ISO TR - 18128 Normas para Formacion

informe UNE-ISO/TR 18128 IN
UNE
Septiembre 2014
Versión corregida, Octubre 2014
N
TÍTl lLO Información y documentación
IÓ
Apreciación del riesgo en procesos y sistemas de gestión
AC
documental
M
R
FO
A
R
lnformation and documentation. Risk assessment for records processes and systems.
lnformation et documentation. Evaluation du risque pour les processus et syst~mes d'enregistrement.

PA
Este informe es idéntico al Informe Técnico ISOffR 18128:2014.

AR
PL
OBSERVACIONES
EM
EJ
ANTECEDENTES Este informe ha sido elaborado por el comité técnico AEN/CTN 50 Documentación
cuya Secretaría desempeña FESABID.
Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 30351 :2014
Asociación Espailola de
AE NOR Normalización y Certificac16n
46 Páginas
©AENOR2014 Génova,6 info@aenor.es Tel.: 902 102 201

'DPnrl'V'f11rr iñn nrnhihili!ti ?SU\(\.d. M A n11m_J=4'~n~ih www ~PnnrPc
C.,,v • 01'l 1nA n'2...,
AENOR -3- ISOffR 18128:2014
Índice
Prólogo ...................................................................................................................................................... 4
O Introducción ............................................................................................................................ 5
N
1 Objeto y campo de aplicación ..............................•................................................................. 6
IÓ
2 Normas para consulta ............................................................................................................ 7
3 Términos y definiciones .......................................................................................................... 7
AC
3.1 Términos específicos de riesgo ............................................................................................... 7
3.2 Términos específicos de documentos ..................................................................................... 8
M
4 Criterios de apreciación del riesgo para la organización .................................................... 8
4.1 Apreciación del riesgo ............................................................................................................ 8
R
4.2 Criterios de riesgo ................................................................................................................... 8
4.3 Asignación de la prioridad ..................................................................................................... 9
5
5.1
FO
Identificación del riesgo ......................................................................................................... 9
Generalidades ......................................................................................................................... 9
5.2 Contexto: factores externos ................................................................................................. 10
5.3 Contexto: factores internos .................................................................................................. 12
A
5.4 Sistemas de gestión documental .......................................................................................... 14
R
5.5 Procesos documentales ......................................................................................................... 17

PA
6 Análisis de los riesgos identificados ..................................................................................... 19

6.1 Generalidades ....................................................................................................................... 19
6.2 Análisis y estimación de probabilidad ................................................................................ 19
7 Evaluación de los riesgos ...................................................................................................... 22

AR
7 .1 Generalidades ....................................................................................................................... 22
7.2 Evaluación del impacto de los eventos adversos ................................................................ 23
7.3 Evaluación del riesgo ............................................................................................................ 23
PL
8 Comunicación de los riesgos identificados .......................................................................... 25

EM
Anexo A (Informativo) Ejemplo de una entrada en un registro de riesgos ................................. 26
Anexo B (Informativo) Ejemplo: listas de comprobación para identificar áreas de

incertidumbre ........................................................................................... 27
EJ
Anexo C (Informativo) Guía para usar los controles del anexo A de la Norma
ISO/IEC 27001 .......................................................................................... 35
Bibliografía............................................................................................................................................. 46
O Introducción
Todas las organizaciones identifican y gestionan los riesgos relacionados con un funcionamiento exitoso. Identificar y
gestionar los riesgos relacionados con los procesos y sistemas de gestión documental es responsabilidad del profesional
de la gestión de documentos en cada organización.
Este Informe técnico está dirigido a ayudar a los profesionales de la gestión de documentos y a las personas que tienen
N
responsabilidad sobre los documentos en sus organizaciones a apreciar los riesgos relacionados con los procesos y
sistemas de gestión documental.
IÓ
NOTA Sistema de gestión documental significa cualquier aplicación de negocio que cree o almacene documentos.
AC
Esta tarea es distinta de la tarea de identificar y apreciar los riesgos de la organización ante los cuales una de las
respuestas estratégicas es la creación y gestión de los documentos adecuados. Las decisiones de crear o no crear
documentos en respuesta al riesgo general del negocio son decisiones de la organización que deberían basarse en el
análisis de los requisitos de gestión documental llevado a cabo por los profesionales de la gestión de documentos
M
conjuntamente con los responsables de negocio. La premisa de la que parte este informe técnico es que la organización
ha creado documentos de sus actividades para cumplir con los requisitos operacionales u otros propósitos y que ha
R
establecido un mecanismo mínimo para la gestión y control sistemáticos de los mismos.
FO
La consecuencia de los riesgos relacionados con los procesos y sistemas de gestión documental es la pérdida o daño de
los documentos, que por lo tanto dejan de ser usables, fiables, auténticos y completos o inalterados, no sirviendo para
los propósitos de la organización.
A
Este informe técnico proporciona directrices y ejemplos basados en el proceso general de gestión del riesgo establecido
R
en la Norma ISO 31000 (véase la figura 1) aplicados a los riesgos relacionados con los procesos y sistemas de gestión
documental. Cubre:
PA
a) la identificación del riesgo;
b) el análisis del riesgo; y

AR
c) la evaluación del riesgo.
El resultado del análisis del riesgo relacionado con los procesos y sistemas de gestión documental debería incorporarse
PL
al marco general de la gestión del riesgo de la organización. Como resultado la organización tendrá un mejor control de
sus documentos, de su calidad y de su uso para los propósitos de la organización.
EM
El capítulo 5, identificación del riesgo, proporciona una lista detallada de las áreas de incertidumbre relacionadas con
los procesos y sistemas de gestión documental que sirve como una guía para la identificación del riesgo.
El capítulo 6, análisis del riesgo, proporciona directrices para determinar las consecuencias y las probabilidades de los
EJ
riesgos identificados, teniendo en cuenta la presencia (o no) y la efectividad de cualquier control existente.
El capítulo 7, evaluación del riesgo, proporciona directrices para determinar el nivel y el tipo de riesgos identificados.
El informe no abarca el tratamiento del riesgo. Una vez que se ha completado la apreciación de los riesgos relacionados
con los procesos y sistemas de gestión documental, los riesgos se documentan y comunican a la sección de la
organización que los gestione. La respuesta ante los riesgos apreciados se acomete como parte del programa global de
gestión del riesgo. La prioridad asignada por el profesional de la gestión de documentos al riesgo apreciado debería
sustentar las decisiones de la organización sobre cómo gestionar esos riesgos.
ISOffR 18128:2014 -6- AENOR
--J Establecimiento del contexto (5.3) :
Apreciación d ~I riesgo (5.4)
N
1 Identificación del riesgo (5.4.2) 1
IÓ
~
1 1
AC
Comunicación Seguimiento
y 1 y
Análisis del riesgo (5.4.3) 1 revisión
M
consulta 1 1 1
(5.2) (5.6)
R
1 Evaluación del riesgo (5.4.4)
1 FO 1
1
A
1 Tratamiento del riesgo (5.5) 1
r
R
1
PA
Figura 1 - Proceso de gestión del riesgo

