Checklist: SeguridadInstitución auditada:Proyecto: Fase del ciclo de vida

Planificación Esp. de Requerimientos Diseño Implementación Integración y pruebas Aceptación y entrega Mantención

Iniciador:

Auditor:

Fecha:

No Criterio Estándares/NormasCumple con los

criterios Observaciones

Si No N/A

1 ¿Los extintores con que se cuentan son de fuego clase “C”?NOM-100-SPTS-1994

Justificación 10

2 ¿Cuenta con políticas de seguridad de los equipos respecto al uso de alimentos, líquidos o cualquier tipo de sustancia que dañe los equipos?

ISO/IEC 17799Justificación 13

3 ¿Cuenta con señalamientos de rutas de evacuación?NOM-003-SEGOB-2008

Justificación 3

4 ¿Existen políticas de seguridad de la información?ISO/IEC 27002Justificación 17

5 ¿Cuentan con plan de prevención en caso de algún desastre?NOM-003-SEGOB-2008

Justificación 1

6 ¿Cuenta con botiquín de primeros auxilios con el material mínimo para realizar una atención de primeros auxilios?

NOM – 020 – STPS – 1994Justificación 16

7 ¿Cuenta con extintores dentro de la organización?NOM – 002 – STPS – 2000

Justificación 9

8 ¿Se cuenta con señalamientos que ayuden a identificar zonas restringidas, donde solo personal autorizado pueda ingresar?

NOM-003-SEGOB-2008Justificación 6

9 ¿Existe un señalamiento que obligue al registro de la persona para el acceso a las instalaciones?

NOM-003-SEGOB-2008Justificación 6

10 ¿Se le da un seguimiento a las pólizas de garantías de los equipos utilizados en la organización?

ISO/IEC 17799Justificación 14

11 ¿Existe un control de las pérdidas de información dentro de la organización?

ISO/IEC 17799Justificación 12

12 ¿Cuenta con alarmas de incendio?NOM-002-STPS-2000

Justificación 8

13 ¿Las instalaciones cuentan con la iluminación adecuada que permita a los trabajadores desempeñar su trabajo?

NOM – 025 – STPS – 1994Justificación 11

14 ¿Las áreas de trabajo se encuentran delimitadas o seccionadas?NOM – 001 – STPS – 1999

Justificación 22

15 ¿Las zonas donde exista alto voltaje se encuentran señalizadas?NOM-003-SEGOB-2008

Justificación 5

16 ¿Las condiciones eléctricas, de iluminación y climáticas son adecuadas para el buen funcionamiento de los equipos de cómputo?

ISO/IEC 17799Justificación 12

17 ¿Cuenta con las herramientas necesarias para dar el mantenimiento a los equipos?

ISO/IEC 17799Justificación 12

18 ¿Se asigna al personal una carta responsiva por el equipo que está utilizando?

ISO/IEC 27002.Justificación 18

19 ¿Se documenta la entrega-recepción a la organización por parte de los empleados que dejan de formar parte de la organización?

ISO/IEC 27002.Justificación 18

20 ¿Cuenta con cámaras monitoreando el SITE de la organización?HDCCTV

Justificación 23

21 ¿Existen metodologías de respaldo de información? ISO/IEC 17799Justificación 1

22 ¿Se realizan respaldos de información periódicamente?ISO/IEC 17799Justificación 2

23 ¿Existe un administrador de sistemas que controle las cuentas de los usuarios?

ISO/IEC 17799Justificación 5

24 ¿Existe algún estándar para la creación de contraseñas?Data Encryption Standard

Justificación 9

25 ¿Las contraseñas cuentan con letras, números y símbolos?ISO/IEC 17799Justificación 10

26 ¿Se obliga, cada cierto tiempo a cambiar la contraseña?ISO/IEC 17799Justificación 11

27 ¿La organización cuenta con un proceso para dar mantenimiento preventivo  al software?

IEEE1219Justificación 13

28 ¿La organización cuenta con un proceso para dar mantenimiento correctivo  al software?

IEEE1219Justificación 14

29 ¿Se tienen software antivirus instalados en los equipos de cómputo?ISO 17799

Justificación 17

30 ¿Cuentan con antivirus actualizado?ISO 17799

Justificación 17

31 ¿Se tienen instalados anti malware en los equipos de cómputo?SGSI SISTESEGJustificación 18

32 ¿Cuenta con licencias de software? ISO/IEC 19770Justificación 19

Checklist: Base de datosInstitución auditada:Proyecto: Fase del ciclo de vida

Planificación Esp. de Requerimientos Diseño Implementación Integración y pruebas Aceptación y entrega Mantención

Iniciador:

Auditor:

Fecha:

