check-list de auditoria
DESCRIPTION
check-list basado en auditoria de softwareTRANSCRIPT
Checklist: SeguridadInstitución auditada:Proyecto: Fase del ciclo de vida
Planificación Esp. de Requerimientos Diseño Implementación Integración y pruebas Aceptación y entrega Mantención
Iniciador:
Auditor:
Fecha:
No Criterio Estándares/NormasCumple con los
criterios Observaciones
Si No N/A
1 ¿Los extintores con que se cuentan son de fuego clase “C”?NOM-100-SPTS-1994
Justificación 10
2 ¿Cuenta con políticas de seguridad de los equipos respecto al uso de alimentos, líquidos o cualquier tipo de sustancia que dañe los equipos?
ISO/IEC 17799Justificación 13
3 ¿Cuenta con señalamientos de rutas de evacuación?NOM-003-SEGOB-2008
Justificación 3
4 ¿Existen políticas de seguridad de la información?ISO/IEC 27002Justificación 17
5 ¿Cuentan con plan de prevención en caso de algún desastre?NOM-003-SEGOB-2008
Justificación 1
6 ¿Cuenta con botiquín de primeros auxilios con el material mínimo para realizar una atención de primeros auxilios?
NOM – 020 – STPS – 1994Justificación 16
7 ¿Cuenta con extintores dentro de la organización?NOM – 002 – STPS – 2000
Justificación 9
8 ¿Se cuenta con señalamientos que ayuden a identificar zonas restringidas, donde solo personal autorizado pueda ingresar?
NOM-003-SEGOB-2008Justificación 6
9 ¿Existe un señalamiento que obligue al registro de la persona para el acceso a las instalaciones?
NOM-003-SEGOB-2008Justificación 6
10 ¿Se le da un seguimiento a las pólizas de garantías de los equipos utilizados en la organización?
ISO/IEC 17799Justificación 14
11 ¿Existe un control de las pérdidas de información dentro de la organización?
ISO/IEC 17799Justificación 12
12 ¿Cuenta con alarmas de incendio?NOM-002-STPS-2000
Justificación 8
13 ¿Las instalaciones cuentan con la iluminación adecuada que permita a los trabajadores desempeñar su trabajo?
NOM – 025 – STPS – 1994Justificación 11
14 ¿Las áreas de trabajo se encuentran delimitadas o seccionadas?NOM – 001 – STPS – 1999
Justificación 22
15 ¿Las zonas donde exista alto voltaje se encuentran señalizadas?NOM-003-SEGOB-2008
Justificación 5
16 ¿Las condiciones eléctricas, de iluminación y climáticas son adecuadas para el buen funcionamiento de los equipos de cómputo?
ISO/IEC 17799Justificación 12
17 ¿Cuenta con las herramientas necesarias para dar el mantenimiento a los equipos?
ISO/IEC 17799Justificación 12
18 ¿Se asigna al personal una carta responsiva por el equipo que está utilizando?
ISO/IEC 27002.Justificación 18
19 ¿Se documenta la entrega-recepción a la organización por parte de los empleados que dejan de formar parte de la organización?
ISO/IEC 27002.Justificación 18
20 ¿Cuenta con cámaras monitoreando el SITE de la organización?HDCCTV
Justificación 23
21 ¿Existen metodologías de respaldo de información? ISO/IEC 17799Justificación 1
22 ¿Se realizan respaldos de información periódicamente?ISO/IEC 17799Justificación 2
23 ¿Existe un administrador de sistemas que controle las cuentas de los usuarios?
ISO/IEC 17799Justificación 5
24 ¿Existe algún estándar para la creación de contraseñas?Data Encryption Standard
Justificación 9
25 ¿Las contraseñas cuentan con letras, números y símbolos?ISO/IEC 17799Justificación 10
26 ¿Se obliga, cada cierto tiempo a cambiar la contraseña?ISO/IEC 17799Justificación 11
27 ¿La organización cuenta con un proceso para dar mantenimiento preventivo al software?
IEEE1219Justificación 13
28 ¿La organización cuenta con un proceso para dar mantenimiento correctivo al software?
