Professional Documents
Culture Documents
Logo y nombre de la
empresa que realiza la
auditora.
Actividad que
Ref.
ser evaluada
Herramientas que
sern utilizadas
Fecha
DD MM AA
Hoja
__ de __
Observaciones
Ejemplo:
Auditores de Sistemas
asociados
Ref.
SAS-01.
Actividad que
ser evaluada
Evaluar la
seguridad que
el acceso de
usuarios de la
red y la validez
de sus
atributos.
Herramientas que
sern utilizadas
Observacin partitiva,
oculta.
Pruebas al sistema y a
la base de datos.
Experimentacin a la
seguridad del sistema.
Revisin documental
(electromagntica)
Fecha
DD MM AA
21 07 2002
Hoja
1 de 12
Observaciones
El sistema no debe permitir
ningn acceso.
Obtener respaldo previo del
sistema y los movimientos
previos a la prueba.
Documentar los accesos y
cambios que se realicen al
sistema.
SAS-02.
Evaluar la
seguridad de los
niveles de
acceso de
usuarios.
Observacin
participativa y oculta.
Pruebas al sistema y
las bases de datos.
Experimentacin en la
seguridad del sistema.
Revisin documental
(electromagntica)
SAS-03
Evaluar la
confiabilidad en
la
administracin
de la
contrasea.
Observacin
participativa, oculta.
Reiniciar el sistema y
utilizar teclas F5 o F8 al
acceder el sistema e
ingresar sin contrasea.
Pruebas al sistema y a
las bases de datos.
SAS-04
Evaluar la
administracin
y control de la
bitcora de
acceso a los
usuarios del
sistema.
Tratar de acceder al
sistema alterando tres
veces la contrasea y
observar las acciones del
sistema.
Solicitar la asignacin de
una terminal para entrar al
sistema y realizar diversas
actividades de las
autorizadas, verificando
documentalmente que se
tengan registradas estas en
la bitcora.
Hacer una revisin a la
bitcora y verificar la
informacin de los
usuarios: la fecha, hora de
ingreso y salida del sistema,
registro de sus actividades
y cualquier incidencia
durante su estancia.
Monitorear aleatoriamente
usuarios y evaluar si las
actividades que realizan
estn registradas en la
bitcora. Si es necesario
aplicar encuestas y
entrevistas sobre el control
de la bitcora de acceso.
Evaluar los derechos y
obligaciones de los usuarios
en el manual de usuarios o
reglamento del rea de
cmputo en cuando a su
cumplimiento y registro de
incidencias en la bitcora.
Verificar que se cumpla con
los tiempos lmites de
acceso y sus registros en la
bitcora.
Experimentacin en la
seguridad del sistema.
Revisin documental
(electromagntica)
Observacin
participativa, oculta.
Revisin documental
a los registros y el
sistema de cmputo.
Experimentacin en la
seguridad del sistema.
Entrevista con
administrador del
sistema, los usuarios y
personal del rea.
SAS-05
SAS-06
SFA-01
Evaluar el
adecuado
cumplimiento
de las funciones
del
administrador
del sistema de
red.
Evaluar el
registro
histrico de las
incidencias de
seguridad de
acceso al
sistema de red.
Evaluar las
medidas de
seguridad para
el acceso fsico
del personal y
los usuarios del
sistema.
Entrevista al administrador
respecto al cumplimiento
de sus funciones, apoyadas
al manual de organizacin,
el manual de
procedimientos y de
operacin.
Encuestas entre el personal
de rea y los usuarios del
sistema.
Hacer la revisin
documental a cada una de
las bitcoras de incidencias
de tres meses, un semestre
y un ao anteriores y
evaluar la magnitud,
impacto y solucin de las
mismas.
Evaluar, mediante
entrevistas o encuestas, a
los empleados y usuarios
del rea, sobre las
incidencias ocurridas en
esas pocas, y obtener sus
opiniones sobre la
confiabilidad de registros
de incidencias en las
bitcoras pasadas.
Tratar de ingresar al rea
de sistemas sin ninguna
identificacin y evaluar las
incidencias.
Tratar de ingresar al rea
de sistemas con la
identificacin de cualquier
empleado y evaluar las
incidencias.
Evaluar actualizacin del
personal encargado de la
entrada y las medidas de
seguridad, vigilancia y del
rea de sistemas.
Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema para
obtener su opinin sobre
las medidas de seguridad
del rea.
Verificar los cambios de
turno del personal de
vigilancia del rea de
Entrevista con el
administrador del
sistema, los usuarios y
personal de rea.
Encuestas a los
empleados y usuarios
del sistema.
Revisin documental
histrica a las
bitcoras anteriores.
Entrevistas y
encuestas con
empleados y usuarios.
Observacin
participativa, directa y
oculta para el acceso
del rea.
Entrevistas y
encuestas a
directivos, empleados
y usuarios del rea.
Revisin documental
a reportes y bitcoras
de acceso.
sistemas.
Revisar los reportes de
novedades del personal de
vigilancia y las bitcoras de
acceso, as como su
oportunidad y suficiencia
en el registro.
SFS-02
Evaluar las
medidas de
seguridad para
el control de
acceso y salida
de los bienes
informticos del
rea de
sistemas.