No CriterioCumple con los

criteriosObservaciones

Si No N/A1 ¿Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la Base

de datos?2 ¿Se notifican las acciones realizadas a nivel de mantenimiento de hardware?3 ¿Existe un contrato de confidencialidad con las terceras partes?4 ¿Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?5 ¿Existe y es conocido un plan de actuación para el personal del centro de cómputo, en caso de incidentes

naturales u otros que involucren gravemente la instalación?6 ¿La ubicación del centro de cómputo es acorde con las mínimas condiciones de seguridad?7 ¿Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por el fuego?8 ¿Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por agua?9 ¿Se tiene un sistema de registro de acciones propio, con fines de auditoría?10 ¿Se han configurado estos logs para que sólo almacenan la información relevante?11 ¿Se usan los generados por el Sistema Operativo?12 ¿Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las base de

datos?13 ¿Existe algún plan de contingencia ante alguna situación no deseada en la Base de Datos?14 ¿Se encuentra la Base de Datos actualizada con el último Set de Parches de Seguridad?15 ¿Se cuenta con niveles de seguridad para el acceso a la Base de Datos?16 ¿Existe algún tipo de documentación referida a la estructura y contenidos de la Base de Datos?17 ¿El motor de Base de Datos soporta herramientas de auditoria?18 ¿Es eliminada la cuenta del usuario en dicho procedimiento?19 ¿Hay algún procedimiento para dar de baja a un usuario?20 ¿Hay algún procedimiento para dar de alta a un usuario?21 ¿Hay algún procedimiento para dar de baja a un usuario?22 ¿Se lleva a cabo una comprobación, para verificar que los cambios efectuados son los solicitados por el

interesado?23 ¿Una vez efectuada la restauración, se le comunica al interesado?

24 ¿En caso de que el equipo principal sufra una avería, existen equipos auxiliares?25 ¿Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa?26 ¿Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren

bien hechas?27 ¿Los datos utilizados en el entorno de desarrollo, son reales?28 ¿Posee el diccionario de datos un diseño físico y lógico?29 ¿Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a

estructuras, tablas físicas y lógicas del repositorio?30 ¿Se obliga el cambio de la contraseña de forma automática?31 ¿Las instancias que contienen el repositorio, tienen acceso restringido?32 ¿Son gestionados los perfiles de estos usuarios por el administrador?

Checklist: Documentación, SCM y estado del proyecto

Institución auditada:Proyecto: Fase del ciclo de vida

Planificación Esp. de Requerimientos Diseño Implementación Integración y pruebas Aceptación y entrega Mantención

Iniciador:

Auditor:

Fecha:

No CriterioCumple con los

criteriosObservaciones

Si No N/A1 ¿Existen estándares definidos para preparar la documentación de los productos de trabajo?2 ¿La documentación existente se ajusta a dichos estándares?3 ¿Existen procedimientos documentados para asegurar la adherencia a estos estándares?4 ¿Estos procedimientos distinguen los cambios a los documentos bajo control de configuración del

software? ¿Este tipo de cambios es revisado?5 ¿El contenido de la documentación de los productos de trabajo es clara, concisa, completa y

comprensible?6 ¿Los miembros de las revisiones de esta documentación se encuentran lo suficientemente familiarizados

con ella como para detectar inconsistencias fácilmente?7 ¿Existe una autoridad competente para la aprobación de la documentación de los entregables (productos

de trabajo)? ¿Es visible para los desarrolladores?8 ¿Se entrega oportunamente la documentación solicitada por el cliente?9 ¿Existen suficientes copias de los documentos?10 ¿La documentación es desarrollada paralelamente a las otras actividades del desarrollo de software?

¿Refleja el estado real del proyecto y de los productos de trabajo?11 ¿Se preparó un plan de SCM? ¿Se encuentra actualizado?12 ¿El plan de SCM fue revisado y aprobado?13 ¿Se definen en el plan los mecanismos de selección e identificación de ítems de configuración? ¿Se define

el esquema de versiones y revisiones?14 ¿Los procedimientos de SCM son implementados adecuadamente? ¿Existen procedimientos para el

acceso a la librería del software?15 ¿Existe un grupo de SCM con responsabilidades bien definidas? ¿Cuenta con los recursos adecuados?16 ¿Las líneas bases se ajustan a los requerimientos?17 ¿Existen procedimientos para gestionar el control de cambios adecuadamente?18 ¿Existe un CCB? ¿Quiénes pertenecen al él? ¿SQA forma parte del comité? ¿Existen procedimientos

claros para sus actividades? ¿Sus actividades son monitoreadas?19 ¿El estado real del proyecto concuerda con la planificación? ¿Si no es así, que tan grande es la brecha?20 De acuerdo con el plan de proyecto: ¿cuál es el estado de las actividades, recursos, productos de trabajo,

hitos?