AR
NOTA La figura l viene de la Norma ISO 31000:2009. La numeración se refiere al texto de la Norma ISO 31000.
PL
1 Objeto y campo de aplicación

Este informe técnico está dirigido a asistir a las organizaciones en la apreciación de los riesgos relacionados con los
EM
sistemas y procesos de gestión documental, de manera que se pueda asegurar que los documentos continúan
satisfaciendo las necesidades de la organización durante todo el tiempo que sea requerido.
EJ
El informe:
a) establece un método de análisis para identificar los riesgos relacionados con los procesos y sistemas de gestión
documental;
b) proporciona un método de análisis de los potenciales efectos de eventos adversos sobre los procesos y sistemas de
gestión documental;
c) proporciona directrices para conducir la apreciación de los riesgos relacionados con los procesos y sistemas de
gestión documental;
d) proporciona directrices para documentar los riesgos apreciados en preparación para la mitigación.
Este informe técnico no trata de los riesgos generales relacionados con las operaciones de la organización que pueden
ser mitigados creando documentos.
Este informe técnico puede ser utilizado por todas las organizaciones sin importar su tamaño, la naturaleza de sus
actividades o la complejidad de sus funciones y estructura. Estos factores, y el entorno regulatorio de la organización
que prescribe la creación y control de sus documentos, se tienen en cuenta cuando se identifican y aprecian los riesgos
relacionados con los procesos y sistemas de gestión documental.
Para definir una organización o identificar sus límites se deberían tener en cuenta las estructuras complejas y los
arreglos contractuales para servicios extemalizados y cadenas de suministro que son comunes tanto en las
N
administraciones como en las empresas contemporáneas. La identificación de los límites de la organización es el paso
inicial en la definición del alcance de un proyecto de apreciación del riesgo relacionado con la gestión documental.
IÓ
Este informe técnico no trata directamente la mitigación del riesgo ya que los métodos pueden variar de unas
organizaciones a otras.
AC
Este informe técnico puede usarse por los profesionales de la gestión de documentos o las personas que tienen la
responsabilidad sobre los documentos en la organización y por lo auditores y gestores que tiene la responsabilidad de
M
los programas de gestión de riesgos.
R
2 Normas para consulta
FO
Los documentos que se citan a continuación son indispensables para la aplicación de esta norma. Únicamente es
aplicable la edición de aquellos documentos que aparecen con fecha de publicación. Por el contrario, se aplicará la
última edición (incluyendo cualquier modificación que existiera) de aquellos documentos que se encuentran
referenciados sin fecha.
A
R
ISO 30300:2011, Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario.
PA
Guía ISO 73:2009, Gestión del riesgo. Vocabulario.
3 Términos y definiciones
AR
Para los fines de este documento, se aplican los términos y definiciones incluidos en la Norma ISO 30300 y la Guía
ISO 73 además de los siguientes:
PL
3.1 Términos específicos de riesgo

EM
3.1.1 riesgo:
Efecto de incertidumbre.
NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.

EJ
NOTA 2 La incenidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso,
de sus consecuencias o de su probabilidad.
NOTA 3 Con frecuencia el riesgo se caracteriza por referencia a sucesos potenciales (Guía ISO 73:2009, 3.5.1.3) y a sus consecuencias
(Guía ISO 73:2009, 3.6. 1.3), o a una combinación de ambos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las
circunstancias) y de su probabilidad (Guía ISO 73, 3.6.1 . I)
[FUENTE: Guía ISO 73:2009, Definición 1.1)

ISO/TR 18128:2014 -8- AENOR
3.2 Términos específicos de documentos
3.2.1 sistema de gestión documental:

Sistema de información que captura. gestiona y facilita el acceso a los documentos a lo largo del tiempo.
NOTA Esto puede incluir aplicaciones o sistemas de negocio que crean y mantienen documentos.
N
NOTA NACIONAL En la traducción nacional de la UNE-ISO 30300 se utiliza la expresión "aplicación de gestión documentar· para este mismo
témlino. No confundir con "sistema de gestión para los documentos" que está en el título de la serie ISO 30300.
IÓ
[FUENTE: ISO 30300:201 L definición 3.4.4]
AC
3.2.2 procesos de gestión documental:
Conjunto de actividades de la organización que crean. controlan, conservan y eliminan documentos.
M
4 Criterios de apreciación del riesgo para la organización
R
4.1 Apreciación del riesgo
FO
La apreciación del riesgo relacionado con los sistemas y procesos de gestión documental se debería incluir. cuando
exista, en el proceso general de gestión del riesgo de la organización. En este caso, los profesionales de la gestión de
documentos deberían tener en cuenta el contexto interno y externo de la organización. así como el contexto del propio
A
proceso de gestión del riesgo. incluyendo:
R
a) Roles y responsabilidades: se debería especificar el rol de los profesionales de la gestión de documentos en la

apreciación de los riesgos relacionados con los procesos y sistemas de gestión documental.
PA
b) Alcance y amplitud de las actividades de apreciación del riesgo: para evitar redundancia y conflictos y para facilitar
un enfoque integral de la gestión del riesgo que incluya la gestión de documentos. se deberían hacer explícitas las
relaciones con otras áreas de apreciación del riesgo. como la seguridad de la información.
AR
c) Metodología: se debería aplicar la metodología normalizada de apreciación del riesgo utilizando las herramientas de
apreciación del riesgo y reportando a la persona o área designada.
dJ Criterios de riesgo: cuando se hayan establecido criterios de riesgo generales para la organización se deberían usar
PL
para apreciar los riesgos relacionados con los procesos y sistemas de gestión documental.
Cuando la organización no haya establecido un proceso general de gestión del riesgo. los profesionales de gestión de
EM
documentos necesitan establecer los criterios de riesgo que se aplicarán para los procesos y sistemas de gestión
documental al comienzo del proceso de apreciación del riesgo.
EJ
4.2 Criterios de riesgo

Los criterios deberían derivarse de los requisitos legales de la jurisdicción donde se encuentra la organización y
deherían incluir:
a) la naturaleza y los tipos de consecuencias que se pueden producir. y como se medirán:
b) la forma en que se expresa la probabilidad;
c) cómo se determinará el nivel de riesgo:
d) el criterio por el cual se decide cuándo un riesgo necesita tratamiento:
e) el criterio por el que se decide cuándo un riesgo es aceptable o tolerable: y
f) cuándo y cómo se tendrán en cuenta combinaciones de riesgos.

