ENTIDAD ACREDITADORA

UNIDAD ACREDITACION Y AUDITORIA DE PSCs

Norma Chilena Oficial NCh/ISO 27002Of.2009

DOMINIOS DE TI A EVALUAR
1 POLITICAS DE SEGURIDAD
1 Polticas de Seguridad de la Informacin
1 Documento de Polticas de Seguridad de la Informacin
2 Revisin de la Poltica de Seguridad de la Informacin
2 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
1 Organizacin Interna
1 Compromiso de la Direccin con la Seguridad de la Informacin
2 Coordinacin de la Seguridad de la Informacin
3 Asignacin de Responsabilidades Relativas a la Seguridad de la Informacin
4 Procesos de autorizacin de recursos para para el procesos de la Informacin
5 Acuerdos de Confidencialidad
6 Contacto con la Autoridades
7 Contacto con Grupos de Especial Interes
8 Revisin Independiente de la Seguridad de la Informacin
2 Terceros
1 Identificacin de los Riesgos Derivados del Acceso de Terceros
2 Tratamiento de la Seguridad en relacin con los clientes
3 Tratamiento de la Seguridad en contratos con terceros
3 GESTION DE ACTIVOS
1 Responsabilidad Sobre Los Activos
1 Inventario de Activos
2 Propiedad de los Activos
3 Uso aceptable de los Activos
2 Clasificacin de la Informacin
1 Directrices de Clasificacin
2 Etiquetado y manipulacin de la Informacin
4 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
1 Antes del Empleo
1 Funciones y responsabilidades
2 Investigacin de Antecedentes
3 Trminos y condiciones de Contratacin
2 Durante El Empleo
1 Responsabilidad de la Direccin
2 Concienciacin. Formacin y capacitacin en seguridad de la informacin
3 Procesos Disciplinario
3 Cese del Empleo o Cambio de Puesto de Trabajo
1 Responsabilidad del Cese o Cambio
2 Devolucin de Activos
3 Retirada de los Derechos de Acceso
5 SEGURIDAD FISICA Y AMBIENTAL
1 Areas Seguras
1 Permetro de Seguridad Fsica
2 Controles Fsicos de Entrada
3 Seguridad de Oficinas, despachos e instalaciones
4 Proteccin contra las amenazas externas y de origen ambiental
5 Trabajo en Areas seguras
6 Areas de acceso pblico y de carga y descarga
2 Seguridad de los Equipos
1 Emplazamiento y protecin de los equipos
2 Instalaciones de suministros
3 Seguridad del Cableado
4 Mantenimiento de los Equipos
5 Seguridad de los Equipos fuera de la s instalaciones
6 Reutilizacin o retirada segura de equipos
7 Retirada de materiales propiedad de la empresa
6 GESTION DE COMUNICACIONES Y OPERACIONES
1 Responsabilidades y Procedimientos de Operacin
1 Documentacin de los Procedimientos de Operacin
2 Gestin de Cambios
3 Segregacin de tareas
4 separacin de Los Recursos de Desarrollo, prueba y operacin
2 Gestin de la Provisin de Servicios por Terceros
1 Provisin de servicios

