 12.6 12.6.1 13.1