Tarea
Páginas: 19 (4720 palabras)
Publicado: 18 de febrero de 2013
CUESTIONARIO DOMINIOS DE SEGURIDAD
A continuación una lista de chequeo clasificada por temas de seguridad de información para identificar posibles eventos de riesgo.
1. POLITICA DE SEGURIDAD
1.1 Política de Seguridad de la Información.
Objetivo de Control: brindar orientación y apoyo de la dirección para la seguridad de información
No |Control |Si |No |N/A |Puntaje |PT|Comentarios | |1 |Existe un documento de política de seguridad de la información? | | | | | | | |2 |Dentro del documento se diferenciaron Directivas, Procedimientos y Guías? | | | | | |. Manual de Políticas TI
| |3 |El documento de seguridad de la información está aprobado por la Dirección? | | | | |
|. Manual de Políticas TI
| |4 |Existe un procedimiento para la revisión y evaluación periódicade la política de Seguridad de la información? | | | | | |. Auditoria
. Inspección visual
| |5 |La política de Seguridad de la información ha sido divulgada a todos los funcionarios de la compañía? | | | | | |. Capacitación en Seguridad de TI.
. Inducción
. Publicaciones Pagina WEB o Cartelera Elec.
| |7 |Se hace seguimiento a la aplicación de las políticas de Seguridad de laInformación? | | | | | |. Auditoria
. Inspección
. Procedimiento de Monitoreo y análisis
| |
2. SEGURIDAD ORGANIZACIONAL
2.1 Estructura para la seguridad de la Información
Objetivo de Control: Gestionar la Seguridad de la Información dentro de la organización.
No |Control |Si |In |No |Puntaje |PT |Comentarios | |1 |Existe un comité de Seguridad de la información?
Participanentidades adscritas y/o usuarias | | | | | |. Comité de Seguridad de TI.
. Oficial de Seguridad TI
| |2 |Los integrantes del comité tienen poder decisivo dentro de la organización? | | | | | |
| |3 |Están definidas responsabilidades individuales de seguridad sobre los activos informáticos?
Y con entidades adscritas y usuarias | | | | | |. Reglamentos para el uso de bienes de TI
.Políticas de uso de recursos de TI.
. Manual de sanciones
. Claúsulas respons. en contratos.
Cuentas de Inventario | |4 |Existe un procedimiento explícito para la autorización por parte de la dirección para instalaciones de procesamiento de información? | | | | | |. Comité de Dirección | |5 |La entidad cuenta con la asesoría de especialistas en Seguridad Informática? | | | | | |. Asesores externos. Suscripciones
| |7 |Se ha establecido un mecanismo que facilite la retroalimentación con los funcionarios para verificar la efectividad de las Políticas de Seguridad de Información | | | | | |. Encuestas Help Desk
. Buzón Sugerencias | |8 |Existen acuerdos sobre temas de seguridad al interior y con otras entidades.
Quien autoriza cambios
Quien verifica calidad del cambio
Quien definemétodos
Roles revisiones incidentes tratamientos etc.
| | | | | |. Políticas de acuerdos
. Manual de Acuerdos | |10 |Revisión periódica sobre Seguridad Informática | | | | | |Auditorias
Control Interno | |11 |Revisión y análisis de incidentes | | | | | | | |11 |Acuerdo con Entidades | | | | | | | |12 |Existe documento de Comité de Seguridad actas decisiones etc. | | | | | | | |13 |ExisteAuditoria o revisión cruzada con otras entidades | | | | | |. Actas de comisiones | |14 |Hay mecanismos de divulgación de la seguridad informática | | | | | | | |15 |Protección mientras cambios o adecuaciones | | | | | | | |
2.2 Seguridad del acceso por terceras partes
Objetivo de Control: mantener la seguridad de las instalaciones de procesamiento de información organizacional y los activos deinformación a los que tienen acceso terceras partes.
No |Control |Si |In |No |Puntaje |PT |Comentarios | | |Ingreso por terceros físico lógico ambos | | | | | | | |1 |Existe un procedimiento para el estudio de los riesgos para autorizar el acceso sobre activos informáticos a terceras
partes? | | | | | |Sistema de Admón. De Riesgos
Mapa de Riesgos | | | | | | | | | | |2 |Se exige...
