• (0)
    ISO-27001-ISO-22301-blog

    Blog de ISO 27001 e ISO 22301

    Gestión de documentación en las normas ISO 27001 y BS 25999-2


    ¿Por qué las normas ISO 27001 y BS 25999-2 ponen tanto énfasis en el control de la documentación? Ambas normas establecen de forma muy estricta cómo se debe gestionar la documentación y exigen que la organización cuente con un procedimiento documentado para gestionar documentos. Aún peor, no obtendrá la certificación a menos que cuente con un procedimiento de este tipo.

    La documentación se puede presentar en diversos formatos: documentos en papel, archivos de texto u hojas de cálculo, archivos de vídeo o audio, etc. Una organización no sólo debe gestionar los documentos internos (por ejemplo, políticas diversas, procedimientos, documentación del proyecto, etc.), sino también los documentos externos (por ejemplo, diferentes tipos de correspondencia, documentación recibida con equipamiento, etc.). Es decir, la gestión de documentación es una tarea compleja e integral.

    Entonces, ¿por qué es tan importante gestionar los documentos? A ver, ¿alguna vez se ha encontrado en una situación en la que no sabía dónde encontrar algún documento importante? ¿O se dio cuenta de que sus empleados estaban utilizando una versión incorrecta (antigua) de un procedimiento? ¿O que algunos empleados ni siquiera recibieron un procedimiento importante? ¿O tal vez no estaba claro cuál era la versión de este procedimiento? ¿O determinados documentos confidenciales fueron distribuidos a las personas equivocadas? Si nunca se encontró en este tipo de situaciones conflictivas, probablemente sí le pasó que sus procedimientos no estén actualizados.

    Si no aplica un método sistemático para gestionar su documentación, probablemente usted se identifique en alguna de las situaciones mencionadas. Es por ello que las normas ISO 27001 y BS 25999-2 exigen a las organizaciones que implementen un método sistemático de este tipo redactando un procedimiento para la gestión de documentación.

    Este procedimiento debe definir claramente las responsabilidades sobre los documentos: quién los aprueba, cómo se distribuyen y se archivan, cómo se mantienen actualizados, qué control de versiones se utiliza, cómo se controlan los cambios en los documentos, qué hacer con la documentación externa, etc.

    Debido a que la gestión de documentación es un tema tan importante, tenga la certeza de que el auditor de certificación no sólo requerirá este tipo de procedimiento, sino que también analizará si su documentación realmente se gestiona como está definido en el procedimiento de gestión de documentación. La implementación de este procedimiento probablemente implicará que usted tenga que cambiar su sistema para administrar documentos, que tenga que almacenar documentación en su Intranet o implementar un sistema más complejo de gestión de documentación y que tenga que organizar el archivo de documentación en papel.

    Cuando comience a implementar la norma ISO 27001 o BS 25999-2, empezará a ver la importancia de escribir las cosas, pero también verá que lo que escriba debe estar organizado, salvo que no desee poder tener el control sobre ello. De hecho, los documentos son el flujo vital de su sistema de gestión: cuídelos si quiere que su sistema sea saludable.

    Para administrar sus documentos de forma más facil, consulte este Sistema de gestión de documentos de Conformio.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan tiene varias certificaciones, entre las que se incluyen la de Consultor certificado en gestión, Auditor principal para ISO 27001, Auditor principal para ISO 9001 y Profesional asociado en gestión de la continuidad del negocio. Dejan lidera nuestro equipo a través de la gestión de varios sitios web especializados que brindan apoyo a profesionales de TI y de ISO para comprender e implementar con éxito las principales normas internacionales. Dejan cuenta con un Máster de Gestión Empresarial (MBA) de Henley Management College y posee amplia experiencia en inversiones, seguros y bancos. Es conocido por su experiencia en normas internacionales para continuidad del negocio y seguridad de la información (ISO 22301 e ISO 27001) y por la creación de diversos tutoriales Web, paquetes de documentación y libros sobre los mismos temas.
    Etiquetas: #ISO 27001