Como en cualquier sistema de gestión ISO, existe una documentación en ISO 27001 con la que debe contarse para mantener la conformidad con el estándar. Del mismo modo, hay documentos que, sin ser obligatorios, pueden ayudar al desarrollo del sistema de gestión de seguridad de la información.
En ocasiones puede resultar complicado tener claro cuáles son los documentos y registros necesarios. A continuación, para aclarar esta cuestión, ofrecemos un listado de la documentación en ISO 27001 obligatoria. Y también, presentamos otro listado de aquellos documentos que pueden ser de utilidad para su sistema.
Documentación en ISO 27001 de carácter obligatorio
Es necesario crear y mantener documentos y registros obligatorios para cumplir con la norma y es probable que sean requeridos en una auditoría. Estos documentos imprescindibles aparecen a lo largo de la norma.
Además, las organizaciones también deben contar con los documentos pertinentes que figuran en el Anexo A. Hay que tener en cuenta que la documentación del anexo solo se convierte en obligatoria para los riesgos a los que la organización considera que está expuesta. Si un determinado riesgo no se considera, y, por tanto, no se implementa el control necesario, como es natural, tampoco es preciso cumplir con el requisito de documentación para ese caso.
Esta sería la información documentada de la que es obligatorio disponer:
- Alcance (4.3).
- Política de seguridad de la información (5.2 e).
- Proceso de evaluación de riesgos de seguridad de la información (6.1.2).
- Proceso de tratamiento de riesgos de seguridad de la información (6.1.3).
- Declaración de Aplicabilidad (SoA) (6.1.3 d).
- Objetivos de seguridad de la información (6.2).
- Evidencia de competencia (7.2).
- Documentación necesaria para la efectividad del SGSI (7.5.1 b).
- Documentación necesaria para confiar en que los procesos requeridos para la planificación y el control operativo se han llevado a cabo según lo previsto (8.1).
- Resultado de las evaluaciones de riesgos de seguridad de la información (8.2).
- Resultado de tratamiento de riesgos de seguridad de la información (8.3).
- Evidencia de los resultados de monitoreo y medición del desempeño de la seguridad de la información (9.1).
- Programa (s) de auditoría interna y resultados de las auditorías (9.2 g).
- Evidencia de los resultados de las revisiones de gestión (9.3).
- Evidencia de no conformidades y cualquier acción posterior tomada, y los resultados de cualquier acción correctiva (10.1).
- Definición de roles y responsabilidades de seguridad (7.1.2 y A.13.2.4).
- Inventario de activos (8.1.1).
- Reglas para el uso aceptable de activos (8.1.3).
- Esquema de clasificación de información (8.2.1).
- Política de control de acceso (9.1.1).
- Procedimientos operativos para la gestión de TI (12.1.1).
- Registros de actividades de usuarios, excepciones y eventos de la seguridad (12.4.1 y A12.4.3).
- Principios de ingeniería de sistemas seguros (14.2.5).
- Política de seguridad del proveedor (15.1.1).
- Procedimiento de gestión de incidentes (16.1.5).
- Procedimientos de continuidad comercial (17.1.2).
- Requisitos legales, reglamentarios y contractuales (18.1.1).
Documentación en ISO 27001 no obligatoria
Existen, además, algunos documentos no obligatorios que pueden ser válidos para mejorar la implementación de ISO 27001, especialmente para los controles de seguridad del Anexo A. Consideramos que los siguientes son los más utilizados:
- Procedimiento para el control de documentos (cláusula 7.5).
- Controles para gestionar registros (cláusula 7.5).
- Procedimiento de auditoría interna (cláusula 9.2).
- Procedimiento para la acción correctiva (cláusula 10.1).
- Política de Traiga su Propio Dispositivo (BYOD) (cláusula A.6.2.1).
- Dispositivo móvil y política de teletrabajo (cláusula A.6.2.1).
- Política de clasificación de información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3).
- Política de contraseñas (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3).
- Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7).
- Procedimientos para trabajar en áreas seguras (cláusula A.11.1.5).
- Política de escritorio claro y pantalla clara (cláusula A.11.2.9).
- Política de gestión de cambios (cláusulas A.12.1.2 y A.14.2.4).
- Política de respaldo (cláusula A.12.3.1).
- Política de transferencia de información (cláusulas A.13.2.1, A.13.2.2 y A.13.2.3).
- Análisis de impacto empresarial (cláusula A.17.1.1).
- Plan de ejercicios y pruebas (cláusula A.17.1.3).
- Plan de mantenimiento y revisión (cláusula A.17.1.3).
- Estrategia de continuidad del negocio (cláusula A.17.2.1).
Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013
La seguridad de la información es una fortaleza estratégica para cualquier organización que implica algo más que elaborar algunos documentos. Implementar, mantener y auditar un SGSI basado en ISO 27001 de modo eficaz requiere un conocimiento profundo de la norma y una serie de competencias. Todo esto puede adquirirse a través del Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013.
Puede reservar su plaza en este programa de excelencia aquí.