Con respecto a la naturaleza y tipos de consecuencias a incluir en la apreciación del riesgo relacionado con procesos y
sistemas de gestión documental, hay un punto de partida general que se aplica a todas las organizaciones. Los
documentos que son auténticos, fiables, íntegros y usables durante todo el tiempo que se requieren soportan las
necesidades de la organización. Los riesgos se identifican basándose en su potencial para socavar estas características
generales de los documentos haciendo que no satisfagan los propósitos para los que fueron creados.
Para información sobre la probabilidad y la frecuencia de sucesos en la apreciación del riesgo, véase 6.2.
N
Los criterios para evaluar los riesgos, incluyendo los criterios por los cuales se decidirá cuándo un riesgo es aceptable o
IÓ
necesita tratamiento, incluyen el tamaño y alcance de los sistemas de gestión documental de la organización, el número
de usuarios y el uso que se hace del sistema en las operaciones de la organización.
AC
De la misma manera, los criterios para evaluar los riesgos que afectan a los procesos de gestión documental deberían
incluir la frecuencia del proceso, cuántos sistemas se usan en el mismo, y su importancia relativa en la creación o
gestión de los documentos, el seguimiento de los procesos y el potencial para revertir o remediar los potenciales efectos
M
adversos.
R
4.3 Asignación de la prioridad
FO
En general, la organización debería determinar qué documentos son los documentos principales de sus actividades y el
nivel de importancia que se les asigna. Estas son decisiones de la organización basadas en el asesoramiento, tanto de los
profesionales de la gestión de documentos, como de los gestores de negocio.
A
La prioridad asignada a los documentos individuales, sus agrupaciones, los procesos de gestión documental o los
sistemas de gestión documental específicos también se puede evaluar en relación con las respuestas a desastres mayores
R
que afectan a todas o a la mayor parte de las actividades de la organización. Por ejemplo, ciertos documentos son
PA
necesarios en el período inmediatamente posterior a un desastre natural, como las direcciones de los contactos de
seguridad y los números de teléfono, los documentos sobre las entradas a los edificios/instalaciones, los detalles de
contacto de los equipos de intervención, o los detalles de la política de seguros y los contactos de las aseguradoras. Otro
ejemplo, los planes de continuidad del negocio de la organización deberían identificar las funciones que se deberían
AR
restaurar en primer lugar y los documentos que son necesarios para hacerlo.
Se debería prestar una atención especial cuando una combinación de riesgos se aplica a los documentos identificados
como fundamentales para la operación.
PL
S Identificación del riesgo

EM
5.1 Generalidades
La identificación del riesgo se estructura bajo las siguientes categorías relacionadas con la creación y el control de
EJ
documentos en la organización: contexto, sistemas y procesos.
El contexto externo se refiere al entorno político, social, macroeconómico y tecnológico, así como al entorno físico; son
factores fuera del control de la organización con impacto en sus actividades y que se deberían tener en cuenta a la hora
de determinar los requisitos documentales. El contexto externo incluye a las partes interesadas externas que tengan un
interés especial en las actividades de la organización.
La organización también tiene un contexto interno, que consiste en aquellos factores internos no controlados por la
persona responsable de los procesos y sistemas de gestión documental. El contexto interno incluye factores como la
estructura o las finanzas de la organización, el despliegue de tecnología, la dotación de recursos (personas y
presupuestos) y la cultura de la organización, todo lo cual influye en las políticas y el modo en que se gestionan los
documentos.
Las potenciales acciones que generan incertidumbre pueden ser tanto externas como internas a la organización.
ISOffR 181 28:201 4 - 10 - AENOR
La incertidumbre causada por cambios en el contexto externo puede diferir según la perspectiva de los diferentes
niveles de la organización (véase la figura 2). También se reconoce que todo cambio presenta oportunidades que pueden
ser positivas.
N
IÓ
AC
M
R
FO
A
R
PA
Figura 2 - Múltiples capas de contexto de los documentos y los procesos de gestión

documental de una organización
AR
El objetivo de la identificación del riesgo es detectar lo que puede suceder o qué situaciones pueden darse que puedan
afectar a la capacidad de los documentos para satisfacer las necesidades de la organización.
PL
El proceso de identificación del riesgo incluye la detección de las causas y el origen del riesgo, las acciones, situaciones
o circunstancias que podrían tener un impacto material sobre los objetivos de la organización, así como la naturaleza de
EM
ese impacto. Hay varios métodos para la identificación del riesgo. Véase la Norma ISO 31010, anexo B, para una
comparación sobre los principales métodos.
La identificación del riesgo debería documentarse en un registro de riesgos, ya sea en un registro específico para
EJ
documentos o en el registro de riesgos de la organización. Véase el ejemplo en el anexo A.
NOTA El anexo B es un ejemplo de lista de verificación basada en la estructura del capítulo 5 de este texto, que se puede usar en una organización
para la identificación sistemática de los riesgos relacionados con los procesos y sistemas de gestión documental.
5.2 Contexto: factores externos

5.2.1 Áreas de incertidumbre: cambios en el contexto político-social
Los cambios en el entorno social y político, a nivel nacional o internacional, pueden afectar tanto a las actitudes
públicas de los gobiernos como a los comportamientos corporativos. Estos cambios pueden conllevar modificaciones
legales y normativas que tienen impacto en las operaciones de la organización y, como consecuencia, en los requisitos
de la gestión de sus documentos.
AENOR - 11 - ISOffR 18128:2014
Algunos ejemplos de cambio en entornos que afectan a los requisitos de la gestión de los documentos son los
relacionados con la seguridad nacional, el acceso a la información gubernamental o corporativa, la privacidad, los
derechos de propiedad intelectual y la información sobre responsabilidad corporativa. De modo general, ejemplos de las
áreas de incertidumbre incluyen:
a) cambios legales y normativos que afectan a los requisitos de gestión documental de la organización;
N
b) cambios en las políticas de gobierno que afectan a los documentos, sistemas y procesos de gestión documental de la
organización;
IÓ
c) nuevos estándares o prácticas recomendadas que afectan a los documentos, sistemas y procesos de gestión
documental de la organización;
AC
d) cambios en la demanda de servicios documentales;
e) cambios en las expectativas de las partes interesadas;
M
f) cambios en la reputación, o en la confianza, de la capacidad de la organización para prestar sus servicios.
R
5.2.2 Áreas de incertidumbre: entorno macroeconómico y tecnológico
FO
Los cambios en el entorno macroeconómico, el entorno de negocio e industrial, así como en la tecnología de la
información tienen un alto impacto en la competencia y en la demanda de los clientes. Los cambios pueden ser
graduales y continuos, o puntuales debido a una crisis, pero también constituyen un área de incertidumbre que puede
A
ofrecer oportunidades positivas.
R
Algunos ejemplos de las áreas de incertidumbre derivados de estos cambios macroeconómicos o de negocio incluyen:
PA
a) cambios en la propiedad y/o en los beneficios de la organización que afectan a las prioridades de gestión, incluyendo
a la gestión de los documentos;
b) cambios en los objetivos, funciones y operaciones de la organización, modificando los requisitos de la gestión
AR
documental;
c) incremento de la actividad de los organismos reguladores, que aumenta la demanda externa de documentos;
PL
d) incremento de litigios, que aumenta la necesidad de documentos;
e) introducción y adopción de nuevas tecnologías de modo transversal en la sociedad;

