La gestión documental según ISO 27001 comparte requisitos con el estándar especializado en la continuidad del negocio, ISO 22301. Aprovechando esa coyuntura, que encontramos en el capítulo 7 de cada uno de los estándares, explicamos, a continuación, la forma de asumir la gestión de documentos para las dos normas, garantizando la seguridad de la información, la eficacia y la conformidad con los requisitos.
Los documentos, en un sistema de gestión, son el soporte central de la estructura: son los que contienen las políticas, los procedimientos, la forma de hacer las cosas y lo que no está permitido. Toda la información histórica, informes de auditorías, resultados de actividades de monitoreo y seguimiento reposa en documentos.
Por eso es tan importante la gestión documental según ISO 27001 y, por supuesto, en ISO 22301.
Gestionar la gestión documental según ISO 27001 e ISO 22301 – ¿Qué solicitan los estándares?
Los profesionales que han trabajado con sistemas de gestión basados en normas ISO conocen la importancia de los documentos o información documentada para el funcionamiento adecuado y para el logro de los objetivos y la conformidad con la norma.
La gestión documental según ISO 27001 e ISO 22301 tiene tres objetivos esenciales: describir los respectivos sistemas, expresar la forma correcta de hacer las cosas y presentar evidencia del cumplimiento de los requisitos de las normas.
Los dos estándares, ISO 27001 e ISO 22301, tienen unos requisitos obligatorios sobre información documentada que aparecen en el capítulo 7 de cada uno de los estándares. Sin embargo, es muy importante que todo evento trascendente para los sistemas sea documentado, conservado y fácil de encontrar.
Los auditores de certificación confían mucho en los sistemas que exhiben una sólida estructura documental, bien mantenida, accesible y transparente. Esto, en términos generales. Pero, como ya lo hemos mencionado, los requisitos específicos aparecen en el capítulo 7 de los estándares.
Gestión documental según ISO 27001 e ISO 22301 – ¿Qué gestionar?
Una pregunta que siempre ronda en el ámbito de sistemas de gestión basados en normas ISO en cuanto a documentación es “¿cuánto es suficiente?”. Lo primero que se entiende es que no es un asunto de cantidad sino de calidad.
Siempre que la organización cumpla con los requisitos mínimos, todo estará bien. Claro que puede estar mejor, porque podemos documentar algo por iniciativa propia, porque creemos que facilitará la gestión o la tarea del auditor. Pero, para iniciar, la gestión documental según ISO 27001 e ISO 22301 debe cumplir como mínimo con los siguientes requisitos:
Documentación general – Cláusula 7.5.1
La gestión de documentos en un Sistema de Gestión basado en normas ISO requiere cumplir con especificaciones muy precisas y controles de seguridad eficaces. Aprovechar la tecnología, digitalizando sistemas y automatizando tareas, es el camino a seguir en una era marcada por la Transformación Digital. Esto garantizará que la gestión documental cumpla con los requisitos de las normas.
Los sistemas de gestión de seguridad de la información y de continuidad del negocio deben incluir claramente:
- Descripción de cómo se aborda lo solicitado en las clausulas 4.1 hasta 10.2, lo que incluye la gestión de riesgos y, en el caso de ISO 27001, la selección de los controles del Anexo A.
- Igualmente, solo para ISO 27001 es preciso documentar la lista de controles relevantes del Anexo A, que forman parte integral de la Declaración de Aplicabilidad. Esto significa que es preciso enumerar todos los controles, incluso los que no utilizará. Estos últimos deben aparecer con la nota que explique la razón por la que no aplica. Esta explicación es evidencia de que el riesgo se consideró y que no está expuesta a él la organización.
Creación y actualización de información documentada – Cláusula 7.5.2
La cláusula solicita claridad en los documentos en lo relativo a la identificación, descripción, formato, revisión, aprobación, idoneidad para aprobar y adecuación del documento para cumplir con el propósito.
Esto parece muy general pero en la práctica se trata de considerar al autor, la fecha, el título, la referencia, la procedencia del texto y, sobre todo, la transparencia y trazabilidad en el proceso de aprobación.
Control de información documentada – Cláusula 7.5.3
Los principios de confidencialidad, integridad y disponibilidad de la información son comunes a los dos sistemas basados en las normas ISO 27001 e ISO 22301. Por eso, la información debe estar disponible cuando se requiera y protegida contra su adulteración, pérdida, manipulación o uso no autorizado.
La cláusula 7.5.3 específicamente solicita que:
- Exista claridad en el intercambio, distribución y acceso a los documentos antes, durante y después de su aprobación.
- Se almacenen y conserven los documentos y sus cambios, en condiciones de seguridad que garanticen su integridad, sean estos digitales o en papel.
- Se retengan y eliminen de acuerdo con lo solicitado por cada requisito.
- Que se revisen los documentos de forma periódica, especialmente las políticas.
La gestión documental según ISO 27001 e ISO 22301 debe realizarse con base en lo solicitado por las respectivas normas entre las que existe gran similitud.
Es una labor que se encomienda a un profesional experimentado y con el conocimiento suficiente. En el caso de la Seguridad de la Información, la formación es un elemento indispensable.
Diplomado en Seguridad de la Información – ISO 27001
Con la entrada de vigor de diferentes normativas sobre la protección de datos y la seguridad de la información, las organizaciones encuentran la necesidad y la obligación de implementar sistemas de gestión eficaces para cumplir con lo regulado.
El Diplomado en Seguridad de la Información ISO/IEC 27001 es un programa de excelencia de la Escuela Europea de Excelencia que entrega titulación como experto en Sistemas de Gestión basados en la norma ISO 27001, pero también como auditor interno de estos sistemas.
Es a la vez un camino allanado para obtener la certificación del Registro Europeo de Auditores Certificados, lo cual facilitará a los alumnos trabajar en cualquier país del continente europeo o de América Latina. Este programa representa una gran oportunidad de crecimiento profesional. Comienza ahora.