CUESTIONARIO DE AUDITORIA DE BASE DE DATOS
Enviado por Bryan Hinostroza • 24 de Octubre de 2017 • Informe • 980 Palabras (4 Páginas) • 2.054 Visitas
CUESTIONARIO DE AUDITORIA DE BASE DE DATOS[pic 1]
[pic 2]
CUESTIONARIO DE AUDITORIA DE PORTAL WEB
[pic 3]
[pic 4]
CUESTIONARIO DE AUDITORIA DE REDES
[pic 5]
[pic 6]
Criterios:
COBIT V 5.0 - ISO 27001 SEGURIDAD DE INFORMACION - ISO 12007 CICLO DE VIDA DE SOFTWARE
En base a los 6 hallazgos encontrados en el proceso de auditoría interna a la Unidad de TI en la empresa Exort SAC, a) sustente un informe de auditoría pertinente. b) redacte las observaciones y No conformidades, en base a los criterios señalados.
[pic 7] | [pic 8] |
|
|
[pic 9] | 4) Los manuales del sistema de los aplicativos en producción no están actualizados con los últimos cambios evidenciados, el Jefe de Desarrollo expreso es que es por falta de personal en el área. 5) Algunos programadores tienen acceso a programas de producción. Esto se debe a que ha habido algunas renuncias en el personal de producción, según lo expresado por el Jefe de Soporte. 6) No existe estructurado un proceso de calidad, aunque hay evidencia que se realizaron funciones de mejora en los dos últimos trimestres. |
|
En cumplimiento con la norma ISO 27001, presentando a la Empresa Exort SAC, se desarrolló la presente auditoría con el plan detallado que se elaboró y se verificó de acuerdo con la norma anteriormente mencionada.
Capítulo 1
Conocimiento General de la Entidad a Auditar (Aspectos preliminares)
Entidad
Exort SAC.
Alcance
Unidad de TI en la empresa Exort SAC, en base a los criterios de: CobIT 5.0, ISO 27001 e ISO 12007.
Áreas Auditadas
Área de desarrollo, Área de producción, Datacenter y el proceso de calidad de los procesos de la Empresa.
Capítulo 2
Planificación de la Auditoría de Sistemas de Información
Temas por evaluar
Cableado Estructurado y Configuración
Equipos, hardware.
Data Center
Seguridad y usos del Sistema.
Seguridad física y lógica del Sistema.
Capítulo 3
Proceso de la Auditoría
ISO 27001
Lista de verificación
Organización: Exort S.A.C. | ||||
Auditor: Estudiante de Ingeniería de sistemas Hinostroza Nuñez, Bryan Josue | Proceso: Datacenter, Área de desarrollo, Área de producción | |||
NTP ISO 27001:2014 | Gestión de Seguridad de Información | |||
NRO. | CLÁUSULA | PREGUNTA | OBSERVACIONES | CUMPLE (S/N) |
1 | 5. LIDERAZGO | 5.2. Política ¿Existe una política de seguridad de la información? e) ¿Está disponible? f) ¿Está comunicada dentro de la organización? | Antiguo personal sin acceso restringido. | N |
2 | 6. PLANIFICACIÓN | 6.1.2. Valoración del riesgo de seguridad de la información ¿Existe un proceso de valoración del riesgo de seguridad de información en la organización? c) Identifique los riesgos de la seguridad de información. ¿Se han identificado los propietarios de los riesgos de la seguridad de la información? 6.2. Objetivos de la seguridad de información y planificación para conseguirlos. ¿Se ha definido los objetivos de la seguridad de la información? | Manuales de aplicaciones desactualizados. Proceso de calidad no estructurado. | N |
3 | 7. SOPORTE | 7.2. Competencia ¿Existe información documentada de la evidencia de las capacitaciones a personal que interviene en el proceso de seguridad de información? | Escritorio de administrador de BD desorganizado. | N |
4 | 8. OPERACIÓN | 8.2. Evaluación de riesgos de la seguridad de información ¿Existe una evaluación de riesgos en seguridad de información? | Extintores vencidos | N |
5 | 9. EVALUACIÓN DE DESEMPEÑO | 9.1. Monitoreo, medición, análisis y evaluación ¿Existe información documentada que evidencia el monitoreo y los resultados de la medición? | Falta de control del Administrador de BD. | N |
6 | 10. MEJORAS | 10.1. No conformidades y acción correctiva ¿Existe evidencia de las No conformidades y las acciones correctivas en la seguridad de información? 10.2. Mejora continua ¿Existe evidencia de mejora continua en seguridad de información? | Proceso de calidad actualizado de hace dos trimestres. | S |
...