CUESTIONARIO

5. POLTICA DE SEGURIDAD
5.1.1. Documento de la poltica de seguridad de la informacin
Pregunta 1: Actualmente en la empresa existe una poltica de seguridad de la informacin
aprobado por el gerente y publicado para el conocimiento de todos los empleados y partes
externas relevantes de la organizacin?
5.1.2. Revisin de la poltica de seguridad de la informacin
Pregunta 2: La poltica de seguridad de la informacin existente en la empresa, tiene en cuenta
los resultados de las revisiones de la gerencia?

6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

6.1.1. Compromiso de la gerencia con la seguridad de la informacin
Pregunta 3: Existe un apoyo activo por parte de la gerencia para con la seguridad dentro de la
organizacin?
6.1.2. Coordinacin de la seguridad de la informacin
Pregunta 4: Las actividades de la seguridad de informacin se encuentran debidamente
coordinadas e involucra la intervencin de personas que aseguren que dichas actividades de
seguridad sean ejecutadas en conformidad con la poltica de seguridad de informacin?
6.1.3. Asignacin de las responsabilidades de la seguridad de la informacin
Pregunta 5: Se encuentran definidas las responsabilidades de la seguridad de informacin? Se
realizan alineadas a la poltica de seguridad de informacin?
6.1.4. Autorizacin de proceso para facilidades procesadoras de informacin
Pregunta 6: Existe un control necesario ante las vulnerabilidades que se puedan presentar por el
uso de facilidades para el procesamiento de informacin? Estas facilidades se encuentran
autorizadas por el gerente?
6.1.5. Acuerdos de confidencialidad
Pregunta 7: Actualmente los requerimientos de confidencialidad o acuerdos de no-divulgacin
tienen en cuenta la proteccin de la informacin confidencial? Con qu frecuencia se revisan
estos requerimientos?
6.1.6. Contacto con las autoridades
Pregunta 8: Existe un contacto apropiado con autoridades relevantes a la hora de reportar los
incidentes de seguridad de la informacin? Estos incidentes son identificados de manera
oportuna?
6.1.7. Contacto con grupos de inters especial

Pregunta 9: Existe un contacto apropiado con grupos de inters especiales u otros organismos
profesionales? Se ha establecido algn acuerdo de intercambio de informacin con algunos de
estos?
6.1.8. Revisin independiente de la seguridad de la informacin
Pregunta 10: Existe alguna revisin independiente de la seguridad de la informacin? Quines
la realizan?
6.2.1. Identificacin de los riesgos relacionados con los grupos externos
Pregunta 11: Se realiza alguna evaluacin de riesgo cuando un grupo externo tiene acceso a los
medios de procesamiento de la informacin de la empresa? Existe algn contrato de por medio
que avale estos procedimientos?
6.2.2. Tratamiento de la seguridad cuando se lidia con clientes
Pregunta 12: Se consideran todos los trminos y requerimientos de seguridad (proteccin de
activos, poltica de control de acceso, etc.) antes de proporcionar a los clientes acceso a cualquier
activo de la empresa?
6.2.3. Tratamiento de la seguridad en acuerdos con terceros
Pregunta 13: Los acuerdos o contratos con terceros abarcan todos los requerimientos de
seguridad relevantes para la empresa?

7. GESTIN DE ACTIVOS
7.1.1. Inventario de los activos
Pregunta 14: Se han identificado y documentado todos los activos de la empresa, adems de las
propiedades y niveles de proteccin?
7.1.2. Propiedad de los activos
Pregunta 15: La informacin y los activos asociados con los medios de procesamiento de
informacin se encuentran designados como propiedad a una parte de la organizacin?
7.1.3. Uso aceptable de los activos
Pregunta 16: Se encuentran documentadas e implementadas reglas para un mejor uso de
activos asociados al procesamiento de la informacin? Se siguen conscientemente estas reglas?
7.2.1. Lineamientos de clasificacin
Pregunta 17: Se tienen en cuenta las necesidades comerciales y los impactos de estos a la hora
de clasificar la informacin? Se encuentra correctamente clasificada dicha informacin?
7.2.2. Etiquetado y manejo de la informacin

Pregunta 18: Se ha desarrollado o implementado procedimientos para el etiquetado y manejo de

la informacin? Estos concuerdan con el esquema de clasificacin adoptado por la organizacin?

