Normas Iso
Enviado por MariCarmenBella • 28 de Agosto de 2012 • 2.310 Palabras (10 Páginas) • 380 Visitas
ISO/IEC 27002:2005. Dominios, Objetivos de control y Controles
5. POLÍTICA DE SEGURIDAD.
5.1. Política de seguridad de la información.
5.1.1. Documento de política de seguridad de la información.
Manual de seguridad de información.
Actualizado y cubre con todo.
Exista y está desactualizado.
No existe.
5.1.2. Revisión de la política de seguridad de la información.
Bitácora de aplicación de políticas.
Bitácora de sesiones para analizar el plan.
Si / No.
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN.
6.1. Organización interna.
6.1.1. Compromiso de la Dirección con la seguridad de la información.
Documentos con firmas de responsabilidad para la seguridad de la información.
Si / No.
6.1.2. Coordinación de la seguridad de la información.
Lista de las actividades para la seguridad de la información.
Cronograma de actividades para la seguridad de la información.
Si / No.
6.1.3. Asignación de responsabilidades relativas a la seguridad de la información.
Listado de personas responsables de la seguridad de la información.
Documentos con firmas de las personas responsables.
Si /No.
6.1.4. Proceso de autorización de recursos para el tratamiento de la información.
Solicitud de autorización de los recursos obtenido para el tratamiento de la información.
Si /No.
Documentos de aprobación de la solicitud.
Si /No.
6.1.5. Acuerdos de confidencialidad.
Listado de acuerdos e confiabilidad.
Si /No
6.1.6. Contacto con las autoridades.
Informes de reuniones que se realizan con las autoridades mensuales/semanales.
Lista de asistencia de reuniones con las autoridades.
Si /No
6.1.7. Contacto con grupos de especial interés.
Informes de reuniones que se realizan con grupos de especial interés.
Lista de asistencia de las reuniones con los grupos de especial interés
Si /No
6.1.8. Revisión independiente de la seguridad de la información.
Bitácora de cumplimiento de actividades mensuales/ semanales.
Si /No
6.2. Terceros.
6.2.1. Identificación de los riesgos derivados del acceso de terceros.
Listado de los tipos de acceso a terceros.
Fichas de los riesgos identificados.
Nómina de acceso a terceros.
Si / No
6.2.2. Tratamiento de la seguridad en la relación con los clientes.
Listado de los tipos de seguridad en la relación con los clientes
Si / No
6.2.3. Tratamiento de la seguridad en contratos con terceros.
Listado de los tipos de seguridad en la relación con los clientes
Si / No
7. GESTIÓN DE ACTIVOS.
7.1. Responsabilidad sobre los activos.
7.1.1. Inventario de activos.
Listado de activos.
Informe trimestral de activos.
Si / No.
7.1.2. Propiedad de los activos.
Matriz de activos propios / rentados manejados por la organización.
Informe de activos propios de la organización.
Informe de activos rentados por la organización.
7.1.3. Uso aceptable de los activos.
Matriz de condiciones de activos.
Informa del estado de los activos.
7.2. Clasificación de la información.
7.2.1. Directrices de clasificación.
Niveles de acceso a la información.
Público
Medio
Restringido
7.2.2. Etiquetado y manipulado de la información.
Descripción y asignación de políticas para la manipulación de información según el nivel de acceso.
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
8.1. Antes del empleo.
8.1.1. Funciones y responsabilidades.
Matriz de experiencia laboral
Básica
Profesional
8.1.2. Investigación de antecedentes.
Curriculum vitae.
Si / No
8.1.3. Términos y condiciones de contratación.
contrato de prestación de servicios
Si / No
8.2. Durante el empleo.
8.2.1. Responsabilidades de la Dirección.
Documentación de normativas.
Actualizada.
Desactualizada.
8.2.2. Concienciación, formación y capacitación en sistemas de la información.
Bitácora de capacitaciones
Si / No
Cursos realizados en Tics.
Más de 10
Menos de 10
Ninguno
8.2.3. Proceso disciplinario.
Informe de cumplimiento de funciones
Si / No
Informe de cumplimiento de políticas.
Si / No
8.3. Cese del empleo o cambio de puesto de trabajo.
8.3.1. Responsabilidad del cese o cambio.
Informe del cese o cambio de puesto de forma organizada donde se determinen los motivos.
Si / No
Carta de renuncia / cambio de trabajo.
8.3.2. Devolución de activos.
Informe de devolución de todos los activos.
Informe de inventario de activos.
Actualizado
Verificado
Informe de seguimiento del empleado antes de salir de la empresa.
Verificado
Informe de transferencia de información en caso de que el empleado haya usado su propio equipo.
Actualizado
Verificado
8.3.3. Retirada de los derechos de acceso.
Documentación de los derechos de acceso.
Aprobada
Desaprobada
Cambio de Claves
Listado de los empleados que han sido removidos de la empresa.
9. SEGURIDAD FÍSICA Y DEL ENTORNO.
9.1. Áreas seguras.
9.1.1. Perímetro de seguridad física.
Planes de instalación de centro de cómputo.
Verificación de puntos seguros.
9.1.2. Controles físicos de entrada.
Señalización de puntos seguros.
Revisión de la infraestructura.
9.1.3. Seguridad de oficinas, despachos
...