Observacin
participativa, directa y
oculta para el acceso
de rea.
Entrevistas y
encuestas a
directivos, empleados
y usuarios del rea.
Revisin documental
a reportes y bitcoras
de acceso.
Experimentacin al
tratar de introducir y
de sacar bienes
informticos.
SFS-03
SPC-01
Evaluar los
reportes de
incidencias y las
acciones
preventivas y
correctivas en
su solucin en
el acceso fsico
de los usuarios.
Evaluar los
planes de
contingencias
del rea de
sistemas.
Observacin
participativa, directa y
oculta para el acceso
del rea.
Entrevistas y
encuestas a
directivos, empleados
y usuarios.
Revisin documental
a reportes bitcoras
de acceso.
Revisin documental
a reportes y bitcoras
de acceso.
Entrevistas y
encuestas a
directivos, empleados
y usuarios.
SPC-02
Evaluar la
realizacin de
simulacros en el
rea de
sistemas.
Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema para
obtener su opinin sobre el
plan de contingencias su
utilidad, conocimiento,
difusin y actualizacin.
Revisar las bitcoras de
elaboracin de simulacros y
evaluar el registro de
incidencias, cumplimiento
de actividades, objetivos y
correcciones a las medidas
preventivas y correctivas.
Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema, para
obtener su opinin sobre el
plan de contingencias, su
Revisin documental
a reportes y bitcoras
de acceso.
Entrevistas y
encuestas a
directivos, empleados
y usuarios.
Si existiesen incidencias
verdaderas y no simulacros,
aplicar estos mismos puntos.
utilidad, conocimiento,
difusin y actualizacin.
Obtener los reportes de
novedades, incidencias y
medidas correctivas,
derivada de los simulacros
y evaluar las
modificaciones al plan de
contingencia.
Evaluar que el plan de
simulacin contenga
acciones preventivas para
realizar el simulacro y
correctivas para despus
del mismo. As como la
correcta documentacin de
su realizacin.
Columna 1
Actividades que van a ser evaluadas
y ponderadas
1. Objetivos del centro de computo
2. Estructura de organizacin
Definicin de estructura de organizacin
Definicin de funciones
Descripcin de puestos
Definicin de canales de comunicacin
Definicin de autoridad
Actualizacin de estructuras y puestos
Evaluacin peridica de funciones
Total del factor a ponderar
3. Funciones y actividades
Definicin de funciones
Cumplimiento de las funciones
Manuales e instructivos
Mtodos y procedimientos
Cumplimiento de actividades
Seguimiento de actividades
Total del factor a ponderar
4. Sistema de informacin
Definicin del sistema (software)
Definicin del equipo (hardware)
Definicin de instalaciones
Evaluacin de adquisiciones
Interrelacin de funciones
Total del factor a ponderar
5. Personal y usuarios
6. Documentacin de los sistemas
Manual de usuarios
Columna 2 Columna 3
Peso por
Peso por factor
actividad
Ponderar
25%
25%
20%
10%
10%
5%
5%
100%
Columna 4
Valor de
ponderacin
10%
10%
2.5%
2.5%
2.0%
1.0%
1.0%
0.5%
0.5%
10.0%
15%
20%
30%
10%
15%
20%
5%
100%
3.0%
4.5%
1.5%
2.25%
3.0%
0.75%
15.0%
20%
30%
30%
15%
10%
15%
100%
6.0%
6.0%
3.0%
2.0%
3.0%
20.0%
15%
2%
30%
0.6%
40%
20%
10%
100%
0.8%
0.4%
0.2%
2.0%
30%
30%
20%
20%
100%
4.2%
4.2%
2.8%
2.8%
16.0%
14%
4%
25%
25%
15%
15%
20%
100%
1.0%
1.0%
0.6%
0.6%
0.8%
4.0%
10%
30%
30%
10%
20%
10%
100%
3.0%
3.0%
1.0%
2.0%
1.0%
10.0%
Para evaluar la aplicacin y seguimiento de la norma ISO 9000, como gua para las normas ISO
9001, ISO 9002, ISO 9003, conforme a lo que indica el autor de referencia, lo cual se considera
aplicable en todos sus prrafos:
- 4.1 Responsabilidad administrativa
- 4.2 Sistemas de calidad
- 4.3 Revisin del contrato
- 4.4 Control de proyectos
- 4.5 Control de documentos e informacin
- 4.6 Compras (adquisiciones)
- 4.7 Control de productos proporcionados al cliente
- 4.8 Identificacin del producto y posibilidad del seguimiento
- 4.9 Control de procesos
- 4.10 Inspecciones y pruebas
- 4.11 Control de inspecciones, equipos de mediciones y prueba
- 4.12 Estado de inspeccin y prueba
- 4.13 Control de productos que no llenan requisitos
- 4.14 Acciones correctivas y preventivas
- 4.15 Manejo, almacenamiento, embalaje, preservacin y envo
- 4.16 Control de registros de calidad
- 4.17 Auditoras internas de calidad
- 4.18 Capacitacin
- 4.19 Servicio
- 4.20 Tcnicas estadsticas