8. SEGURIDAD DE RECURSOS HUMANOS

8.1.1. Roles y responsabilidades
Pregunta 19: Se encuentran bien definidos y documentados los roles y responsabilidades de la
seguridad de los empleados, contratistas y terceros? Estos se alinean a la poltica de seguridad
de la informacin de la organizacin?
8.1.2. Investigacin de antecedentes
Pregunta 20: Existe un chequeo de verificacin de antecedentes de todos los candidatos durante
el proceso de pre-empleo? Estos chequeos son manejados en concordancia con cualquier
legislacin apropiada existente en la jurisdiccin relevante?
8.1.3. Trminos y condiciones del empleo
Pregunta 21: Los trminos y condiciones del contrato de trabajo establecen las
responsabilidades, tanto de los usuarios, contratistas y terceros, as como tambin de la
organizacin para la seguridad de la informacin?
8.2.1. Responsabilidades de la gerencia
Pregunta 22: La gerencia informa apropiadamente a los empleados sobre sus roles y
responsabilidades de seguridad antes de otorgarle acceso a informacin confidencial o a los
sistemas de informacin?
8.2.2. Conocimiento, educacin y capacitacin en seguridad de la informacin
Pregunta 23: Existe una constante capacitacin a todos los empleados de la organizacin en los
temas de seguridad, polticas y procedimientos organizaciones relevantes para su funcin laboral?
8.2.3. Proceso disciplinario
Pregunta 24: Existe algn proceso disciplinario para los empleados que han cometido un
incumplimiento de seguridad?
8.3.1. Responsabilidades de terminacin
Pregunta 25: Se han definido y asignado claramente las responsabilidades en el momento de
realizar la terminacin o el cambio de empleo? Se informa a los usuarios empleados, contratistas
o terceras personas de los cambios en el personal y los acuerdos de operacin?
8.3.2. Devolucin de los activos
Pregunta 26: Se formaliza el proceso de terminacin del empleo para la devolucin de todos los
activos organizacionales pertenecientes a la empresa?
8.3.3. Retiro de los derechos de acceso

Pregunta 27: Existe un control sobre las amenazas y vulnerabilidades que se puedan presentar
despus del retiro de los derechos de acceso a un empleado?

9. SEGURIDAD FSICA Y AMBIENTAL

9.1.1. Permetro de seguridad fsica
Pregunta 28: Actualmente la empresa cuenta con permetros de seguridad con la finalidad de
proteger las reas que contienen informacin y medios de procesamiento de informacin
relevantes?

9.1.2. Controles de ingreso fsico

Pregunta 29: Existen controles de ingreso apropiados en las reas seguras que permitan el
acceso a personal autorizado?

9.1.3. Asegurar las oficinas, habitaciones y medios

Pregunta 30: Se han diseado o existen medidas de seguridad para la proteccin fsica de las
oficinas, habitaciones y medios de la empresa? Se tienen en cuenta los estndares y
regulaciones de sanidad y seguridad relevantes?
9.1.4. Proteccin contra amenazas externas e internas
Pregunta 31: Actualmente existen medidas de proteccin fsica contra desastres naturales o
aquellos causados por el hombre (teniendo en cuenta entidades externas)?
9.1.5. Trabajo en reas aseguradas
Pregunta 32: Se han diseado o existen medidas de seguridad que permitan trabajar en reas
aseguradas?
9.1.6. reas de acceso pblico, entrega y carga
Pregunta 33: Existe un control en los puntos de acceso en la que es posible que personas noautorizadas puedan ingresar al local?
9.2.1. Ubicacin y proteccin del equipo
Pregunta 34: Se encuentran bien ubicados y protegidos los equipos relevantes de la empresa?
9.2.2. Servicios pblicos de soporte
Pregunta 35: Existen medidas de proteccin ante fallas de energa y otras interrupciones
causadas por fallas de los servicios pblicos de soporte?
9.2.3. Seguridad del cableado
Pregunta 36: Se encuentran debidamente protegidos y ubicados los cableados de energa y
telecomunicaciones?