EM
EJEMPLOS La propagación de las tecnologías en la sociedad para uso comercial o uso de dispositivos móviles para
actividades de negocio.
EJ
f) cambios en el mercado y en los clientes de base de la organización.
Estos cambios deberán reflejarse en los cambios organizacionales que se tratan a continuación (véase 5.3.1).
5.2.3 Áreas de incertidumbre: entorno físico e infraestructura

La posibilidad de grandes desastres, naturales o provocados por el hombre, que afectan a las operaciones generales de la
organización es una gran área de incertidumbre que requiere de identificación y apreciación. El daño potencial de este
tipo de desastres incluye un impacto directo en los documentos y en su almacenamiento, y un impacto menos directo
por la pérdida de servicios básicos, como por ejemplo suministro de agua o energía, entre otros. Las áreas de
incertidumbre incluyen:
a) fenómenos destructivos o trastornos a nivel regional o local, como terremotos, huracanes o ciclones, tsunamis,
inundaciones, incendios, grandes tormentas o sequías prolongadas.
ISO/TR 18128:2014 - 12 - AENOR
h) potenciales acciones de guerra o terrorismo que causan grandes daños estructurales o interrupción del suministro a
las instalaciones o alrededores de la organización:
c) cualquier otro trastorno en relación a la energía. agua. gestión de residuos. tecnología de la información. servicios de
transporte u otras utilidades y servicios de la organización.
5.2.4 Áreas de incertidumbre: amenazas de seguridad externas
N
La identificación del riesgo debería incluir las amenazas hostiles de seguridad, con sus potenciales impactos. desde
IÓ
daños en las instalaciones o en la prestación de servicios hasta accesos no autorizados a los sistemas. incluyendo al
sistema de gestión documental. Ejemplos de amenazas de seguridad externas incluyen:
AC
a) intrusiones/accesos externos no autorizados al sistema de gestión documental así como camhios no autorizados en
los documentos:
M
b) fallos de seguridad o vulncrahilidad no identificados ni monitorizados. que conducen a la degradación de la
información:
R
EJEMPLO Espionaje o virus infom1áticos: vulnerabilidad a causa de brechas de seguridad o debilidades en un software sin
parche: s.
FO
c) intrusiones físicas dentro del archivo de documentos o del hardware de la infraestructura tecnológica:
d) interrupción o cualquier otro ataque intencionado en los servicios de Internet:

A
R
e) vandalismo físico:
PA
fJ pérdida de servicios de terceros. de los cuales depende el sistema de gestión documental.

NOTA La apreciación del riesgo es un demento integral de ta implantación de la serie de Normas ISO/ tEC 27000 para ta seguridad de la
información. En la misma se proporciona una amplia rnbc11ura de las áreas de incel1idumbre en relación con la segu1idad de la infom1ación.
AR
5.3 Contexto: factores internos

5.3.1 Áreas de incertidumbre: cambios en la organización
PL
Las decisiones de gestión que afectan a la organización. como fusiones. absorciones y otras adquisiciones. reestructu-
raciones. reducciones. externalizaciones o lo contrario, deslocalización de servicios. constituyen un área de incertí-
EM
dumhre significativa en el contexto interno de una organización. Estas decisiones afectarán a los procesos y a los
sistemas de gestión documental. por ejemplo:
a) cambio en la propiedad de los documentos y de los sistemas de gestión documenial y, consecuentemente.

EJ
transferencias y traslados de documentos a y desde la organización:
b) cambio en la propiedad de los documentos y de los sistemas de gestión documental 4ue tiene como resultado la
migración forzosa de documentos o la fusión de sistemas de gestión documental:
c) acuerdos de acceso a los sistemas de gestión documental después de transferencias y migraciones sucesivas para
mantener el derecho de acceso a los documentos:
d) herencia de la responsabilidad sobre los documentos y los sistemas de gestión documental sin la documentación
adecuada:
e) pérdida de la memoria corporativa o personal que afecte al conocimiento de los documentos y sistemas, incluyendo
el conocimiento de procedimientos para recuperarlos y utilizarlos. así como de documentos antiguos derivados de
cambios organizacionales:
AENOR - 13 - ISOffR 18128:2014
f) abandono de documentos o sistemas de gestión documental, especialmente en sistemas heredados, sobre los que no
hay responsabilidades asignadas;
g) cambio de los términos en los contratos de servicios con terceros;
h) nuevas políticas internas o modificaciones en las políticas existentes de la organización que afecten a los sistemas y
procesos de gestión documental;
N
i) políticas y procedimientos que no hayan sido revisados y actualizados y que ya no son aplicables o son
IÓ
inconsistentes o contradictorios tras cambios en la organización;
j) cambios en el personal de la organización que pueden afectar a las responsabilidades sobre los documentos;
AC
k) cambios en las políticas de personal, presupuestos y oportunidades de formación que pueden afectar a la capacidad
de los responsables de la gestión de los documentos;
M
1) plan de recuperación ante desastres no actualizado, que puede afectar a los documentos en caso de desastre.
R
5.3.2 Áreas de incertidumbre: cambio tecnológico
FO
La introducción de nuevas tecnologías y sistemas es una oportunidad para la mejora pero también puede incluir áreas de
incertidumbre con potenciales efectos adversos. Estas áreas de incertidumbre incluyen:
a) cambios tecnológicos que afectan a la interoperabilidad entre sistemas de creación y control de documentos;
A
R
b) compatibilidad con plataformas y aplicaciones existentes;

PA
c) planificación e implementación de la migración de documentos;
d) reconfiguración de responsabilidades y controles de los procesos de gestión documental;

AR
e) efectividad en la implementación de los cambios;
EJEMPLO Adecuación de la planificación y gestión de un proyecto para implementar una nueva plataforma o software.
PL
f) medida en que las políticas existentes abarcan las nuevas tecnologías adoptadas por la organización;
EJEMPLO Uso de servicios en la nube, medios de comunicación social, RFID, GPS.

