Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Cuestionario de Auditoria de Sistema

    Hochgeladen von

    Carolina Montilla Alviz
    23 Ansichten3 Seiten

    Originaltitel

    CUESTIONARIO DE AUDITORIA DE SISTEMA.docx

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    DOCX, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als DOCX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    23 Ansichten3 Seiten

    Cuestionario de Auditoria de Sistema

    Hochgeladen von

    Carolina Montilla Alviz

    Copyright:

    © All Rights Reserved
    Als DOCX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 3

    CUESTIONARIO DE AUDITORIA DE SISTEMA

    4.2.1. Establecer el SGSI


    1. La entidad define el alcance y los lmites del SGSI en trminos
    de las caractersticas del negocio, la organizacin, activos,
    A
    tecnologa e incluyendo los detalles y la justificacin de cualquier
    exclusin del alcance?
    2. La empresa cumple con un marco de referencia para establecer
    objetivos con un sentido de direccin general o principios de
    accin con relacin a la seguridad de la informacin?
    3. La empresa ha demostrado preocupacin por los
    requerimientos comerciales, legales u obligaciones de la
    B
    seguridad contractual?
    4. La direccin ha entendido los riesgos y los ha asumido o ha
    encaminado mecanismos para mitigarlos?
    5. Se cuenta con personal capacitado para la realizacin de un
    anlisis de riesgos?
    6. Se ha definido un mecanismo para confirmar que las gerencias
    estn en conocimiento?
    7. Se ha definido un plan de trabajo?
    8. Se ha definido una metodologa de clculo del riesgo adecuado
    para el SGSI de la informacin comercial?
    C
    9. la empresa ha desarrollado criterios para aceptar los riesgos e
    identificar los niveles de riesgos aceptables?
    10. La metodologa elegida ha sido aprobada por la direccin?
    11. La direccin alguna vez ha encaminado un relevamiento de
    procesos crticos y/o activos crticos (mapa de procesos activos)?
    12. La entidad ha identificado amenazas para aquellos activos
    crticos?
    D
    13. Cmo parte del anlisis se ha incluido la identificacin de
    amenazas, vulnerabilidades e impacto?
    14. La empresa se ha preocupado por el impacto que pueden tener
    las prdidas de confiabilidad, integridad y disponibilidad sobre los
    activos?
    15. La empresa ha calculado el impacto comercial que podra
    resultar una falla en la seguridad, tomando en cuenta las
    consecuencias de una perdida de confidencialidad, integridad o
    disponibilidad de los activos?
    16. La entidad ha calculado una probabilidad realista de que ocurra
    dicha falla a la luz de las amenazas y vulnerabilidades
    prevalecientes, y los impactos asociados con estos activos, y los
    E
    controles implementados actualmente?
    17. Se ha contratado a una empresa externa para realizar el
    anlisis de riesgos? Se cuenta con un anlisis de riesgo previo?
    18. La empresa ha determinado si el riesgo es aceptable o requiere
    tratamiento utilizando el criterio de aceptacin del riesgo ya
    establecido?
    19. La empresa aplica los controles apropiados para mitigar el
    riesgo?

    SI NO

    20. La organizacin acepta los riesgos consciente y objetivamente,


    siempre que satisfagan claramente las polticas y el criterio de
    aceptacin del riesgo de la entidad?
    F
    21. De acuerdo al tratamiento de los riesgos la empresa ha evitado
    los riesgos?
    22. La entidad ha transferido los riesgos comerciales a otras
    empresas?
    23. La empresa ha seleccionado objetivos de control y controles
    G
    para el tratamiento de riesgos?
    24. La entidad cuenta con la aprobacin de la gerencia para los
    H
    riesgos residuales propuestos?
    25. Se cuenta con la autorizacin de la gerencia para implementar y
    I
    operar el SGSI?
    26.
    J
    27.
    28.
    4.2.2. Implementar y operar el SGSI
    29. La empresa ha formulado un plan de tratamiento de riesgo que
    identifique la accin gerencial apropiada, los recursos, las
    A
    responsabilidades y prioridades para manejar los riesgos de la
    seguridad de informacin?
    30. La entidad ha implementado un plan de tratamiento de riesgo
    para poder lograr los objetivos de control identificados, los cuales
    B
    incluyen tener en consideracin el financiamiento y asignacin de
    roles y responsabilidades?
    31. La empresa ha implementado los controles seleccionados para
    C
    satisfacer los objetivos de control?
    32. La organizacin ha definido como medir la efectividad de los
    controles o grupos de controles seleccionados y especificar como
    D
    se van a utilizar estas mediciones para evaluar la efectividad del
    control para producir resultados comparables y reproducibles?
    33. La empresa ha implementado los programas de capacitacin y
    E
    conocimientos?
    34. La organizacin maneja las operaciones del SGSI?
    F
    35. Maneja recursos la empresa para el SGSI?
    G
    36. La entidad ha implementado procedimientos y otros controles
    capaces de permitir una pronta deteccin de respuesta a
    H
    incidentes de seguridad?
    4.2.3. Monitorear y revisar el SGSI
    37. La organizacin ha detectado prontamente los errores en los
    resultados de procesamiento?
    38. Se han identificado prontamente los incidentes y violaciones de
    seguridad y fallidos exitosos?
    39. La empresa le permite a la gerencia determinar si las
    actividades de seguridad delegada a las personas o
    A
    implementada mediante la tecnologa de informacin, se estn
    realizando como se esperaba?
    40. La entidad ayuda a detectar los eventos de seguridad, evitando
    as los incidentes de seguridad mediante el uso de indicadores?
    41. Se ha determinado si son efectivas las acciones tomadas para

    resolver una violacin de seguridad?


    42. La entidad realiza revisiones regulares de la efectividad del
    SGSI tomando en cuenta los resultados de auditoras de
    B
    seguridad, incidentes, mediciones de seguridad, sugerencias y
    retroalimentacin de todas las partes interesadas?
    43. La empresa mide la efectividad de los controles para verificar
    C
    que hayan cumplido los requerimientos de seguridad?
    44.
    45.
    D
    46.
    47.
    48.
    49.
    50. La empresa realiza auditorias SGSI internas a intervalos
    E
    planeados?
    51. La organizacin realiza una revisin gerencial del SGSI sobre
    una base regular para asegurar que el alcance permanezca
    F
    adecuado y se identifiquen las mejoras en el proceso SGSI?
    52. La entidad actualiza los planes de seguridad para tomar en
    cuenta los descubrimientos de las actividades de monitoreo y
    G
    revisin?
    53. La empresa registra las acciones y eventos que podran tener
    H
    un impacto sobre la efectividad o desempeo del SGSI?
    4.2.4. Mantener y mejorar el SGSI
    54. La empresa implementa las mejoras identificadas en el SGSI?
    A
    55. La empresa ha aplicado las elecciones aprendidas de las
    B
    experiencias de seguridad de otras organizaciones y aquellas de
    la organizacin misma?
    56. La entidad comunica los resultados y acciones a todas las
    partes interesadas con un nivel de detalle apropiado de acuerdo
    C
    a las circunstancias y, cuando sea relevante, acordar cmo
    proceder?
    57. La organizacin asegura que las mejoras logren sus objetivos
    D
    sealados?

    Das könnte Ihnen auch gefallen