9.2.4. Mantenimiento de equipo

Pregunta 37: Existe un constante mantenimiento preventivo y correctivo de los equipos ante
fallas sospechadas o reales?
9.2.5. Seguridad del equipo fuera del local
Pregunta 38: Existen medidas de seguridad cuando se trabaja con un equipo fuera del local de la
organizacin?
9.2.6. Seguridad de la eliminacin o re-uso del equipo
Pregunta 39: Existe algn control sobre la seguridad de la eliminacin o re-uso de equipos que
contengan informacin confidencial y relevante para la empresa?
9.2.7. Retiro de la propiedad
Pregunta 40: Se realizan chequeos o controles inesperados para detectar el retiro de alguna
informacin o propiedad sin la autorizacin correspondiente?

10. GESTIN DE COMUNICACIONES Y OPERACIONES

10.1.1. Procedimientos de operacin documentados
Pregunta 41: Los procedimientos de operacin se encuentran debidamente documentados y
actualizados? Estos se ponen a disposicin de cualquier usuario que lo solicite?
10.1.2. Gestin del cambio
Pregunta 42: Se han establecidos responsabilidades y procedimiento gerenciales para el control
de todos los cambios en el equipo, software o procedimientos? Actualmente existe un registro de
auditora?
10.1.3. Segregacin de los deberes
Pregunta 43: Actualmente existe en la empresa algn mtodo de segregacin de deberes que
permita reducir el riesgo de un mal uso accidental o deliberado de la informacin?
10.1.4. Separacin de los medios de desarrollo, prueba y operacin
Pregunta 44: Existe un adecuado nivel de separacin entre los ambientes de desarrollo, prueba y
operacin?
10.2.1. Entrega del servicio
Pregunta 45: Existe un control sobre la implementacin, operacin y mantenimiento de lo
estipulado en el acuerdo de entrega de servicios de terceros?
10.2.2. Monitoreo y revisin de los servicios de terceros
Pregunta 46: Actualmente se revisan, monitorean y se auditan los servicios, reportes y registros
provistos por terceros?

10.2.3. Manejo de cambios en los servicios de terceros

Pregunta 47: Se tiene en cuenta el grado crtico de los sistemas y procesos de negocio en el
momento del manejo de cambios en la provisin de servicios?
10.3.1. Gestin de la capacidad
Pregunta 48: Se realizan proyecciones de los requerimientos de capacidad futura tomando en
cuenta los requerimientos de los negocios, sistemas nuevos y tendencias actuales y proyectadas?
10.3.2. Aceptacin del sistema
Pregunta 49: La aceptacin de los nuevos sistemas de informacin incluye un proceso de
certificacin y acreditacin formal? Se llevan a cabo pruebas antes de su aceptacin?
10.4.1. Controles contra cdigos maliciosos
Pregunta 50: Existe un adecuado control de deteccin, prevencin y recuperacin contra cdigos
malicioso?
10.4.2. Controles contra cdigos mviles
Pregunta 51: Existen medidas de seguridad en caso el cdigo mvil realice acciones noautorizadas?
10.5.1. Copias de seguridad de la informacin
Pregunta 52: Actualmente la empresa cuenta con polticas de copias de respaldo de la
informacin y software? Cuenta con procedimientos de respaldo automatizados?
10.6.1. Controles de redes
Pregunta 53: Existe un adecuado control y manejo de las redes, que garantice la proteccin de la
informacin en las redes y la seguridad de los sistemas y aplicaciones que usen esta tecnologa?
10.6.2. Seguridad de los servicios de la red
Pregunta 54: Actualmente se lleva a cabo algn monitoreo o control sobre la capacidad del
proveedor de servicios de red, que garantice el cumplimiento de los acuerdos de seguridad?
Monitoreo de red avanzada
10.7.1. Gestin de Soportes Extrables
Pregunta 55: Se aplican procedimientos o polticas para el control de los medios removibles
utilizados para la trasmisin o manejo de informacin?
10.7.2. Retirada de soportes
Eliminan la informacin que ya no es til en la organizacin, y este proceso es llevado a cabo por
alguien de confianza?

