SANS

BS ISO IEC 17799 2005 Audit Institute

Checklist

Interested in learning more

about implementing
security standards?

SANS Institute

Security Consensus Operational Readiness Evaluation

This checklist is from the SCORE Checklist Project. Reposting is not permited without express, written permission.

BS ISO IEC 17799 SANS Checklist

 SANS
BS Security
ISO IEC 17799 2005 Audit BS ISO IEC 17799:2005 SANS Audit Check List Institute
Information Management
Checklist
Reference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Compliance
7.7.2 11.7.2 Whether policy, operational plan and procedures are
Teleworking developed and implemented for teleworking
activities.
Whether teleworking activity is authorized and
controlled by management and does it ensure
that suitable arrangements are in place for this
way of working.

Adquisición, desarrollo y mantenimiento de sistemas de información

8.1 12.1
Requisitos de seguridad de los sistemas de información
8.1.1 12.1.1
Si los requisitos de seguridad para los nuevos
Análisis y sistemas de información y la mejora del sistema de
información existente especifican los requisitos para
especificaci
los controles de seguridad.
ón de
requisitos Si los requisitos y controles de seguridad
identificados reflejan el valor comercial de los
de activos de información involucrados y la
seguridad consecuencia de la falla de la seguridad.
Si los requisitos del sistema para la seguridad de la
información y los procesos para implementar la
seguridad se integran en las primeras etapas de los
proyectos del sistema de información.
8.2 12.2
Correcto procesamiento en las aplicaciones
 SANS
Information
BS Security Management
ISO IEC 17799 2005 Audit BS ISO IEC Institute
17799:2005 SANS Audit Check List
Checklist
Referencia Área de auditoría, objetivos y pregunta Resultados
Lista Están Seccion Pregunta de auditoría Recomendaciones Compliance
de dar
verifi
cació
n

8.2.1 12.2.1 Si la entrada de datos al sistema de aplicación se

valida para garantizar que sea correcta y adecuada.
Valida Si los controles tales como: Diferentes tipos de
ción de entradas para verificar los mensajes de error,
datos Procedimientos para responder a los errores de
de validación, Definición de responsabilidades de todo
el personal involucrado en el proceso de entrada de
entrad datos, etc., son considerados.
a
8.2.2 12.2.2 Si las verificaciones de validación se incorporan en
Control las aplicaciones para detectar cualquier corrupción de
del información a través de errores de procesamiento o
proces actos deliberados.
amient Si el diseño y la implementación de aplicaciones
o aseguran que se minimicen los riesgos de fallas de
procesamiento que conducen a una pérdida de
interno integridad.

