Paquete Premium de documentos sobre ISO 27001 e ISO 22301

http://www.iso27001standard.com/es/servicios/Paquete-Premium-de-documentos-sobre-ISO-27001-y-BS-25999-2

Nota: Se recomienda implementar los documentos en el orden detallado aquí. El orden de

implementación de los documentos relacionados con el Anexo A está definido en el Plan de
tratamiento del riesgo. La documentación para gestión de la continuidad del negocio (Nro. 8. A.17
en el paquete) se implementa en el orden detallado aquí.

Por favor, observe que algunos documentos de este Paquete no son obligatorios; dependiendo del
tamaño y complejidad de su empresa, usted puede elegir implementarlos o no.

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio

en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

0. Procedimiento para ISO/IEC 27001 7.5

control de ISO 22301 7.5
documentos y BS 25999-2 3.4.2,
registros 3.4.3

1. Plan del proyecto

2. Procedimiento para ISO/IEC 27001 4.2 y

identificación de A.18.1.1
requisitos ISO 22301 4.2

2.1. Lista de requisitos ISO/IEC 27001 4.2 y

legales, normativos, A.18.1.1
contractuales y de ISO 22301 4.2 *
otra índole

3. Documento sobre el ISO/IEC 27001 4.3

alcance del SGSI

4. Política de Seguridad ISO/IEC 27001 5.2 y

de la Información 5.3

5. Metodología de ISO/IEC 27001

evaluación y 6.1.2, 6.1.3, 8.2, y
tratamiento de 8.3
riesgos ISO 22301 8.2.1,
8.2.3
BS 25999-2 4.1.2.1

ver 3.1, 2014-01-28 Página 1 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

5.1. Apéndice 1: Cuadro ISO/IEC 27001 6.1.2

de evaluación de y 8.2
riesgos ISO 22301 8.2.3
BS 25999-2 4.1.2

5.2. Apéndice 2: Cuadro ISO/IEC 27001 6.1.3

de tratamiento de y 8.3
riesgos ISO 22301 8.3.3
BS 25999-2 4.1.3.1

5.3. Apéndice 3: Informe ISO/IEC 27001 8.2 y

sobre evaluación y 8.3
tratamiento de
riesgos

6. Declaración de ISO/IEC 27001 6.1.3

aplicabilidad d)

7. Plan de tratamiento ISO/IEC 27001

del riesgo 6.1.3, 6.2 y 8.3

8. (Anexo A: controles)

8. Política Trae tu ISO/IEC 27001

A.6 propio dispositivo A.6.2.1, A.6.2.2,
(BYOD) A.13.2.1

8. Política sobre ISO/IEC 27001 A.6.2

A.6 dispositivos móviles y A.11.2.6
tele-trabajo

8. Declaración de ISO/IEC 27001

A.7 confidencialidad A.7.1.2, A.13.2.4, *
A.15.1.2

8. Declaración de ISO/IEC 27001

A.7 aceptación de los A.7.1.2 *
documentos del SGSI

8. Inventario de activos ISO/IEC 27001

A.8 A.8.1.1, A.8.1.2 *

ver 3.1, 2014-01-28 Página 2 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

8. Política de Uso ISO/IEC 27001

A.8 aceptable A.6.2.1, A.6.2.2,
A.8.1.2, A.8.1.3,
A.8.1.4, A.9.3.1,
A.11.2.5, A.11.2.6, *
A.11.2.8, A.11.2.9,
A.12.2.1, A.12.3.1,
A.12.5.1, A.12.6.2,
A.13.2.3, A.18.1.2

8. Política de ISO/IEC 27001

A.8 clasificación de la A.8.2.1, A.8.2.2,
información A.8.2.3, A.8.3.1,
A.8.3.3, A.9.4.1,
A.13.2.3

8. Política de control de ISO/IEC 27001

A.9 acceso A.9.1.1, A.9.1.2,
A.9.2.1, A.9.2.2,
A.9.2.3, A.9.2.4, *
A.9.2.5, A.9.2.6,
A.9.3.1, A.9.4.1,
A.9.4.3

8. Política de claves ISO/IEC 27001

A.9 (puede ser A.9.2.1, A.9.2.2,
implementada como A.9.2.4, A.9.3.1,
parte de la Política de A.9.4.3
control de acceso)