10.7.3. Procedimientos de manipulacin de la informacin

Se protege la informacin importante de tal manera que no sea extrada fuera de la organizacin
ni usada con propsitos no adecuados?
10.7.4. Seguridad de la documentacin del sistema
La documentacin del sistema en funcionamiento est debidamente protegida y es conocida por
solo las personas encargadas del mantenimiento del mismo?
10.8.1. Polticas y procedimientos de intercambio de informacin
Tienen establecidas polticas con la finalidad de acreditar la confidencialidad y uso adecuado de
informacin por parte de los trabajadores?
10.8.2. Acuerdos de intercambio
Se considera el empaquetamiento y encriptamiento de la informacin con la finalidad de evitar
que la informacin sea robada y descifrada?
10.8.3. Soportes fsicos en trnsito
Se restringe el acceso de dispositivos de almacenamiento extraos a la organizacin?
10.8.4. Mensajera electrnica
La emisin y recepcin de mensajes electrnicos se da a travs de una red segura?
10.8.5. Sistemas de informacin empresariales
Los sistemas exteriores con proveedores o clientes son seguros y confiables?
10.9.1. Comercio electrnico
Para el caso de los clientes que utilizan el sistema para transaccin de informacin en lnea,
existe un debido procedimiento de autenticacin que respalde al cliente?
10.9.2. Transacciones en lnea
El sistema cuenta con mecanismos que acrediten que la transaccin de la informacin sea rpida
y segura?
10.9.3. Informacin pblicamente disponible
La integridad de la informacin enviada est asegurada por el sistema?

10.10.1. Registros de auditora

Los eventos de seguridad y auditoria son debidamente registrados con la finalidad de acreditar la
confiabilidad del sistema?
10.10.2. Supervisin del uso del sistema

La institucin cuenta con procedimientos para el monitoreo del uso de los medios de
procesamiento de informacin, y dicho monitoreo es realizado de forma regular?
10.10.3. Proteccin de la informacin de los registros
Los medios de almacenamiento del historial de registros estn debidamente protegido contra
modificaciones y accesos no autorizados?
10.10.4. Registros de administracin y operacin
A parte de lo anterior mencionado se llevar un registro de la actividad realizada por los
administradores de los medio de monitoreo?
10.10.5. Registros de fallos
Para evitar problemas en el futuro, las falas y posibles causas son registras en el sistema de
monitoreo de sistema?
10.10.6. Sincronizacin del reloj
Los relojes y fechas del sistema estn debidamente sincronizados con el horario local y nacional?

11. CONTROL DE ACCESO

11.1.1. Poltica de Control de acceso
Actualmente llevan a cabo polticas de control de acceso en base a los requerimientos de
seguridad?
11.2.1. Registro de usuario
El sistema permite un debido procedimiento de registro para la inscripcin y des inscripcin de
usuarios al sistema?
11.2.2. Gestin de privilegios
Las funcionalidades que el sistema brinda al usuario estn debidamente destinadas y restringidas
especficamente para el apoyo de las funciones que solo deben ser desarrolladas por ellos
mismos?
11.2.3. Gestin de contraseas de usuario
Cmo establecen el proceso de asignacin de claves para el usuario, es asignada por ustedes
mismos o el usuario tiene la libertad de establecer su propia clave de seguridad?
11.2.4. Revisin de los derechos de acceso de usuario
La renovacin de cuentas de usuario, modificacin o eliminacin se da en tiempos o periodos
determinados o se aplican estos procedimientos por otros motivos? Cuales?
11.3.1. Uso de contraseas
Los usuarios del sistema tienen el principio de confidencialidad de sus propias claves de
seguridad?

11.3.2. Equipo de usuario desatendido

Los usuarios tienen asignadas su propio y nico dispositivo de trabajo, y en los tiempos en que no
es utilizado est debidamente protegido en caso de que otra persona intente utilizarlo?
11.3.3. Poltica de puesto de trabajo despejado y pantalla limpia
Los escritorios de los computadores solo presentan los iconos debidos y el rea de trabajo cuenta
con el debido espacio para garantizar el adecuado desempeo del trabajador?
11.4.1. Poltica de uso de servicios de red
Los servicios de red para los usuarios estn debidamente distribuidos de acuerdo a la
autorizacin que tienen para su uso?
11.4.2. Autenticacin de usuario para conexiones externas
Se aplica la debida autenticacin de usuario para una conexin remota a la red?
11.4.3. Identificacin de los equipos en las redes
Los equipos que ingresan a la red se pueden conectar de manera automtica o se debe hacer
una previa configuracin y registro del mismo?
11.4.4. Identificacin de los equipos en las redes
Se protege tanto fsicamente como lgicamente el acceso a la red?
11.4.5. Identificacin de los equipos en las redes
La red est debidamente segmentada de manera lgica con la finalidad de salvaguardar la
informacin concerniente a los diferentes grupos dentro de la organizacin?
11.4.6. Identificacin de los equipos en las redes
Se aplican polticas de control de red para restringir la capacidad de conexin de usuarios en
redes compartidas?
11.4.7. Identificacin de los equipos en las redes
Se utiliza control de enrutamiento para asegurar el adecuado flujo de informacin?
11.5.1. Procedimientos seguros de inicio de sesin

