N

10.1
10.1.1
1
2
3
4

5
6
10.1.2

10.1.3
1
2
3
10.1.4
1

10.2
10.2.1
1
2

10.2.2
1

3
4
5
6
10.2.3
1

10.3
10.3.1
1
2
3
4
5
10.3.2
1
2
3

GESTIN D

INICIO
PROCEDIMINETOS Y REESPONSABILIDADES DE OPERACIN
DOCUMENTACION DE PROCEDIMIENTOS OPERATIVOS
existen procesos y utilizacin correcta de la informacin
existen instrucciones para manejar errores u otras condiciones excepcionales que puedan ocurrir d
tarea de ejecucin, incluyendo restricciones en el uso de servicios del sistema
existen contactos de apoyo en caso de dificultades inesperadas operacionales o tcnicas
existen instrucciones especiales de utilizacin de resultados, como el uso de papel especial o la ge
resultados confidenciales, incluyendo procedimientos de destruccin segura de resultados producid
consecuencia de tareas fallidas
existe el reinicio del sistema y los procedimientos de recuperacin a utilizar en caso de fallo del sis
existe la gestin de la informacin del rastro de auditoria y del registro de sistema
GESTION DE CAMBIOS
a) existe la identificacin y registro de cambios significativos.
b)exixte planeamiento y prueba de los cambios.
c) existe la evaluacin de los posibles impactos, incluyendo impactos de seguridad, de dichos cam
d) existe un procedimiento formal de aprobacin de los cambios propuestos.
e) existe la comunicacin de los detalles de cambio a todas las personas que corresponda.
f) existen procedimientos que identifiquen las responsabilidades de abortar y recobrarse de los cam
acontecimientos imprevistos.
SEGREGAION DE TAREAS
se ha verificdo que se tiene cuidado de que cualquier persona puede acceder, modificar o utilizar l
autorizacin o sin ser detectado
se ha verificado que la iniciacin de un evento debe estar separada de su autorizacin
se ha verificado la existencia de la posibilidad de confabulacin es considerada en el diseo de los
SEPARACION DE LOS RECURSOS PARA DESARROLLO Y PARA PRODUCCION
a) existen reglas de transferencia del software desde un estado de desarrollo al de produccin deb
definidos y documentados.
b) existen compiladores, editores y otros servicios del sistema no deberan ser accesibles desde los
produccin, cuando no se necesiten.
c) los usuarios deben utilizar diferentes perfiles de usuario para los sistemas operacionales y de pr
mens deben exhibir mensajes de identificacin apropiados con el fin de reducir el riesgo por error
GESTION DE SERVICIOS EXTERNOS
SERVICIO DE ENTREGA
existe la verificacion de servicio entregado por terceros incluye los arreglos de seguridad acordado
y aspectos de la gestin del servicio

existe la verificacion de la organizacin se asegure que los terceros mantengan una capacidad sufi
realizables designados para asegurar que los niveles continuos del servicio acordado sean manten
fallas mayores del servicio o desastre
MONITOREO Y REVISION DE LOS SERVICIOS EXTERNOS
a) existen servicio de monitoreo de niveles de funcionamiento para verificar que se adhieran a los
b) existen los reportes de revisin de servicio producidos por terceros y que arregle reuniones regu
como requieran los acuerdos
c) existen los acuerdos y los rastros de intervencin de los eventos de seguridad, problemas opera
fallas, trazabilidad de faltas e interrupciones relacionadas con el servicio entregado.
se comprobo que la responsabilidad para manejar las relaciones con un tercero es asignado a un in
o a un equipo de gestin de servicio.

se ha constato que la organizacin asegure que los proveedores externos asignen responsabilidade
conformidad y el cumplimiento de los requisitos de los acuerdos
se ha constatado la disponibilidad de habilidades y recursos suficientes para monitorear los requisi
se Verifico que se toman acciones apropiadas cuando se observan deficiencias en el servicio entreg
se verifico el mantenimiento de un control y una visin general suficiente en todos los aspectos pa
sensible o crtica o a los recursos del procesamiento de informacin accedidos
GESTIONANDO CAMBIOS PARA LOS SERVICIOS EXTERNOS
a) realces en el actual servicio ofrecido.
b)se ha desarrollo de cualquier aplicacin o sistema nuevo.
c) existe modificaciones o actualizaciones de las polticas y procedimientos organizacionales.
d) existen controles nuevos para resolver incidentes en la seguridad de informacin y para mejorar
a) existen cambios y realces en las redes.
b) existe el uso de nuevas tecnologas.
c)existe la adopcin de nuevos productos o versiones o lanzamientos nuevos.
d) existen nuevas herramientas y ambientes de desarrollo
f) existen cambios en la locacin fsica de los recursos de servicio.
PLANIFICACION Y ACEPTACION DEL SISTEMA
PLANIFICACION DE LA CAPACIDAD
se ha comprobado que se identifican los requisitos de capacidad para cada actividad que se est ll
cada actividad nueva
se ha verificcado que se aplicar el monitoreo de los sistemas.
se ha comprobado la instalacin de controles de deteccin para detectar los problemas en un tiem
se ha verificado que la gerencia monitorea la utilizacin de los recursos claves del sistema
se ha verificado que se identifica las tendencias de uso, particularmente relativas a las aplicacione
herramientas de administracin de sistemas de informacin
ACEPTACION DEL SISTEMA
se ha verificado que los requisitos y criterios de aceptacin de los nuevos sistemas estn claramen
documentados y probados
Constatar que los nuevos sistemas, actualizaciones y las nuevas versiones son migradas a producc
despus de obtener una aceptacin formal.
a) existen los requisitos de rendimiento y capacidad de los computadores.
b) existen los procedimientos de recuperacin de errores y reinicio, as como los planes de conting
c) existen la preparacin y prueba de procedimientos operativos de rutina segn las normas defini
d) existen un conjunto acordado de controles y medidas de seguridad instalados.
e) existe manual de procedimiento eficaz.
f) existe plan de continuidad del negocio como se requiere en el inciso 11.1.
g) existe la evidencia de que la instalacin del nuevo sistema no producir repercusiones negativa
existentes, particularmente en los tiempos con pico de proceso como a fin de mes.
h) existe la evidencia de que se ha tenido en cuenta el efecto que tendr el nuevo sistema en la se
la organizacin.
i) existe la formacin en la produccin o utilizacin de los sistemas nuevos.
j) existe la facilidad de empleo, como este afecta el funcionamiento del usuario y evita los errores
existe la comprobacion que se realizaron pruebas apropiadas para confirmar que estn satisfechas
criterios de aceptacin

ACIONES
si

no

Evidencia

Procedimientos para procesamiento de informacin

Procedimientos para los recursos de comunicacin
Procedimientos para administracin del sistema

manual del sistema

Responsabilidades y procedimientos de gestin de cambios.

Documento de gestin de cambios

Documento de segregacin de tareas

Documento de controles para el nivel de separacin de entornos.

Contratos con terceros sobre seguridad

Constancia de capacidad suficiente por parte de terceros.

Acuerdos firmados con terceros

Procedimientos en caso de deficiencias en el servicio entregado.

Documento
Documento
Documento
Documento

de
de
de
de

gestin de servicios externos.

poltica de seguridad de informacin.
poltica de seguridad de informacin.
poltica de seguridad de informacin.

Reportes de tendencias de uso

Documento de implementacin de controles de deteccin

Documento de criterios de aceptacin del sistema

Documentos de requisitos de aceptacin del sistema.

manual de procedimientos
manual de instalacion

documento de conformidad

Observacion