IEEE1219Justificación 14
29 ¿Se tienen software antivirus instalados en los equipos de cómputo?ISO 17799
Justificación 17
30 ¿Cuentan con antivirus actualizado?ISO 17799
Justificación 17
31 ¿Se tienen instalados anti malware en los equipos de cómputo?SGSI SISTESEGJustificación 18
32 ¿Cuenta con licencias de software? ISO/IEC 19770Justificación 19
Checklist: Base de datosInstitución auditada:Proyecto: Fase del ciclo de vida
Planificación Esp. de Requerimientos Diseño Implementación Integración y pruebas Aceptación y entrega Mantención
Iniciador:
Auditor:
Fecha:
No CriterioCumple con los
criteriosObservaciones
Si No N/A1 ¿Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la Base
de datos?2 ¿Se notifican las acciones realizadas a nivel de mantenimiento de hardware?3 ¿Existe un contrato de confidencialidad con las terceras partes?4 ¿Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?5 ¿Existe y es conocido un plan de actuación para el personal del centro de cómputo, en caso de incidentes
naturales u otros que involucren gravemente la instalación?6 ¿La ubicación del centro de cómputo es acorde con las mínimas condiciones de seguridad?7 ¿Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por el fuego?8 ¿Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por agua?9 ¿Se tiene un sistema de registro de acciones propio, con fines de auditoría?10 ¿Se han configurado estos logs para que sólo almacenan la información relevante?11 ¿Se usan los generados por el Sistema Operativo?12 ¿Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las base de
datos?13 ¿Existe algún plan de contingencia ante alguna situación no deseada en la Base de Datos?14 ¿Se encuentra la Base de Datos actualizada con el último Set de Parches de Seguridad?15 ¿Se cuenta con niveles de seguridad para el acceso a la Base de Datos?16 ¿Existe algún tipo de documentación referida a la estructura y contenidos de la Base de Datos?17 ¿El motor de Base de Datos soporta herramientas de auditoria?18 ¿Es eliminada la cuenta del usuario en dicho procedimiento?19 ¿Hay algún procedimiento para dar de baja a un usuario?20 ¿Hay algún procedimiento para dar de alta a un usuario?21 ¿Hay algún procedimiento para dar de baja a un usuario?22 ¿Se lleva a cabo una comprobación, para verificar que los cambios efectuados son los solicitados por el
interesado?23 ¿Una vez efectuada la restauración, se le comunica al interesado?
24 ¿En caso de que el equipo principal sufra una avería, existen equipos auxiliares?25 ¿Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa?26 ¿Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren
bien hechas?27 ¿Los datos utilizados en el entorno de desarrollo, son reales?28 ¿Posee el diccionario de datos un diseño físico y lógico?29 ¿Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a
estructuras, tablas físicas y lógicas del repositorio?30 ¿Se obliga el cambio de la contraseña de forma automática?31 ¿Las instancias que contienen el repositorio, tienen acceso restringido?32 ¿Son gestionados los perfiles de estos usuarios por el administrador?
Checklist: Documentación, SCM y estado del proyecto
Institución auditada:Proyecto: Fase del ciclo de vida
Planificación Esp. de Requerimientos Diseño Implementación Integración y pruebas Aceptación y entrega Mantención
Iniciador:
Auditor:
Fecha:
No CriterioCumple con los
criteriosObservaciones
Si No N/A1 ¿Existen estándares definidos para preparar la documentación de los productos de trabajo?2 ¿La documentación existente se ajusta a dichos estándares?3 ¿Existen procedimientos documentados para asegurar la adherencia a estos estándares?4 ¿Estos procedimientos distinguen los cambios a los documentos bajo control de configuración del
software? ¿Este tipo de cambios es revisado?5 ¿El contenido de la documentación de los productos de trabajo es clara, concisa, completa y
comprensible?6 ¿Los miembros de las revisiones de esta documentación se encuentran lo suficientemente familiarizados
con ella como para detectar inconsistencias fácilmente?7 ¿Existe una autoridad competente para la aprobación de la documentación de los entregables (productos
de trabajo)? ¿Es visible para los desarrolladores?8 ¿Se entrega oportunamente la documentación solicitada por el cliente?9 ¿Existen suficientes copias de los documentos?10 ¿La documentación es desarrollada paralelamente a las otras actividades del desarrollo de software?
¿Refleja el estado real del proyecto y de los productos de trabajo?11 ¿Se preparó un plan de SCM? ¿Se encuentra actualizado?12 ¿El plan de SCM fue revisado y aprobado?13 ¿Se definen en el plan los mecanismos de selección e identificación de ítems de configuración? ¿Se define
el esquema de versiones y revisiones?14 ¿Los procedimientos de SCM son implementados adecuadamente? ¿Existen procedimientos para el
acceso a la librería del software?15 ¿Existe un grupo de SCM con responsabilidades bien definidas? ¿Cuenta con los recursos adecuados?16 ¿Las líneas bases se ajustan a los requerimientos?17 ¿Existen procedimientos para gestionar el control de cambios adecuadamente?18 ¿Existe un CCB? ¿Quiénes pertenecen al él? ¿SQA forma parte del comité? ¿Existen procedimientos
claros para sus actividades? ¿Sus actividades son monitoreadas?19 ¿El estado real del proyecto concuerda con la planificación? ¿Si no es así, que tan grande es la brecha?20 De acuerdo con el plan de proyecto: ¿cuál es el estado de las actividades, recursos, productos de trabajo,
hitos?