El acceso a servicios operativos est debidamente controlado por un procedimiento de registro

seguro?
11.5.2. Identificacin y autenticacin de usuario
Todos los usuarios tienen un identificador nico para su uso personal y exclusivo y una tcnica de
autenticacin adecuada para su validacin?

11.5.3. Sistema de gestin de contraseas

El sistema de manejo de claves asegura la calidad de las claves asignadas?
11.5.4. Uso de los recursos del sistema
Las aplicaciones asignadas a ciertos usuarios estn limitadas dependiendo la capacidad para
trabajar del sistema?
11.5.5. Desconexin automtica de sesin
Las sesiones inactivas son cerradas luego de un periodo de espera?
11.5.6. Limitacin del tiempo de conexin
Los tiempos de conexin utilizan restricciones para proporcionar seguridad adicional a
aplicaciones de alto riesgo?
11.6.1. Restriccin del acceso a la informacin
El acceso de informacin se restringe de acuerdo al usuario que soporta el sistema?
Pedro Pea
11.6.2. Aislamiento de sistemas sensibles
Los sistemas sensibles tienen un ambiente de cmputo dedicado?
11.7.1. Ordenadores porttiles y comunicaciones mviles
Se puede establecer comunicacin con el sistema mediante dispositivos mviles?
11.7.2. Teletrabajo
Existen polticas para actividades con tele trabajadores en la organizacin?

12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LSO

SISTEMAS DE INFORMACIN
12.1.1. Anlisis y especificacin de los requerimientos de seguridad
Se tienen en cuenta los requerimientos de seguridad al momento de crear o comprar algn
sistema de informacin?
12.2.1. Validacin de la input data
Se utilizan mecanismos de validacin para asegurar que los datos son confiables?
12.2.2. Control del procesamiento interno
El sistema incorpora chequeos de validacin en las aplicaciones para detectar posibles
amenazas?
12.2.3. Integridad del mensaje

El sistema cuenta con los controles apropiados para la proteccin de la informacin?

12.2.4. Validacin de la output data
El sistema valida las salidas de las aplicaciones para asegurar que el procesamiento de la
informacin es correcto?

12.3. Controles Criptogrficos

12.3.1. Poltica sobre el uso de controles criptogrficos

La informacin del sistema utiliza mecanismos de encriptado (firmas digitales, cifrado, control de
acceso, etc.) para asegurar la confidencialidad e integridad de los datos?
12.3.2. Gestin de claves
Se utiliza la gestin de claves como soporte en el uso de mecanismos criptogrficos?

12.4. Seguridad de los archivos del sistema

12.4.1. Control del software en explotacin

Se cuenta con procedimientos establecidos para la instalacin de software en los equipos?
En el Gobierno Regional de Lima:
Ningn usuario puede realizar tareas de instalacin de equipo, de software o de reparacin, as
cuente con capacitacin tcnica o profesional para realizarlo.
Para realizar dichos procedimiento se debe contar con una cuenta administrador
Estas actividades son responsabilidad del personal autorizado de la Administracin de Red

12.4.2. Proteccin de los datos de prueba del sistema

Qu medidas tienen implementadas para la proteccin de la data operacional?
12.4.3. Control de acceso al cdigo fuente de los programas
Actualmente se tiene restringido el acceso al cdigo fuente del programa e tems asociados?
Quines son las personas autorizadas?

12.5. Seguridad en los procesos de desarrollo y soporte

12.5.1. Procedimientos de control de cambios

Se tienen documentados los procedimientos de control de cambio? Cmo gestionan la
identificacin de todo el software, informacin, base de datos y hardware?
12.5.2. Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo
Tienen designado un presupuesto de soporte que cubra pruebas en el sistema con el paso del
tiempo?
12.5.3. Restricciones a los cambios en los paquetes de software
Cmo cubren la necesidad de realizar un cambio en una funcionalidad del software?
12.5.4. Filtracin de informacin
Han asignado un personal exclusivo para monitorear los recursos en los sistemas de cmputo?
12.5.5. Desarrollo de software abastecido externamente
Utilizan algn software abastecido externamente, si es as este presenta algn certificado de
calidad?

