ISO 27001/ISO 22301 Base de conocimientos

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Lista de documentos obligatorios exigidos por la norma ISO 27001 (revisión 2013)

Con la nueva revisión de ISO/IEC 27001 publicada hace poco, muchas personas se preguntan qué documentos son obligatorios en esta nueva revisión de 2013. ¿Son necesarios más documentos o menos?

Así que aquí está la lista – a continuación verá no sólo documentos obligatorios, sino también aquellos documentos más comúnmente usados en una implantación de ISO 27001.

Documentos obligatorios y registros requeridos por ISO 27001:2013

blogpost-banner-27001-premium-es

Aquí están los documentos que necesita elaborar si quiere cumplir con la norma ISO 27001: (por favor tenga en cuenta que los documentos del anexo A son obligatorio sólo si existen riesgos que impliquen su implantación)

  • El alcance del sistema de gestión de seguridad de la información (cláusula 4.3)
  • Política de seguridad de la información y objetivos (cláusulas 5.2 y 6.2)
  • Metodología de evaluación y tratamiento de riesgos (cláusula 6.1.2)
  • Declaración de aplicabilidad (cláusula 6.1.3 d)
  • Plan de tratamiento de riesgo (cláusula 6.1.3 e y 6.2)
  • Informe sobre evaluación de riesgos (cláusula 8.2)
  • Definición de roles y responsabilidades de seguridad (cláusulas A.7.1.2 y A.13.2.4)
  • Inventario de activos (cláusula A.8.1.1)
  • Uso aceptable de los activos (cláusula A.8.1.3)
  • Política de control de acceso (cláusula A.9.1.1)
  • Procedimientos de operación para gestión de TI (cláusula A.12.1.1)
  • Principios de ingeniería de sistemas seguros (cláusula A.14.2.5)
  • Política de seguridad para proveedores (cláusula A.15.1.1)
  • Procedimiento para gestión de incidentes (cláusula A.16.1.5)
  • Procedimientos de Continuidad de negocio (cláusula A.17.1.2)
  • Requerimientos legales, regulatorios y contractuales (cláusula A.18.1.1)

Y aquí están los registros obligatorios:

  • Registros de formación, habilidades, experiencia y calificaciones (cláusula 7.2)
  • Seguimiento y resultados de medición (cláusula 9.1)
  • Programa de auditoria interna (cláusula 9.2)
  • Resultados de auditorías internas (cláusula 9.2)
  • Resultados de la Revisión por Dirección (cláusula 9.3)
  • Resultados de acciones correctivas (cláusula 10.1)
  • Registros de las actividades de usuario, excepciones y eventos de seguridad (cláusulas A.12.4.1 y A.12.4.3)

Documentos no obligatorios

Hay numerosos documentos no obligatorio que pueden ser utilizados para la implementación de la ISO 27001, especialmente para los controles de seguridad del anexo A. Sin embargo, me encuentro con estos documentos que no son obligatorios pero que comúnmente son los más usados:

  • Procedimiento para control de documentos (cláusula 7.5)
  • Controles para la gestión de registros (cláusula 7.5)
  • Procedimiento para auditoría interna (cláusula 9.2)
  • Procedimiento para acciones correctivas (cláusula 10.1)
  • Política BYOD (Bring Your Own Device = Trae tu propio dispositivo) (cláusula A.6.2.1)
  • Política de dispositivo sobre dispositivos móviles y tele-trabajo (cláusula A.6.2.1)
  • Política de clasificación de la información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3)
  • Política de claves (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3)
  • Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7)
  • Procedimientos para trabajo en áreas seguras (cláusula A.11.1.5)
  • Política de pantalla y escritorio limpios (cláusula A.11.2.9)
  • Política de gestión de cambios (cláusulas A.12.1.2 y A.14.2.4)
  • Política de Copias de seguridad (cláusula A.12.3.1)
  • Política de transferencia de información (cláusulas A.13.2.1, A.13.2.2, y A.13.2.3)
  • Análisis de impacto en el negocio (BIA) (cláusula A.17.1.1)
  • Plan de pruebas y verificación (cláusula A.17.1.3)
  • Plan de mantenimiento y revisión (cláusula 17.1.3)
  • Estrategia de continuidad de negocio (cláusula A.17.2.1)

Así que esto es – ¿Qué opinas? ¿Hay que escribir demasiado? ¿Estos documentos cubren todos los aspectos de seguridad de la información?

Clic aquí para descargar un White paper  Lista de documentación obligatoria requerida por ISO 27001 (Revisión 2013) con información más detallada acerca de las recomendaciones más comunes para la estructuración e implementación de los documentos y registros obligatorios que establece la norma.

Haga clic aquí para descargar la documentación técnica con la Checklist of Mandatory Documentation Required by ISO 27001 (2013 Revision). Incluye la información más detallada sobre las formas más comunes para estructurar e implementar documentos y registros obligatorios.

Si le gustó este artículo, suscríbase para recibir actualizaciones.

Amplíe su conocimiento con nuestros recursos gratuitos sobre las normas ISO 27001 / ISO 22301.

Puede darse de baja en cualquier momento.

Consulte este Aviso de Privacidad para obtener más información sobre qué datos personales recopilamos, por qué los necesitamos, qué hacemos con ellos, durante cuánto tiempo los guardamos y cuáles son sus derechos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ASESORÍA GRATUITA EN ISO 27001/22301
Dejan Kosutic
Especialista líder en ISO 27001/ISO 22301, Advisera

OBTENGA ASESORÍA GRATUITA

PRÓXIMO SEMINARIO WEB GRATUITO
Cómo utilizar el Paquete de Documentos para la implementación de ISO 27001 / ISO 22301
Jueves 24 de octubre de 2019

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM, TL y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.