8. Política del uso de ISO/IEC 27001

A.10 controles A.10.1.1, A.10.1.2,
criptográficos A.18.1.5

8. Política de pantalla y ISO/IEC 27001

A.11 escritorio limpio A.11.2.8, A.11.2.9
(puede ser
implementado como
parte de la Política de
uso aceptable)

ver 3.1, 2014-01-28 Página 3 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

8. Política de ISO/IEC 27001

A.11 eliminación y A.8.3.2, A.11.2.7
destrucción (puede
ser implementado
como parte de los
Procedimientos
operativos para TIC)

8. Procedimiento para ISO/IEC 27001

A.11 trabajo en áreas A.11.1.5
seguras

8. Procedimientos ISO/IEC 27001

A.12 operativos para A.8.3.2, A.11.2.7,
tecnología de la A.12.1.1, A.12.1.2,
información y de la A.12.3.1, A.12.4.1, *
comunicación A.12.4.3, A.13.1.1,
A.13.1.2, A.13.2.1,
A.13.2.2, A.14.2.4

8. Política de gestión de ISO/IEC 27001

A.12 cambios (puede ser A.12.1.2, A.14.2.4
implementado como
parte de los
Procedimientos
operativos para TIC)

8. Política de copias de ISO/IEC 27001

A.12 seguridad (puede ser A.12.3.1
implementado como
parte de los
Procedimientos
operativos para TIC)

ver 3.1, 2014-01-28 Página 4 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

8. Política de ISO/IEC 27001

A.13 transferencia de la A.13.2.1, A.13.2.2
información (puede
ser implementado
como parte de los
Procedimientos
operativos para TIC)

8. Política de desarrollo ISO/IEC A.14.1.2,

A.14 seguro A.14.1.3, A.14.2.1,
A.14.2.2, A.14.2.5,
A.14.2.6, A.14.2.7, *
A.14.2.8, A.14.2.9,
A.14.3.1

8. Especificaciones de ISO/IEC 27001

A.14 requisitos de los A.14.1.1
sistemas de *
información

8. Política de seguridad ISO/IEC 27001

A.15 para proveedores A.7.1.1, A.7.1.2,
A.7.2.2, A.8.1.4,
A.14.2.7, A.15.1.1,
A.15.1.2, A.15.1.3,
A.15.2.1, A.15.2.2

8. Apéndice: Cláusulas ISO/IEC 27001

A.15 de seguridad para A.7.1.2, A.14.2.7, *
proveedores y socios A.15.1.2, A.15.1.3

8. Procedimiento para ISO/IEC 27001

A.16 gestión de incidentes A.7.2.3, A.16.1.1,
A.6.1.2, A.16.1.3, *
A.16.1.4, A.16.1.5,
A.16.1.6, A.16.1.7

8. Apéndice 2: Registro ISO/IEC 27001

A.16 de incidentes A.16.1.6

ver 3.1, 2014-01-28 Página 5 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

8. Política de la ISO 22301 4.1, 4.3,

A.17 Continuidad del 5.3, 6.2, 9.1.1
1. Negocio BS 25999-2 3.2.1,
3.2.2, 3.2.3
ISO/IEC 27001
A.17.1.1

8. Metodología para el ISO 22301 8.2.1,

A.17 análisis del impacto 8.2.2
2. en el negocio BS 25999-2 4.1.1
ISO/IEC 27001
A.17.1.1

8. Cuestionario sobre el ISO 22301 8.2.1,

A.17 análisis del impacto 8.2.2
2.1. en el negocio BS 25999-2 4.1.1
ISO/IEC 27001
A.17.1.1

8. Estrategia de ISO 22301 8.3, 8.4.2

A.17 continuidad del BS 25999-2 4.2
3. negocio ISO/IEC 27001
A.17.1.1, A.17.2.1

8. Apéndice 1: Lista de ISO 22301 8.2.2

A.17 actividades BS 25999-2 4.1.1.2
3.1. ISO/IEC 27001
A.17.1.1

8. Apéndice 2: ISO 22301 8.2.2

A.17 Prioridades de BS 25999-2 4.1.1.2
3.2. recuperación para las ISO/IEC 27001
actividades A.17.1.1

8. Apéndice 3: ISO 22301 8.2.2

A.17 Objetivos de tiempo BS 25999-2 4.1.1.2
3.3. de recuperación para ISO/IEC 27001
actividades A.17.1.1

ver 3.1, 2014-01-28 Página 6 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

8. Apéndice 4: Ejemplos ISO 22301 8.5

A.17 de escenarios de BS 25999-2 4.1.2.2
3.4. incidentes ISO/IEC 27001
disruptivos A.17.1.1