EM
g) capacidad de los administradores y desarrolladores, que despliegan nuevas tecnologías, para entender las implica-
ciones de las mismas en relación con los requisitos de la gestión de documentos, tanto en fases de proyecto como de
ejecución;
EJ
EJEMPLO Uso de software colaborativo o entornos wiki para el desarrollo de proyectos IT, que no capturan adecuadamente
los documentos del proyecto ni la documentación del sistema.
h) capacidad de la infraestructura técnica existente para cumplir con los nuevos requisitos resultantes del desarrollo
tecnológico de la organización y de los sistemas de gestión documental.
5.3.3 Áreas de incertidumbre: recursos - Personas y competencias

Las organizaciones dependen de contar con personal competente para realizar sus actividades incluyendo los procesos y
sistemas de gestión documental. Las áreas de incertidumbre sobre los profesionales de gestión documental o el personal
responsable de la gestión de documentos incluyen:
a) número de personas que crean y controlan documentos y que diseñan y mantienen el sistema de gestión documental;
ISO/TR 18128:2014 - 14 - AENOR
b) conocimiento de las políticas y procesos de gestión documental:
c) compromiso de la alta dirección en dar soporte a la gestión de los documentos:
d) conocimiento de los riesgos relacionados con los procesos y sistemas de gestión documental. así como la capacidad
de la alta dirección para tomar decisiones apropiadas para su disminución:
N
e) gestión de las relaciones entre las responsabilidades administrativas sobre los sistemas de gestión documental y los
puntos de vista de los usuarios:
IÓ
f) adecuación de las capacidades del personal para la creación y el control de los documentos:
AC
g) pérdida de personal esencial con habilidades clave. conocimiento en profundidad de la organización o de su historia:
h) deterioro de los niveles de habilidad del personal:
M
i) adecuación de los medios para evaluar la eficacia o idoneidad del personal.
R
5.3.4 Áreas de incertidumbre: recursos - Económicos y materiales
FO
El contexto externo. el entorno económico y de negocio. así como el nivel de apoyo a la gestión documental en la
organización. afecta a los recursos económicos y materiales disponibles para una adecuada gestión de los procesos y
sistemas de gestión documental. Las áreas de incertidumbre incluyen:
A
a) adecuación de los recursos económicos para alcanzar los compromisos y objetivos de la gestión documental:
R
b) adecuación de los recursos económicos para la adquisición. mejora o mantenimiento de los sistemas de gestión
PA
documental.
5.4 Sistemas de gestión documental

AR
En la apreciación del riesgo relacionado con los sistemas que crean o controlan documentos se debería tener en cuenta
tanto el diseño de los sistemas de gestión documental. como los problemas de mantenimiento. sostenibilidad.
continuidad. interoperabilidad y seguridad. Los sistemas de gestión documental que usa la organización cambian a lo
PL
largo del tiempo. en consonancia con las circunstancias económicas. cambios en las actividades y el personal y cambios
de tamaño y estructura. Es fundamental que la alta dirección esté informada adecuadamente sobre el riesgo relacionado
con los sistemas de gestión documental y asuma la responsabilidad de la respuesta de la organización.
EM
NOTA 1 Las referencias a siste mas en esta sección deberían entenderse como referencias a sistemas o aplicaciones de gestión documental. tal como
se definen en el apana<lo 3.2.1.
NOTA 2 Cuando se identifican riesgos en relación con los sistemas <le gestión documental en organizaciones que han implementado los controles de
EJ
la Norma lSO/IEC 27001. los profesionales de la gestión documental deberían tener en cuenta cómo esos controles pueden mitigar el
riesgo en alguna s áreas de inccni<lumbre. En las organizaciones en que la Norma lSO/lEC 27001 no se haya implementado. estos controles
pueden utili zarse como una fuente para definir las acciones de tratamiento de los riesgos . El anexo C es una tabla que relaciona los
ejemplos de las áreas de incenidumbre relacionadas con sistemas de gestión documental con los controles de la Nomrn ISO/IEC 27001
5.4.1 Áreas de incertidumbre: diseño del sistema
La configuración y el diseño del sistema son aspectos críticos en la creación y perdurabilidad de los documentos. El
diseño interactúa con la identificación del riesgo para los procesos de gestión documental. Una adecuada
documentación de la configuración del sistema es la hase para abordar otras áreas de riesgo a nivel de sistema. pero
también para los procesos que se realizan en el sistema.
NOTA Véase el apana<lo 5.5 para procesos documentales 4ue se realizan en sistemas de gestión documental.
AENOR - 15 - ISOffR 18128:2014
Basado en la experiencia actual, la identificación de riesgos en el diseño de sistemas, especialmente en contextos

digitales, incluye:
a) definición de los documentos que el sistema crea y gestiona de forma adecuada;
EJEMPLO Todos los elementos del documento en una base de datos transaccional se identifican y gestionan, de modo que las
transacciones se pueden recuperar y recrear.
N
b) adecuada identificación de los requisitos de conservación;
IÓ
EJEMPLO Los periodos de conservación y los detonantes de las acciones de disposición están especificados en los elementos
del documento.
AC
c) identificación y documentación de todos los procesos documentales que se gestionan en el sistema;
d) efectividad del diseño del sistema de gestión documental que se adecúa al personal y la tecnología de la
M
organización;
R
e) negociación de la dependencia del soporte del proveedor;
f) acceso a la documentación del proveedor.
5.4.2 Áreas de incertidumbre: mantenimiento

FO
A
El mantenimiento del sistema de gestión documental se refiere ante todo a la plataforma tecnológica y a los aspectos
que se pueden ver afectados por cambios estructurales en la organización, por la implementación de nuevos sistemas,
R
por un cambio tecnológico, o por la competencia y fiabilidad del soporte técnico.

PA
Las áreas de incertidumbre incluyen:
a) cambios en el negocio y en los sistemas operativos que afecten a los sistemas de gestión documental;
AR
b) nivel de habilidad de los administradores del sistema y su comprensión de los requisitos de mantenimiento de los
documentos incluidos en el sistema;
PL
c) fiabilidad del proveedor del sistema y de su capacidad para mantener y conservar los sistemas tecnológicamente al
día;
EM
d) adecuación de la documentación de los procedimientos operativos de mantenimiento;
e) adecuación de la documentación técnica del sistema;

EJ
f) adecuación de los procedimientos de copia de seguridad para el sistema de gestión documental;
g) adecuación de la recuperación desde la copia de seguridad.
5.4.3 Áreas de incertidumbre: sostenibilidad y continuidad

