Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Obligatoriedad de Documentación en ISO 27.001

    Cargado por

    Siltech Hard & Soft
    9 vistas5 páginas

    Título original

    Obligatoriedad de Documentación en ISO 27.001 (1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    9 vistas5 páginas

    Obligatoriedad de Documentación en ISO 27.001

    Cargado por

    Siltech Hard & Soft

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    AMENAZAS Y

    Obligatoriedad de Documentos en ISO 27.001


    VULNERABILIDADES

    1
    Contenido

    I. Documentos y Registros Requeridos .................................................................................................. 3


    II. Documentos no obligatorios .................................................................................................................. 4
    A. Documentos no obligatorios – Muy Recomendables Generales .......................................... 4
    B. Documentos no obligatorios – Recomendables .......................................................................... 5

    2
    I. Documentos y Registros Requeridos

    El listado de documentos que a continuación se describen son los requeridos por la Norma ISO
    27.001:2013, los cuales están establecidos de manera explícita como información
    documentada.

    Documento Clausula
    Alcance del SGSI 4.3
    Política de Seguridad de la Información 5.2
    Proceso de Evaluación de Riesgos 6.1.2
    Proceso de Tratamiento de Riesgos 6.1.3
    Declaración de Aplicabilidad 6.1.3
    Objetivos de Seguridad 6.2

    Registro Clausula
    Evidencia de competencia desarrollada 7.2
    Resultados del Tratamiento de Riesgo 8.3
    Resultados del Monitoreo y Revisión 9.1
    Programa de Auditoría Interna 9.2
    Resultados de la Auditoría Interna 9.2
    Resultados de la Revisión de la Dirección 9.3
    Resultados de acciones correctivas 10.1

    3
    II. Documentos no obligatorios

    Conforme a la naturaleza del SGSI existe una serie de documentos establecidos de manera no
    implícita en la norma y en el anexo A, los cuales es muy recomendable que estén
    documentados, pero no son obligatorios.

    Es importante enfatizar que los controles establecidos en el anexo A de la ISO 27.001


    (descritos en detalle en la norma ISO 27.002) pueden ser excluidos sin la organización en base
    a su evaluación y tratamiento de riesgos determina que no es necesaria la implementación del
    control, la cual deberá además justificar en la Declaración de Aplicabilidad de Controles (SoA).

    A. Documentos no obligatorios – Muy Recomendables Generales

    Información documentada que se hace muy recomendable su implementación para alcanzar


    los objetivos del SGIS, que contribuyen en su eficiencia y eficacia del SGSI y que no dependen
    casi de la naturaleza de la organización ni del alcance del SGSI establecido.

    Documento Clausula
    Análisis del Contexto Interno y Externo 4.1
    Requisitos de las partes interesadas 4.2
    Definición de roles y responsabilidades 5.3, A.6.1.1
    Asignación de roles y responsabilidades A.6.1.1, A.7.1.2, A.13.2.4
    Procedimiento de Comunicaciones 7.4
    Procedimiento de Gestión Documental 7.5
    Maestro de documentos 7.5
    Procedimiento de Auditoría Interna 9.2
    Procedimiento para Acciones Correctivas 10.1
    Inventario de activos A.8.1.1
    Procedimiento de uso aceptable de activos A.8.1.3
    Política de control de accesos A.9.1.1
    Procedimiento de Gestión de Incidentes A.16.1.1
    Procedimiento de Continuidad del Negocio A.17.1.2
    Requisitos legales, regulatorios y contractuales A.18.1.1

    4
    B. Documentos no obligatorios – Recomendables

    Información documentada establecida en el anexo A de la norma ISO 27.001 y/o en el detalle


    de controles establecido en la ISO 27.002, los cuales dependiendo de la naturaleza de la
    organización, el alcance del SGSI, los activos de información y el contexto de riesgo pueden
    ser muy recomendable su implementación.

    A modo de ejemplo, una organización si no posee proveedores críticos probablemente excluya


    los controles relacionados en su Declaración de Aplicabilidad de Controles (SoA), dado que
    sus riesgos deberían ser mínimos. Distinto en el caso de una organización que externaliza
    muchas de funciones u operaciones criticas de TI, donde este tipo de controles es crítico.
    Similar es el caso a los controles relacionados al uso de dispositivos móviles, desarrollo de
    software, seguridad en la red, entre otros, tienden a ser documentados dependiendo el
    contexto.

    Documento Clausula
    Política de Dispositivos Móviles (BYOD) A.6.2.1
    Política de Teletrabajo A.6.2.2
    Política de clasificación de información A.8.2
    Política de eliminación de información A.8.3.2
    Procedimiento de gestión de accesos A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
    Procedimiento para trabajo en áreas seguras A.11.1.5
    Política de escritorio y pantalla limpios A.11.2.9
    Procedimientos operativos de gestión de TI A.12.1.1
    Política de gestión del cambio A.12.1.2, A.14.2.4
    Política de respaldos A.12.3.1
    Log de actividad de usuarios, excepciones y eventos A.12.4.1, A.12.4.3
    Política de transferencia de información A.13.2.1
    Política de desarrollo seguro A.14.2.5
    Política de seguridad con proveedores A.15.1.1
    Continuidad de la seguridad de la información A.17.1
    Política de Protección de Datos Personales A.18.1.4

    También podría gustarte