Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Obligatoriedad de Documentación en ISO 27.001
Obligatoriedad de Documentación en ISO 27.001
1
Contenido
2
I. Documentos y Registros Requeridos
El listado de documentos que a continuación se describen son los requeridos por la Norma ISO
27.001:2013, los cuales están establecidos de manera explícita como información
documentada.
Documento Clausula
Alcance del SGSI 4.3
Política de Seguridad de la Información 5.2
Proceso de Evaluación de Riesgos 6.1.2
Proceso de Tratamiento de Riesgos 6.1.3
Declaración de Aplicabilidad 6.1.3
Objetivos de Seguridad 6.2
Registro Clausula
Evidencia de competencia desarrollada 7.2
Resultados del Tratamiento de Riesgo 8.3
Resultados del Monitoreo y Revisión 9.1
Programa de Auditoría Interna 9.2
Resultados de la Auditoría Interna 9.2
Resultados de la Revisión de la Dirección 9.3
Resultados de acciones correctivas 10.1
3
II. Documentos no obligatorios
Conforme a la naturaleza del SGSI existe una serie de documentos establecidos de manera no
implícita en la norma y en el anexo A, los cuales es muy recomendable que estén
documentados, pero no son obligatorios.
Documento Clausula
Análisis del Contexto Interno y Externo 4.1
Requisitos de las partes interesadas 4.2
Definición de roles y responsabilidades 5.3, A.6.1.1
Asignación de roles y responsabilidades A.6.1.1, A.7.1.2, A.13.2.4
Procedimiento de Comunicaciones 7.4
Procedimiento de Gestión Documental 7.5
Maestro de documentos 7.5
Procedimiento de Auditoría Interna 9.2
Procedimiento para Acciones Correctivas 10.1
Inventario de activos A.8.1.1
Procedimiento de uso aceptable de activos A.8.1.3
Política de control de accesos A.9.1.1
Procedimiento de Gestión de Incidentes A.16.1.1
Procedimiento de Continuidad del Negocio A.17.1.2
Requisitos legales, regulatorios y contractuales A.18.1.1
4
B. Documentos no obligatorios – Recomendables
Documento Clausula
Política de Dispositivos Móviles (BYOD) A.6.2.1
Política de Teletrabajo A.6.2.2
Política de clasificación de información A.8.2
Política de eliminación de información A.8.3.2
Procedimiento de gestión de accesos A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
Procedimiento para trabajo en áreas seguras A.11.1.5
Política de escritorio y pantalla limpios A.11.2.9
Procedimientos operativos de gestión de TI A.12.1.1
Política de gestión del cambio A.12.1.2, A.14.2.4
Política de respaldos A.12.3.1
Log de actividad de usuarios, excepciones y eventos A.12.4.1, A.12.4.3
Política de transferencia de información A.13.2.1
Política de desarrollo seguro A.14.2.5
Política de seguridad con proveedores A.15.1.1
Continuidad de la seguridad de la información A.17.1
Política de Protección de Datos Personales A.18.1.4