2 Supervisin y revisin de los servicios prestados por Terceros

3 Gestin de Cambios en los servicios prestados por Terceros
3 Planificacin y Aceptacin del Sistema
1 Gestin de Capacidades
2 Aceptacin del Sistema
4 Proteccin contra Cdigo Malicioso y descargable
1 Controles contra el cdigo malicioso
2 Controles sobre el cdigo descargado en el cliente
5 Copias de Seguridad
1 Copias de Seguridad de la Informacin
6 Gestin de Seguridad de las Redes
1 Controles de Red
2 Seguridad de los servicios de Red
7 Manipulacin de los Soportes
1 Gestin de Soporte Extraibles
2 Retirada de Soportes
3 Procedimientos de Manipulacin de la Informacin
4 Seguridad de la Documentacin del Sistema
8 Intercambio de Informacin
1 Polticas y Procedimientos de Intercambio de Informacin
2 Acuerdo de Intercambio
3 Soportes Fsicos en Transito
4 Mensajera Electrnica
5 Sistemas de Informacin Empresarial
9 Servicios de Comercio Electrnico
1 Comercio Electrnico
2 Transacciones en Lnea
3 Informacin puesta a Disposicin Pblica
10 Supervisin
1 Registros de Auditoras
2 Supervisin del Uso del Sistema
3 Protecccin de la Informacin de los Registros
4 Registros de Administracin y Operacin
5 Registros de Fallos
6 Sincronizacin del Reloj
7 CONTROL DE ACCESO
1 Requisitos de Negocio para el Control de Acceso
1 Poltica de Control de Acceso
2 Gestin de Acceso de Usuarios
1 Gestin de Privilegios
2 Gestin de Contrasea s de Usuarios
3 Revisin de los Derechos de Acceso de usuarios
3 Responsabilidades de los Usuarios
1 Uso de Contrasea
2 Equipo de usuarios Desatendido
3 Poltica de puesto puesto de trabajo depejado y Pantalla Limpia
4 Control de Acceso a la Red
1 Polticas de Uso de los Servicios en Red
2 Autenticacin de usuarios para conexiones externas
3 Identificacin de Equipos en las Redes
4 Diagnstico remoto y proteccin de los puertos de configuracin
5 Segregacin de las Redes
6 Control de la conexin a la Red
7 Control de Encaminamiento de Red
5 Control de Acceso al sistema Operativo
1 Procedimientos seguros de inicio de sesin
2 Identificacin y Autenticacin de usuarios
3 Sistema de gestin de contraseas
4 Uso de los recursos del Sistema
5 Desconexin automtica de sesin
6 Limitacin del tiempo de conexin
6 Control de acceso a las aplicaciones y a la Informacin
1 Restriccin del acceso a la informacin
2 Aislamiento de sistemas sensibles
7 Ordenadores Porttiles y teletrabajo
1 Ordenadores porttiles y comunicaciones mviles
2 Teletrabajo
8 ADQUISICION , DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
1 Requisitos de Seguridad de los Sistemas de Informacin
1 Anlisis y especificaciones de los requisitos de seguridad

2 Tratamiento correcto de las aplicaciones

1 validacin de los datos de entrada
2 Control de procesamiento interno
3 Integridad de los mensajes
4 Validacin de los datos de salida
3 Controles Criptogrficos
1 Poltica de uso de los controles criptogrficos
2 Gestin de Claves
4 Seguridad de los Archivos del Sistema
1 Control del Software en Explotacin
2 Protecccin de los Datos de Prueba del sistema
3 Control de Acceso al cdigo fuente de los programas
5 Seguridad en los procesos de Desarrollo y Soporte
1 Procedimientos de control de cambios
2 Revisin tcnica de aplicaciones tras efectuar cambios en el sistema operativo
3 Restricciones a los cambios en los paquetes de software
4 Fugas de Informacin
5 Externalizacin del Desarrollo del software
6 Gestin de la Vulnerabilidad Tcnica
1 Control de las vulnerabilidades Tcnicas
9 GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
1 Notificacin de los Eventos y Puntos dbiles de la seguridad de la informacin
1 Notificacin de los Eventos de Seguridad de la Informacin
2 Notificacin de Puntos Dbiles de la Seguridad
2 Gestin de Incidentes de Seguridad de la Informacin y Mejoras
1 Responsabilidades y Procedimientos
2 Aprendizaje de los Incidentes de Seguridad de la Informacin
3 Recopilacon de Evidencias
10 GESTION DE LA CONTINUIDAD DEL NEGOCIO
1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio
1 Inclusin de la seguridad de la informacin en el proceso de gestion de la continuidad del negocio
2 Continuidad del negocio y evaluacin de riesgos
3 Desarrollo e Implementacin de planes de continuidad que incluyen la seguridad de la informacin
4 Marco de referencia para la planificacin de la continuidad del negocio
5 Pruebas, mantenimiento y reevaluacin de planes de continuidad
11 CUMPLIMIENTO
1 Cumplimiento de los requisitos legales
1 Identificacin de la legislacin aplicable
2 Derechos de Propiedad Intelectual (DPI)
3 Proteccin de los Documentos de la Organizacin
4 Proteccin de Datos y privacidad de la informacin personal
5 Prevencin del uso indebido de los recursos de tratamiento de la informacin
6 Regulacin de los Controles Criptogrficos
2 Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico
1 Cumplimiento de las polticas y normas de seguridad
2 Comprobacin del cumplimiento tcnico
3 Consideraciones de la auditoras de los sistemas de informacin
1 Controles de auditora de los sistemas de informacin
2 Proteccin de las herramientas de auditora de los sistemas de informacin
nivel de riesgo

calificacin estandar de riesgo : 1 a 10 ( de - a + ) A., -A ( plan de normalizacin acotado) y B (revocar acreditacin)

nivel mnimo aceptable : 7 = -A
Ingeniero/Auditor Evaluador :
Fecha de Evaluacin :
NOMBRE DE PSC