La sostenibilidad del sistema de gestión documental depende de que la supervisión de los cambios en el contexto
interno y externo de la organización permita que el sistema esté actualizado y responda a los mismos cuando sea
necesario.
El plan de continuidad del sistema de gestión documental tiene en cuenta el plan de continuidad del negocio. En
ausencia de un plan de continuidad de negocio para la organización, los profesionales de la gestión documental evalúan
los sistemas de gestión documental para establecer prioridades y procedimientos para la restauración después de una
interrupción del servicio.
ISOrrR 18128:2014 - 16 - AENOR
a) cambios en el contexto interno y externo que afecten a los requisitos de la gestión de documentos de la
organización;
b) adecuación del control de garantía de calidad para identificar cambios en los requisitos de gestión documental;
N
c) adecuación de la evaluación del coste actual de la implementación y el mantenimiento de los sistemas de gestión
documental, incluyendo los recursos humanos;
IÓ
d) adecuación de la identificación y la documentación de los sistemas de gestión documental;
AC
e) mantenimiento y accesibilidad de las especificaciones y documentación del sistema;
f) adecuación de la documentación de las decisiones tomadas en la implementación disponible para los usuarios que la
M
necesiten;
R
g) capacidad del sistema de gestión documental para mantener la usabilidad de los documentos;
FO
h) capacidad de importar documentos heredados o de otros sistemas de gestión;
i) migración de los documentos a nuevos sistemas de gestión documental, ya sea debido a cambios en los requisitos de
la gestión documental o en la tecnología;
A
j) cambios en otros sistemas de los que el sistema de gestión documental depende;
R
k) capacidad de los sistemas basados en la nube de exportar documentos cuando se requiera y de reintegrarlos en el
PA
sistema de gestión documental de la organización;
1) adecuación del historial de eventos del sistema de gestión documental, incluyendo su conservación y la gestión de la
dependencia de otros sistemas, permitiendo que permanezca comprensible a lo largo del tiempo;
AR
EJEMPLO Mantenimiento de documentación sobre los identificadores únicos usados en el historial de eventos para los
usuarios o las unidades organizativas.
PL
m) capacidad del sistema de gestión documental de dar soporte a la continuidad del negocio proporcionando acceso a
los documentos en caso de desastre;
EM
n) plan de contingencia para las interrupciones del servicio.
5.4.4 Áreas de incertidumbre: interoperabilidad

EJ
Los sistemas de gestión documental se relacionan con, y dependen de, otros sistemas que pueden tener puntos
vulnerables.
a) adecuación de la identificación y especificación de la interoperabilidad requerida entre los sistemas de gestión

documental y otros sistemas de gestión;
b) dependencia del sistema de gestión documental de fuentes de datos externas y capacidad para intercambiar, enlazar
o referenciar los datos en estos sistemas (por ejemplo, la nube u otros servicios de almacenamiento externo);
c) compatibilidad con normas o especificaciones para el intercambio de documentos o la interoperabilidad entre

sistemas;
AENOR - 17 - ISOffR 18128:2014
d) efectividad de la interoperabilidad del sistema tras cambios o actualizaciones tecnológicas en uno, o en ambos, de
los sistemas que interoperan;
e) gestión de los metadatos relacionados con los controles documentales para mantener la usabilidad y el significado de
los documentos entre sistemas.
5.4.5 Áreas de incertidumbre: seguridad
N
La apreciación del riesgo en la seguridad de los sistemas de gestión documental puede llevarse a cabo utilizando la serie
IÓ
de Normas ISO/IEC 27000 y aplicarse como parte del sistema de gestión de seguridad de la información cuando se haya
implementado.
AC
En los anexos B, C y D de la Norma ISO/IEC 27005 se incluyen ejemplos de áreas de incertidumbre que son aplicables
a cualquier sistema de información. Las incertidumbres específicas de los sistemas de gestión documental incluyen:
a) adecuación de la política de seguridad de la organización con respecto a los documentos, procesos documentales y
M
sistemas de gestión documental;
R
b) capacidad de aplicar y proteger las normas de acceso y permisos en relación a los documentos, procesos
documentales y sistemas de gestión documental;
FO
c) políticas y controles para terceros que trabajan en nombre de la organización que afectan al almacenamiento, acceso
y control de los documentos y sistemas de gestión documental.
A
5.5 Procesos documentales
R
La identificación de riesgos se centra en la creación de los documentos (o algunos de sus elementos), en los procesos de
PA
control para gestionarlos y en los sistemas de gestión documental.
NOTA Se asume que los profesionales de la gestión de documentos utilizan como guía en el diseño de documentos y procesos documentales las
Nonnas ISO 15489, Partes 1y2, e ISO 23081, Partes t, 2 y 3.
AR
5.5.1 Áreas de incertidumbre: diseño de los documentos

Las áreas de incertidumbre en el proceso de diseño son:
PL
a) las actividades de negocio se analizan convenientemente para identificar los requisitos de gestión de documentos;
EM
b) la recogida de requisitos se hace de forma detallada para cada proceso de negocio, incluyendo las necesidades de
todas las partes interesadas;
c) idoneidad del diseño de los documentos (por ejemplo, identificación del contenido y definición de metadatos para
EJ
identificar, describir y utilizar, historial de eventos y planificación de eventos) para cumplir con los requisitos;
d) nomenclatura y clasificación adecuadas al propósito de los documentos.
5.5.2 Áreas de incertidumbre: creación de documentos e implementación de sistemas de gestión documental

Las áreas de incertidumbre en los procesos de creación e implementación son:
a) los momentos de creación y captura de todos los elementos de los documentos son apropiados {oportunos,
integrados, completos) para el proceso de negocio y el(los) sistema(s) de gestión documental;
b) efectividad de la integración de la creación de documentos y los procesos de control de los mismos con los procesos
de negocio, cuando proceda;
ISO/TR 18128:2014 - 18 - AENOR
c) las responsabilidades de los creadores de documentos y de otros agentes participantes en las operaciones (si fuesen
diferentes) están definidas y documentadas adecuadamente;
d) la asignación de responsabilidades de captura de documentos de la organización desde entornos externos cumple

con los requisitos identificados:
e) las especificaciones de metadatos están adecuadamente documentadas y mantenidas :
N
f) los procesos para gestionar y registrar el acceso a los documentos están adecuadamente documentados y
IÓ
monitorizados.
5.5.3 Áreas de incertidumbre: metadatos
AC
Las áreas de incertidumbre en los procesos de gestión de metadatos son:
a) las especificaciones técnicas de los metadatos para documentar los documentos y los procesos documentales están
M
accesibles:
R
b) la gestión de las especificaciones posibilita su actualización cuando se requiera.
5.5.4
FO
Áreas de incertidumbre: uso de los documentos y de los sistemas de gestión de documental
Las áreas de incertidumbre en el acceso y el uso de los procesos son:
a) recuperación pertinente y a tiempo en el acceso a los documentos cuando se requieren :

A
b) adecuación de la gestión de permisos de usuarios para todos los procesos documentales:
R
c) gestión de los fallos de seguridad u otros controles de acceso:

PA
d) mantenimiento de la información sobre quién ha accedido o ha modificado documentos a lo largo del tiempo:
e) adecuación de la formación del personal que usa los procesos:

AR
f) cumplimiento con los procedimientos.
5.5.4.1 Áreas de incertidumbre: mantenimiento de la usabilidad