12.6. Gestin de la Vulnerabilidad Tcnica

12.6.1. Control de las vulnerabilidades tcnicas.

Mantienen un registro informtico de las principalidades vulnerabilidades del sistema?

13. GESTIN DE UN INCIDENTE EN LA SEGURIDAD DE LA

INFORMACIN

13.1. Reporte de los eventos y debilidades de la seguridad de la informacin

13.1.1. Reporte de eventos en la seguridad de la informacin

Presentan un formato de reportes de eventos de seguridad, y consideran que es adecuado y til?
13.1.2. Notificacin de puntos dbiles de seguridad

Se les comunica a los usuarios empleados, contratistas y terceros que reporten cualquier
debilidad de seguridad observada o sospechada en el sistema o servicio?

13.2. Gestin de los incidentes y mejoras en la seguridad de la informacin

13.2.1. Responsabilidades y procedimientos

Se usa el monitoreo del sistema, alertas y vulnerabilidades para detectar los incidentes en la
seguridad de la informacin?
13.2.2. Aprender de los incidentes en la seguridad de la informacin
Tienen un registro de incidentes para evitar problemas en la informacin de alto impacto?
13.2.3. Recoleccin de evidencias
Administran procedimientos de la evidencia ante un incidente en la seguridad de informacin
involucra una accin legal?

14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO

14.1. Aspectos de la seguridad de la informacin de la gestin de la continuidad del

negocio

14.1.1. Incluir la seguridad de la informacin en el proceso de gestin de continuidad del

negocio
Cules son los principales activos identificados en los procesos comerciales crticos?
14.1.2. Continuidad del negocio y evaluacin del riesgo
Su plan de contingencia contempla requerimientos de seguridad en lnea para la continuidad del
negocio?
14.1.3. Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la
informacin
Cada cunto tiempo se desarrolla un anlisis de la continuidad del negocio?

14.1.4. Marco Referencial de la planeacin de la continuidad del negocio

Actualmente existe un plan de continuidad comercial? Estos especifican las personas
responsables de ejecutar cada componente del plan?
14.1.5. Prueba, mantenimiento y re-evaluacin de los planes de continuidad del negocio
Desarrollan una simulacin o prueba de los planes de contingencia?

15. CUMPLIMIENTO

15.1. Cumplimiento de los requerimientos legales

15.1.1. Identificacin de la legislacin aplicable

Actualmente se tienen definidos, documentados y actualizados los requerimientos y el enfoque de
la organizacin?
15.1.2. Derechos de propiedad intelectual (IPR)
Se tiene implementado alguna poltica de cumplimiento de los derechos de propiedad intelectual?
15.1.3. Proteccin de registros organizacionales
Se tienen clasificados los registros importantes, ante la prdida, destruccin, falsificacin de
informacin?
15.1.4. Proteccin de la data y privacidad de la informacin personal
Existe actualmente alguna poltica de proteccin y privacidad de la data? Est es comunicada a
todas las personas involucradas en el procesamiento de la informacin personal?
15.1.5. Prevencin del mal uso de los medios de procesamiento de la informacin
Tienen una normativa para prevenir el mal uso de recursos de informacin?
15.1.6. Regulacin de controles criptogrficos
Han buscado asesora legal para cumplir las regulaciones nacionales sobre controles
criptogrficos?

15.2. Cumplimiento de las polticas y estndares de seguridad, y cumplimiento

tcnico

15.2.1. Cumplimiento con las polticas y estndares de seguridad

De qu manera evalan las acciones correctivas contra incumplimientos de las normativas de
seguridad?
15.2.2. Chequeo del cumplimiento tcnico
Son revisados regularmente los sistemas de informacin, para ver si cumplen con los estndares
de implementacin de la seguridad?

15.3. Consideraciones de auditora de los sistemas de informacin

15.3.1. Controles de auditora de los sistemas de informacin

Las actividades y requerimientos de auditora son debidamente planeados y acordados?
15.3.2. Proteccin de las herramientas de auditora de los sistemas de informacin
Cmo protegen las herramientas de auditoria de los sistemas de informacin?