8.2.3 12.2.3 Si se identifican los requisitos para garantizar y

Integr proteger la integridad de los mensajes en las
idad aplicaciones, y se identifican e implementan los
del controles apropiados.
mens Si se realizó una evaluación de riesgos de seguridad
aje para determinar si se requiere la integridad del
mensaje, e identificar el método de implementación
más apropiado.
8.2.4 12.2.4 Si la salida de datos del sistema de aplicación
Validació se valida para garantizar que el
n de procesamiento de la información almacenada
sea correcto y adecuado a las circunstancias.
datos de
salida
 SANS
Information
BS Security Management
ISO IEC 17799 2005 Audit BS ISO IEC Institute
17799:2005 SANS Audit Check List
Checklist
Reference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Co
8.3 12.3
Controles criptográficos
8.3.1 12.3.1 Si la organización tiene una Política sobre el uso de
Política sobre el controles criptográficos para la protección de la
uso de información. .
controles Si la política se implementó con éxito.
criptográficos
Si la política criptográfica considera el enfoque de
gestión para el uso de controles criptográficos, los
resultados de la evaluación de riesgos identifican el
nivel requerido de protección, los métodos clave de
gestión y diversos estándares para la implementación
efectiva
8.3.2 12.3.2 Si la administración clave está en su lugar para
Gestión de apoyar el uso de las organizaciones de técnicas
claves criptográficas.
Si las claves criptográficas están protegidas contra
modificación, pérdida y destrucción.
Si las claves secretas y las claves privadas están
protegidas contra la divulgación no autorizada.
Si los equipos utilizados para generar, almacenar
claves están físicamente protegidos.
Si el sistema de gestión de claves se basa en un
conjunto acordado de normas, procedimientos y
métodos seguros.
 SANS
Information
BS Security Management
ISO IEC 17799 2005 Audit BS ISO IEC Institute
17799:2005 SANS Audit Check List
Checklist
Reference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Co
8.4 12.4
Seguridad de los archivos del sistema
8.4.1 12.4.1 Si hay algún procedimiento para controlar la instalación
Control del de software en los sistemas operativos. (Esto es para
software minimizar el riesgo de corrupción de los sistemas
operativos).
operaciona
l
8.4.2 12.4.2 Si los datos de prueba del sistema están protegidos y
Protección de controlados.
los datos de
Si se evita el uso de información personal o cualquier
prueba del información sensible para probar la base de datos
sistema operacional.
8.4.3 12.4.3 Si controles estrictos están en su lugar para
Control de restringir el acceso a las bibliotecas fuente del
acceso para programa.
programar el (Esto es para evitar el potencial de cambios
código fuente involuntarios no autorizados).
8.5 12.5
Seguridad en los procesos de desarrollo y soporte
8.5.1 12.5.1 Si existe un procedimiento de control estricto
Procedimientos en lugar de la implementación de cambios en
de control de el sistema de información. (Esto es para
cambios minimizar la corrupción del sistema de
información).
Si este procedimiento aborda la necesidad de
evaluación de riesgos, análisis de los impactos
de los cambios,
 SANS
Information
BS Security Management
ISO IEC 17799 2005 Audit BS ISO IEC Institute
17799:2005 SANS Audit Check List
Checklist
Reference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Co
8.5.2 12.5.2 Si existe un proceso o procedimiento para revisar y
Revisión técnica probar las aplicaciones críticas para el negocio con un
de aplicaciones impacto adverso en las operaciones de la organización
después de o en la seguridad después del cambio a los sistemas
cambios en el operativos.
sistema Periódicamente es necesario actualizar el sistema
operativo operativo, es decir, instalar service packs, parches,
hotfixes, etc.

8.5.3 12.5.3 Si las modificaciones al paquete de software se

Restricción a desaconsejan y / o se limitan a los cambios necesarios.
los cambios
Si todos los cambios están estrictamente controlados.
en los
paquetes de
software
8.5.4 12.5.4 Si los controles están en su lugar para evitar fugas de
Fuga de información.
información
Ya sea que se contemplen controles tales como el
escaneo de medios salientes, el monitoreo regular del
personal y las actividades del sistema permitidas por la
legislación local, se considera el uso del monitoreo de
los recursos.
8.5.5 12.5.5 Si el desarrollo de software subcontratado es
Desarrollo de supervisado y monitoreado por la organización.
software
Si se consideran puntos tales como: acuerdos de
subcontrata licencia, arreglos de custodia, requisitos
do contractuales de garantía de calidad, pruebas antes
de la instalación para detectar el código troyano, etc..
 SANS
Information
BS Security Management
ISO IEC 17799 2005 Audit BS ISO IEC Institute
17799:2005 SANS Audit Check List
Checklist
Reference Audit area, objective and question Results
Checklist Standard Section Audit Question Findings Co
8.6 12.6
Gestión de Vulnerabilidad Técnica
8.6.1 12.6.1 Si se obtiene información oportuna acerca de las
Control de vulnerabilidades técnicas de los sistemas de
vulnerabilida información que se utilizan.
des técnicas Si se evaluó la exposición de la organización a tales
vulnerabilidades y se tomaron medidas apropiadas
para mitigar el riesgo asociado.

Information security incident management

9.1 13.1
Informar eventos y debilidades de seguridad de la información
9.1.1 13.1.1 Si los eventos de seguridad de la información se
Informar informan a través de los canales de administración
eventos de apropiados lo más rápido posible.
seguridad de Si se desarrolla e implementa el procedimiento formal
la información de informe de eventos de seguridad de la información,
la respuesta a incidentes y el procedimiento de
escalamiento.

9.1.2 13.1.2 Si existe un procedimiento que garantice que los

Informar empleados de los sistemas de información y servicios
debilidades deben observar e informar cualquier debilidad de
seguridad observada o sospechada en el sistema o los
de
servicios.
seguridad
 SANS
BS ISO IEC 17799 2005 Audit Institute
Checklist
 SANS
BS ISO IEC 17799 2005 Audit Institute
Checklist