ANEXO III AUDITORÍA DE LA SEGURIDAD\1. Objeto de la auditoría.

1. Objeto de la auditoría.

1.1 La seguridad de los sistemas de información de una organización será auditada en los siguientes términos:

a)      Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información.

b)      Que existen procedimientos para resolución de conflictos entre dichos responsables.

c)      Que se han designado personas para dichos roles a la luz del principio de "separación de funciones".

d)      Que se ha realizado un análisis de riesgos, con revisión y aprobación anual.

e)      Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso.

f)       Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

 

1.2 La auditoría se basará en la existencia de evidencias que permitan sustentar objetivamente el cumplimiento de los puntos mencionados:

a)      Documentación de los procedimientos.

b)      Registro de incidentes.

c)      Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

d)      Productos certificados. Se considerará evidencia suficiente el empleo de productos que satisfagan lo establecido en el artículo 18 «Adquisición de productos y contratación de servicios de seguridad».

 

principio