Tras la reciente actualización de la norma de seguridad de la información, conviene revisar qué ha cambiado respecto a la documentación en ISO 27001:2022.
En términos generales, los documentos obligatorios se reducen, si bien aún es necesario mantener determinados registros relevantes de la gestión. A continuación, desglosamos cuáles son los cambios a destacar en la documentación en ISO 27001:2022.
¿Cuál es la documentación en ISO 27001:2022 obligatoria?
Para ISO 27001, en su edición 2022, los eventos de la implementación y funcionamiento del sistema que se deben documentar son los siguientes, acompañados de la cláusula que así lo dispone:
Alcance del Sistema de Gestión
Solicitado en la cláusula 4.3, requiere que la organización defina todos los aspectos, internos y externos, que tengan la capacidad de impedir el logro de los objetivos. Estos aspectos son condiciones, circunstancias, leyes, acuerdos, requisitos de un organismo regulador, expectativas o solitudes de partes interesadas.
Política de Seguridad de la Información
La Política de Seguridad de la Información es requerida en la cláusula 5.2 y la responsabilidad compete a la Alta Dirección. Es el documento que expresa la voluntad y el compromiso de la organización por preservar la Seguridad de la Información y cumplir con las obligaciones regulatorias. En ese sentido, debe expresar también unos objetivos generales, en concordancia con los compromisos asumidos.
Proceso de Gestión de Riesgos de SI
Este es un requisito establecido en la cláusula 6.1.2. El objetivo es documentar todo el trabajo de planificación, desarrollo de metodologías y herramientas de evaluación, así como el resultado de la Gestión de Riesgos de Seguridad de la Información.
Declaración de aplicabilidad
La declaración de aplicabilidad de la que habla la cláusula 6.1.3 d. es, dentro de la documentación en ISO 27001:2022, un documento obligatorio si se espera certificar el sistema. La aplicabilidad está directamente relacionada con los objetivos y los controles del Anexo A que la organización necesite para alcanzar esos objetivos.
Plan de gestión de riesgos
Las cláusulas 6.1.3 e, 6.2 y 8.3 solicitan la planificación de la gestión de riesgos, y la respectiva documentación de esa actividad.
Objetivos de Seguridad de la Información
Los objetivos que aquí deben documentarse, de conformidad con lo solicitado en la cláusula 6.2, son los específicos de la gestión que, a su vez, estarán vinculados a los controles respectivos del anexo A.
Informes de evaluación y de gestión de riesgos
Las conclusiones y resultados que arrojan las tareas de evaluación y gestión de riesgos deben documentarse según lo solicitado en las cláusulas 8.2 y 8.3.
Inventario de activos
No todos los requisitos de documentación en ISO 27001:2022 parten de una solicitud en una cláusula. Este, y los subsiguientes en esta guía, son ejemplo de ello. El inventario de activos, en particular, es requisito para la implementación del Control A.5.9. Por supuesto, en este y en los casos que siguen, se considerarán documentos obligatorios solo en el evento de que el control sea obligatorio para la organización.
Uso aceptable de los activos
Este documento se solicita en el Control A.5.10. También se podría denominar Política de Seguridad Informática, y está vinculado con los activos que se han inventariado en el documento anterior.
Procedimiento de respuesta a incidentes
Control que lo solicita: A.5.26. El objetivo es documentar las acciones que prevé la organización ante la ocurrencia de un incidente o una infracción.
Requisitos reglamentarios, contractuales y legales
Un inventario de las leyes, normas, acuerdos o regulaciones a los que está obligada la organización, en materia de Seguridad de la Información o Protección de Datos, es lo que solicita documentar el control A.531.
Actualiza los documentos obligatorios de tu Sistema de Gestión, de acuerdo con los nuevos requisitos de documentación de #ISO27001 publicada en 2022 #SeguridadInformación Share on XProcedimientos Operativos de Seguridad para la Gestión de TI
El control A.5.37 es muy específico. Solicita documentar todos los procedimientos prácticos que se ponen en marcha para garantizar la Seguridad de la Gestión de TI.
Definición de roles y responsabilidades de seguridad de la información
Aunque la información que debe documentarse según los controles A.6.2 y A.6.6 puede incluirse en la política o en la declaración de objetivos, es bueno también crear un documento exclusivo, para satisfacer el requerimiento.
Definición de configuraciones de seguridad
Se refiere a procedimientos y configuraciones de seguridad en el área de TI, y se solicita en el Control A.8.9.
Principios de ingeniería de sistemas seguros
Finalmente, el control A.8.27 requiere una política de desarrollo seguro de sistemas de información.
¿Qué registros son obligatorios en la nueva ISO 27001?
Los registros recogen datos e información histórica. Los documentos establecen la forma en que se deben llevar a cabo los procesos de gestión del sistema. Cuando se habla de documentación en ISO 27001:2022 se hace referencia a los dos. Los registros obligatorios en la nueva norma son:
- Registros sobre capacitaciones, experiencia, calificaciones y habilidades, que usualmente son certificados de programas de formación, CVs o evaluaciones de resultados de las capacitaciones impartidas.
- Reportes, seguimiento y mediciones de la efectividad de los controles o de la eficiencia de alguna acción correctiva.
- Resultados de la auditoría interna o del programa de auditorías.
- Resultados de las inspecciones o revisiones de la Alta Dirección.
- Resultados de la implementación de acciones correctivas u otro tipo de medidas tomadas para prevenir riesgos.
- Actividades de usuarios y otros registros automáticos en los diferentes sistemas de información.
Muchos documentos y registros se asocian a algún control. En esta era de Transformación Digital, el primer Sistema de Gestión que debería ser automatizado y digitalizado, es el de Seguridad de la Información. El Sistema tienen una demanda alta de información y datos. Y la mejor forma de garantizar el suministro de información confiable y oportuna, es el uso de un software que automatice la gestión.
La formación y capacitación es otro elemento esencial, especialmente para la efectiva documentación en ISO 27001:2022.
Diplomado de Seguridad de la Información ISO/IEC 27001 Actualización 2022
La documentación en ISO 27001:2022 es apenas uno de los temas relevantes que debe conocer un profesional en Seguridad de la Información. El Diplomado de Seguridad de la Información ISO/IEC 27001 Actualización 2022, es un programa impartido por docentes con reconocimiento internacional, lo que le aporta al programa un interesante valor agregado.
Los estudiantes de este programa tienen la oportunidad de interactuar con profesionales y docentes de otras naciones, ampliando así su perspectiva sobre la Seguridad de la Información.
Los alumnos obtienen dos titulaciones: una como expertos en el estándar ISO 27001 y otro como auditores internos de SG-SI. Pero hay algo más: estos profesionales podrán obtener con mucha facilidad el certificado ERCA –Registro Europeo de Auditores Certificados-, con el que podrán trabajar en cualquier país del continente europeo o de América Latina. ¿Quieres ser uno de ellos? Empieza aquí.