PL
Las áreas de incertidumbre en los procesos de mantenimiento son:
a) mantenimiento del significado de los metadatos a lo largo del tiempo. en especial los que dependen de datos o
EM
enlaces de sistemas externos:
b) adecuación de los procesos documentales para preservar la autenticidad y fiabilidad de los documentos a lo largo del
tiempo:
EJ
c) mantenimiento de la accesibilidad de los documentos a lo largo del tiempo:
d) gestión de la utilización de la cncriptación de documentos para las transmisiones:
e) adecuación de la gestión de versiones de los documentos a lo largo del tiempo:
t) adecuación de la retención del historial de eventos de los documentos. para mantener su significado a lo largo del
tiempo:
g) aspectos de ohsolescencia de software (incluyendo los camhios de formato) y hardware relacionados tanto con los
procesos documentales como con los sistemas de gestión documental.
EJEMPLO Las versiones antiguas de documentos digitales pueden no ser accesibles a través de las d istintas versiones de las
aplicaciones.
AENOR - 19 - ISOffR 18128:2014
5.5.5 Áreas de incertidumbre: disposición de documentos

Las áreas de incertidumbre en los procesos de disposición son:
a) disposición de los documentos implementada tal y como ha sido diseñada y autorizada;
b) procedimientos de disposición que incluyen la conservación más allá del periodo de retención cuando se requiere;
N
EJEMPLO Documentos requeridos para procedimientos legales o solicitados bajo las leyes de "Libertad de Información" pasada
IÓ
su fecha de disposición.
c) la implementación de la disposición está documentada;
AC
d) la destrucción está apropiadamente autorizada y documentada;
e) se han iniciado pruebas de recuperación forense del hardware y/o dispositivos de almacenamiento descartados.
M
EJEMPLO Adecuación del reformateado de los discos duros de los ordenadores y las impresoras, o dispositivos de
R
almacenamiento, así como USB de memoria, para la eliminación de todos los documentos.
6 Análisis de los riesgos identificados

FO
6.1 Generalidades
A
Los riesgos se analizan para determinar sus consecuencias potenciales y la probabilidad de que ocurran.
R
En el caso de los procesos y sistemas de gestión documental, las consecuencias se identifican de acuerdo a las áreas de
PA
incertidumbre y el escalado de acuerdo al criterio establecido para la organización tal y como se especifica en el
capítulo 4.
Asimismo deberían tenerse en cuenta los controles existentes y su efectividad y eficiencia.

AR
6.2 Análisis y estimación de probabilidad

PL
La probabilidad (o frecuencia) es la posibilidad de que un evento de riesgo ocurra. La probabilidad de que los riesgos
identificados ocurran es analizada de acuerdo a la naturaleza del área de incertidumbre y los datos disponibles a lo largo
de un periodo de tiempo suficiente para una estimación creíble.
EM
Cada riesgo tiene que ser evaluado con respecto a la combinación de la probabilidad de que algo ocurra y las
consecuencias que alcanzarían si realmente ocurriera.
EJ
La probabilidad puede ser expresada de diferentes maneras, pero normalmente son relativas al nivel de riesgo. Los
métodos cualitativos pueden combinar consecuencias, probabilidad y nivel de riesgos mediante niveles significativos
cómo "alto'', "medio" y "bajo".
Los métodos semi-cuantitativos utilizan escalas numéricas para las consecuencias y probabilidades y las combinan
utilizando una fórmula para determinar el nivel de riesgo. Las escalas pueden ser lineales o logarítmicas, o tener
cualquier otra relación; la fórmula utilizada puede también variar.
Los métodos puramente cuantitativos, que utilizan valores numéricos para las consecuencias y sus probabilidades, se
pueden utilizar (estadísticamente) donde haya datos disponibles sobre el desempeño de los procesos y sistemas de
gestión documental por un período de tiempo considerable.
Escalar la frecuencia del evento a lo largo de un eje de tiempo podría ser apropiado para los procesos y sistemas de
gestión de documental. Un ejemplo de cómo se puede escalar la probabilidad se muestra en la tabla 1.
ISO/TR 18128:2014 - 20 - AENOR
Tabla 1 - Ejemplo de escalado de probabilidad
Puntuación de probabilidad Interpretación

1 Probabilidad muy baja. ocurre una vez cada 10 años o menos
2 Probabilidad baja, ocurre una vez cada 3 años o menos
3 Probabilidad media, ocurre una vez al año
N
4 Probabilidad muy alta, ocurre al menos una vez al mes
IÓ
AC
6.2.1 Contexto: factores externos
La evaluación de la probabilidad de los eventos de riesgo - en los entornos sociopolítico. macroeconómico <le negocio y
físico - se basa en las siguientes categorías de información histórica y actual:
M
a) cambios de gobierno o administraciones:
R
bJ estadísticas u otros informes de datos macroeconómicos y de negocio:
FO
c) patrones de cambios políticos o sociales en el plano nacional o internacional que influyen en la localización
geográfica de la organización:
A
<l) ritmo del cambio tecnológico y <le su adopción en la sociedad:
R
e) clima extremo o fenómenos físicos adversos, incluyendo interrupción <le las infraestructuras.
PA
Puede haber una frecuencia muy baja o ninguna instancia histórica de eventos de clima extremo (ejemplo. huracanes) o
fenómenos físicos adversos (ejemplo. fuegos o cortes generalizados de corriente), pero no se puede asumir que dichos
eventos no puedan ocurrir. Dados los desastrosos efectos <le tales eventos. la evaluación de riesgos debería incluir esta
posibilidad.
AR
6.2.2 Contexto: factores internos
La evaluación <le la probabilidad para los eventos <le riesgo relacionados con cambios de estructura y actividades. el uso
PL
de la tecnología y <le los recursos en la organización está basada en información acerca <le su historia reciente en las
siguientes categorías:
EM
a) cambios en la alta dirección (incluyendo privatizaciones. fusiones y adquisiciones) y sus consecuencias:
bJ el propio patrón <le la organización para <lar respuesta a cambios externos. tales como cambios regulatorios.
desarrollo tecnológico o clima financiero:
EJ
c) competencias del personal y régimen de formación interna:
d) rotación del personal.
La historia de los cambios recientes debería ponerse en contexto con la naturaleza <le las actividades de la organización.
su tamaño y su propia cultura.
EJEMPLO Las organizaciones con un fuerte enfoque a la competencia comercial o con historial de adopción temprana de nuevas
tecnologías. es más probable que implementen nuevas tecnologías que una organización sin ánimo de lucro, donde los
clientes son ancianos o personas en riesgo de exclusión. En organizaciones sin ánimo de lucro, el cambio en la
financiación es uno de los factores con más probabilidades de forzar un cambio interno. La evaluación del ratio de
probabilidad de cambios internos en las organizaciones está basada en información que es específica para cada
organización.
AENOR - 21 - ISOffR 18128:20 14
6.2.3 Sistemas
La apreciación de la probabilidad de eventos de riesgo en el área de sistemas se basa en la información recopilada sobre
seguridad, continuidad. gestión de recursos. interoperabilidad y mantenimiento (todos los que identifican anomalías.
errores de ejecución. asuntos en curso y problemas utilizados para establecer la frecuencia estimada).
Los aspectos de seguridad de los sistemas de gestión documental. su interoperabilidad y gestión general de recursos se
definen y documentan en las etapas de diseño y re visión. mientras que la planificación de la continuidad es un aspecto
N
general del programa de gestión del riesgo de la organización.
IÓ
Los procesos involucrados en el diseño de sistemas podrían ser vulnerables a eventos de riesgo que pueden afectar a los
procesos documentales. Esto se debería tener en cuenta cuando se aprecie la probabilidad de eventos de riesgo en la
AC
etapa de diseño de sistemas.
El análisis de los docu mentos generados en los procedimientos de mantenimiento proporciona una base sólida para
apreciar la probabilidad de e ventos adversos. El mantenimiento de sistemas abarca tanto los aspectos procedimentales
M
como los tecnológicos.
R
La información de seguimiento del control de calidad que identifica las no conformidades en los procedimientos de
FO
mantenimiento se debería analizar para apreciar la frecuencia de ocurrencia e identificar cualquier patrón que pudiera
emerger. Tales patrones de no conformidad se deberían analizar frente las especificaciones del diseño del sistema.
Las pistas de auditoría y registros similares de seguridad o brechas en las restricciones de acceso se deberían igualmente
analizar para identificar c ualquier patrón emergente y para evaluar su frecuencia y causas. Los registros que certifican
A
que las copias de seguridad se han realizado de acuerdo con las especificaciones de diseño deberían proporcionar
R
información que indique cualquier vulnerabilidad y frecuencia de ocurrencia.

