TEXTO PAGINA: 10
Pág. 277760 NORMAS LEGALESNORMAS LEGALESNORMAS LEGALESNORMAS LEGALESNORMAS LEGALES Lima, miércoles 6 de octubre de 2004 DATOS DE LA ENCUESTA CAMPOS DATOS Nombre de la Institución Poder, Sector, Gobierno Regional, Gobierno Local u otro pertinente Departamento Provincia Distrito Centro Poblado Urbano Apellidos y Nombres del Informante Teléfono Correo Electrónico ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN (Responder con X en la columna Si o No a cada pregunta) SI NO 1. Con relación a las políticas de seguridad de la información a. ¿Se han elaborado políticas de seguridad de la información? b. ¿Se están aplicando las políticas de seguridad de la informa- ción? c. ¿Se hacen de conocimiento al personal de la institución las polí- ticas de seguridad de la información? d. ¿Realizan evaluaciones y actualizaciones constantes de las po- líticas de seguridad de la información? e. ¿Las políticas de seguridad de la información están basadas en algún estándar nacional o internacional? 2. Con relación a la organización para la seguridad de la información a. ¿Tiene la institución un área o una persona asignada para labo- res exclusivas de seguridad de la información? b. ¿El área de seguridad de la información está formalizada dentro del organigrama de la institución? c. ¿Tienen un comité de seguridad de la información a nivel de alta dirección? d. ¿Tienen asesoramiento especializado en materia de seguridad de la información? e. ¿Tienen algún mecanismo de cooperación con organizaciones públicas o privadas referidas a seguridad de la información? f. ¿Realizan evaluaciones de seguridad de la información a través de otras entidades públicas o privadas? g. ¿Al realizar contratos con empresas externas exige requerimien- tos de seguridad de la información? 3. Con relación a la clasificación y control de activos informáticos a. ¿Están clasificados los activos informáticos (hardware, software)?b. ¿Cuenta esta clasificación, con un sistema software que la auto- matice? c. ¿Realizan periódicamente la actualización de su inventario de activos informáticos? d. ¿Actualizan las etiquetas con nombres de contenidos, fechas, ubicación, versiones y responsables de los activos informáticos? 5. Con relación a las políticas del personal respecto a la seguridad informá- tica a. ¿Están preparados los usuarios para reportar los incidentes de seguridad de los sistemas de información? b. ¿La institución tiene acuerdos con el personal sobre la confiden- cialidad de la información? c. ¿Reciben los usuarios capacitación actualizada en temas de se- guridad de la información? d. ¿Tienen procedimientos de respuesta a incidentes y anomalías en materia de seguridad informática para ser aplicados por los usuarios? 6. Con relación a la seguridad física y ambiental de los sistemas de Informa- ción a. ¿Tienen identificadas las áreas físicas seguras donde se encuen- tran los sistemas de información? b. ¿Tienen controles de ingreso del personal a las áreas físicas donde se encuentran los sistemas de información? c. ¿Están preparados para mantener el correcto funcionamiento del suministro eléctrico en caso del alguna falla? d. ¿Están preparados para mantener el correcto funcionamiento del cableado de datos en caso del alguna falla? e. ¿Tienen mecanismos de seguridad de la información para los equipos que ingresan y salen fuera del ámbito de la institución? f. ¿Cuentan con mantenimiento periódico del hardware y software en los equipos informáticos?ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN (Responder con X en la columna Si o No a cada pregunta) SI NO 7. Con relación a la gestión de las comunicaciones de datos y operaciones de los sistemas informáticos a. ¿Cuentan con procedimientos y responsabilidades operativas del uso y acceso a los sistemas informáticos? b. ¿Cuentan con documentación de los procedimientos operativos del uso y acceso de l os sistemas informáticos? c. ¿Tienen procedimientos para afrontar incidentes de las comuni- caciones de datos y operaciones de los sistemas informáticos? d. ¿Tienen establecidos controles en la red de datos contra soft- ware malicioso? e. ¿Tienen un registro de acceso y uso de las aplicaciones y servi- cios de la red de datos del personal operativo? f. ¿Tienen un registro de fallas de las comunicaciones de datos? g. ¿Tienen un control documentado de toda la información referida a la red de datos, es decir direcciones IP de las máquinas de los usuarios, distribución de las IP, diagrama de la red de datos, en- tre otros? h. ¿Tienen mecanismos de seguridad para proteger la documenta- ción de los sistemas de información? i. ¿Tienen establecidos controles de seguridad de los medios de almacenamiento de información en tránsito? j. ¿Tienen establecidos controles de seguridad para el sistema de correo electrónico de la institución? 8. Con relación al control de acceso a los sistemas informáticos a. ¿Tienen políticas de control de acceso a los sistemas informáti- cos de los usuarios en la red de datos? b. ¿Se están aplicando las políticas de control de acceso a los sis- temas informáticos de los usuarios en la red de datos? c. ¿Cuentan con un registro permanente de acceso a los sistemas informáticos de los usuarios en la red de datos? d. ¿Cuentan con una administración de los privilegios para acceder a los sistemas informáticos? e. ¿Cuentan con una administración de las contraseñas de usua- rios para los sistemas informáticos? f. ¿Tienen políticas de uso, de los servicios de la red de datos de su institución? g. ¿Tienen establecidos mecanismos de autenticación de usuarios para las conexiones externas a la red de datos? h. ¿Tienen establecido limitaciones de horario para la conexión a la red de datos? i. ¿Están aislados los sistemas informáticos críticos de personal no autorizado? j. ¿Tienen mecanismos de monitoreo del uso de los sistemas infor- máticos? k. ¿Tienen controles de seguridad informática de los usuarios que usan computadoras portátiles? 9. Con relación al desarrollo y mantenimiento de sistemas informáticos a. ¿Realiza el análisis y define especificaciones de los requerimien- tos de seguridad informática cuando desarrolla sistemas infor- máticos? b. ¿Tienen mecanismos de validación de datos de entrada y de sa- lida los sistemas de información? c. ¿Se han establecido controles criptográficos en su red de datos, como por ejemplo el uso de certificados digitales u otros progra- mas para la encriptación de datos? d. ¿Tienen políticas de uso de los controles criptográficos en su red de datos? e. ¿Tienen servicios de no repudio, es decir que el usuario no pue- da negar las acciones realizadas en los sistemas informáticos? f. ¿Cuentan con una administración de llaves para los certificados digitales? g. ¿Mantienen un control del acceso a los programas fuente de las aplicaciones que utilizan en la red institucional? h. ¿Tienen procedimientos de control de los cambios que se reali- zan en las aplicaciones software y el sistema operativo de los servidores o las estaciones de trabajo? i. ¿Realizan revisiones a posibles códigos ocultos maliciosos o código troyano dentro de sus aplicaciones software? j. ¿Tienen mecanismos de protección cuando se desarrolla soft- ware por parte de personal que no pertenece a la institución? 10. Con relación a la administración de la continuidad de los sistemas infor- máticos a. ¿Tienen elaborado planes de continuidad de las operaciones in- formáticas?