A continuación una lista de chequeo clasificada por temas de seguridad de información para identificar posibles eventos de riesgo.
1. POLITICA DE SEGURIDAD
1.1 Política de Seguridad de la Información.
Objetivo de Control: brindar orientación y apoyo de la dirección para la seguridad de información
No |Control |Si |No |N/A |Puntaje |PT|Comentarios | |1 |Existe un documento de política de seguridad de la información? | | | | | | | |2 |Dentro del documento se diferenciaron Directivas, Procedimientos y Guías? | | | | | |. Manual de Políticas TI
| |3 |El documento de seguridad de la información está aprobado por la Dirección? | | | | |
|. Manual de Políticas TI
| |4 |Existe un procedimiento para la revisión y evaluación periódicade la política de Seguridad de la información? | | | | | |. Auditoria
. Inspección visual
| |5 |La política de Seguridad de la información ha sido divulgada a todos los funcionarios de la compañía? | | | | | |. Capacitación en Seguridad de TI.
. Inducción
. Publicaciones Pagina WEB o Cartelera Elec.
| |7 |Se hace seguimiento a la aplicación de las políticas de Seguridad de laInformación? | | | | | |. Auditoria
. Inspección
. Procedimiento de Monitoreo y análisis
| |
2. SEGURIDAD ORGANIZACIONAL
2.1 Estructura para la seguridad de la Información
Objetivo de Control: Gestionar la Seguridad de la Información dentro de la organización.
No |Control |Si |In |No |Puntaje |PT |Comentarios | |1 |Existe un comité de Seguridad de la información?
Participanentidades adscritas y/o usuarias | | | | | |. Comité de Seguridad de TI.
. Oficial de Seguridad TI
| |2 |Los integrantes del comité tienen poder decisivo dentro de la organización? | | | | | |
| |3 |Están definidas responsabilidades individuales de seguridad sobre los activos informáticos?
Y con entidades adscritas y usuarias | | | | | |. Reglamentos para el uso de bienes de TI
.Políticas de uso de recursos de TI.
. Manual de sanciones
. Claúsulas respons. en contratos.
Cuentas de Inventario | |4 |Existe un procedimiento explícito para la autorización por parte de la dirección para instalaciones de procesamiento de información? | | | | | |. Comité de Dirección | |5 |La entidad cuenta con la asesoría de especialistas en Seguridad Informática? | | | | | |. Asesores externos. Suscripciones
| |7 |Se ha establecido un mecanismo que facilite la retroalimentación con los funcionarios para verificar la efectividad de las Políticas de Seguridad de Información | | | | | |. Encuestas Help Desk
. Buzón Sugerencias | |8 |Existen acuerdos sobre temas de seguridad al interior y con otras entidades.
Quien autoriza cambios
Quien verifica calidad del cambio
Quien definemétodos
Roles revisiones incidentes tratamientos etc.
| | | | | |. Políticas de acuerdos
. Manual de Acuerdos | |10 |Revisión periódica sobre Seguridad Informática | | | | | |Auditorias
Control Interno | |11 |Revisión y análisis de incidentes | | | | | | | |11 |Acuerdo con Entidades | | | | | | | |12 |Existe documento de Comité de Seguridad actas decisiones etc. | | | | | | | |13 |ExisteAuditoria o revisión cruzada con otras entidades | | | | | |. Actas de comisiones | |14 |Hay mecanismos de divulgación de la seguridad informática | | | | | | | |15 |Protección mientras cambios o adecuaciones | | | | | | | |
2.2 Seguridad del acceso por terceras partes
Objetivo de Control: mantener la seguridad de las instalaciones de procesamiento de información organizacional y los activos deinformación a los que tienen acceso terceras partes.
No |Control |Si |In |No |Puntaje |PT |Comentarios | | |Ingreso por terceros físico lógico ambos | | | | | | | |1 |Existe un procedimiento para el estudio de los riesgos para autorizar el acceso sobre activos informáticos a terceras
partes? | | | | | |Sistema de Admón. De Riesgos
Mapa de Riesgos | | | | | | | | | | |2 |Se exige...
Leer documento completo
Regístrate para leer el documento completo.