8. Apéndice 5: Plan de ISO 22301 6.2

A.17 preparación para BS 25999-2 3.2.3.1
3.5. Continuidad del
negocio

8. Apéndice 6: ISO 22301 8.3

A.17 Estrategia de BS 25999-2 4.2
3.6. recuperación de ISO/IEC 27001
actividades A.17.1.1, A.17.2.1

8. Plan de continuidad ISO 22301 8.4

A.17 del negocio BS 25999-2 4.3
4. ISO/IEC 27001
A.17.1.2

8. Apéndice 1: Plan de ISO 22301 8.4.3,

A.17 respuesta a los 8.4.4
4.1. incidentes BS 25999-2 4.3.2
ISO/IEC 27001
A.17.1.2

8. Apéndice 2: Registro ISO 22301 8.4.3

A.17 de incidentes BS 25999-2 4.3.2
4.2. ISO/IEC 27001
A.17.1.2

8. Apéndice 3: Lista de ISO 22301 8.4.4

A.17 ubicaciones para BS 25999-2 4.3.3
4.3. continuidad del ISO/IEC 27001
negocio A.17.1.2

8. Apéndice 4: Plan de ISO 22301 8.3.2

A.17 transporte BS 25999-2 4.3.3
4.4. ISO/IEC 27001
A.17.1.2

ver 3.1, 2014-01-28 Página 7 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

8. Apéndice 5: ISO 22301 8.4.3

A.17 Contactos clave BS 25999-2 4.3.3
4.5. ISO/IEC 27001
A.17.1.2

8. Apéndice 6: Plan de ISO 22301 8.4.5

A.17 recuperación de BS 25999-2 4.3.3
4.6. actividades ISO/IEC 27001
A.17.1.2

8. Plan de prueba y ISO 22301 8.5

A.17 verificación BS 25999-2 4.4.2
5.1. ISO/IEC 27001
A.17.1.3

8. Apéndice: Formulario ISO 22301 8.5

A.17 - Informe de prueba y BS 25999-2 4.4.2.2
5.2. verificación ISO/IEC 27001
A.17.1.3

8. Plan de ISO 22301 9.1.2

A.17 mantenimiento y BS 25999-2 4.4.3
5.3. revisión del SGCN ISO/IEC 27001
A.17.1.3

8. Formulario de ISO 22301 9.1.2

A.17 revisión BS 25999-2 4.4.3.4
5.4. postincidente ISO/IEC 27001
A.17.1.3, A.16.1.6

9. Plan de capacitación ISO 22301 7.2, 7.3

y concienciación BS 25999-2 3.2.4,
3.3
ISO/IEC 27001 7.2,
7.3

10. Procedimiento para ISO/IEC 27001

auditoría interna punto 9.2
ISO 22301 9.2
BS 25999-2 5.1

ver 3.1, 2014-01-28 Página 8 de 9

Número Nombre del Puntos importantes Obligatorio Obligatorio Obligatorio
en el documento de la norma según ISO según ISO según BS
paquete 27001 22301 25999-2

10.1. Apéndice 1: ISO/IEC 27001

Programa anual de punto 9.2
auditoría interna ISO 22301 9.2
BS 25999-2 5.1

10.2. Apéndice 2: Informe ISO/IEC 27001

de auditoría interna punto 9.2
ISO 22301 9.2
BS 25999-2 5.1

10.3. Apéndice 3: Lista de ISO/IEC 27001

apoyo de auditoría punto 9.2
interna ISO 22301 punto
9.2

11. Minutas de Revisión ISO/IEC 27001

por parte de la punto 9.3
dirección ISO 22301 9.3
BS 25999-2 5.2

12. Procedimiento para ISO/IEC 27001

medidas correctivas punto 10.1
ISO 22301 10.1
BS 25999-2 6.1

12.1. Apéndice: Formulario ISO/IEC 27001

para medidas punto 10.1
correctivas ISO 22301 10.1
BS 25999-2 6.1

*Los documentos detallados solamente son obligatorios si los controles correspondientes están
señalado como aplicables en la Declaración de aplicabilidad.

Para aprender a completar estos documentos consulte:

1) Nuestra serie de tutoriales en vídeo http://www.iso27001standard.com/video-tutorials

2) Nuestra serie de Webinar http://www.iso27001standard.com/webinars

ver 3.1, 2014-01-28 Página 9 de 9