PA
La apreciación de la probabilidad de eventos adversos en relación con sistemas debería tener en cuenta la prioridad
asignada a los diferentes sistemas de gestión documental.
6.2.4 Procesos
AR
Los procesos de los sistemas de gestión documental establecidos experimentan un cambio incremental a través de
respuestas pragmáticas a las anomalías o eventos menores imprevistos. que pueden acumularse a lo largo del tiempo en
ausencia de revisiones conscientes y correcciones documentadas. La acumulación de cambios incre mentales en los
PL
procesos documentales constituye un área de incertidumbre tan significativa como los eventos adversos externos y
mayores. La probabilidad de divergencia ocasio nada por las especificaciones de diseño se evalúa/aprecia desde e l
análisis de las no conformidades y cambios anómalos autorizados en circunstancias especiales.
EM
La apreciación de la probabilidad de eventos de riesgo en el área de los procesos documentales está basada e n la
información acumulada sobre el uso de documentos y controles documentales e instrumentos. tales como los esquemas
de clasificación y los calendarios de conservación.
EJ
Las fuentes de información relevante incluyen:
a) estadísticas de documentos creados y utilizados;
b) registro de no conformidades del control de calidad;
e) cambios en esquemas de metadatos:
d) datos sobre e l uso de los calendarios de conservación:
e) datos sobre cambios en las restricciones de accesos y brechas de seguridad.

ISOffR 18128:2014 - 22 - AENOR
El análisis del grado de cumplimiento de la información acumulada se puede utilizar para identificar las áreas de
actividad de la organización donde la creación de documentos no identifica requisitos, cambios de requisitos o nuevas
áreas de actividad.
El análisis del grado de cumplimiento y de los registros de no conformidades debería proporcionar una base para
identificar cualquier patrón de cambio en el que las aplicaciones de gestión de documentos no hayan respondido
adecuadamente, indicando las vulnerabilidades.
N
IÓ
7 Evaluación de los riesgos
AC
7.1 Generalidades
El propósito de la evaluación del riesgo es ayudar a tomar decisiones sobre qué riesgos necesitan tratamiento y con qué
prioridad, partiendo de los resultados del análisis de los riesgos.
M
La evaluación del riesgo implica comparar el nivel de riesgo detectado durante el proceso de análisis con los criterios de
R
riesgo establecidos en ese contexto. En base a esta comparación, se puede considerar la necesidad de tratamiento.
FO
La escala de consecuencias adversas y la adecuación de los controles existentes se pueden juntar con una tabla de
probabilidad para ayudar a identificar los riesgos que deberían ser el foco de las acciones, medidas o tratamientos.
Las decisiones pueden incluir:

A
a) si un riesgo necesita tratamiento;
R
b) las prioridades para el tratamiento;

PA
c) si una actividad debería llevarse a cabo;
d) cuál de las posibles opciones se debería adoptar.

AR
La evaluación del riesgo en relación con la probabilidad y las consecuencias adversas debería dar el suficiente peso a
los incidentes excepcionales o sin precedentes cuando tienen un impacto generalizado y grave hasta el punto de
PL
catastrófico. Asimismo, el impacto de una acumulación de incumplimientos leves o no conformidades puede ser muy
superior a un incidente individual si el resultado es el deterioro de la integridad y fiabilidad de los documentos o del
sistema de gestión de documentos.
EM
Como se mencionó en la introducción, las consecuencias de los eventos de riesgo se identifican con la pérdida o daño
de los documentos que afecta a su usabilidad, fiabilidad, autenticidad, completitud e inalterabilidad en el tiempo y, por
consiguiente, pueden fallar en dar soporte a las actividades de la organización.
EJ
Un evento puede tener impactos de diferentes magnitudes y afectar a diferentes objetivos y partes interesadas. Cuando
se establecen los criterios de la organización para el proyecto de apreciación del riesgo, se identifican los tipos de
consecuencias que hay que analizar y las partes interesadas afectadas. Cuando se evalúan el impacto del cambio, la
incertidumbre, y los eventos adversos en relación a los documentos se toma en cuenta la prioridad de los documentos.
Una evaluación que considera como menor la consecuencia de un evento adverso, puede elevarse a mayor si los
documentos dañados o perdidos son críticos en la respuesta frente a desastres o se identifican como documentos
principales del negocio.
AENOR - 23 - ISOffR 18128:2014
7 .2 Evaluación del impacto de los eventos adversos

Los factores a tener en cuenta son:
a) el número de usuarios y otras partes interesadas afectadas;
b) el efecto del daño o la pérdida de los documentos en las operaciones en curso de la organización:
N
c) las medidas ya existentes para responder a la interrupción en el acceso a los documentos:
IÓ
d) el tiempo y el esfuerzo para recobrar o reemplazar los documentos afectados:
AC
e) el impacto de la pérdida o el daño de los documentos en los derechos o propiedad de la organización:
t) el impacto de la pérdida o el daño de los documentos en la capacidad de la organización para cumplir con sus
M
obligaciones con todas las partes interesadas:
R
g) los requisitos legales y regulatorios de informar sobre los daños. pérdida o acceso no autorizado a los documentos y
h) el impacto en la imagen pública de la organización.

FO
Esta lista no es exhaustiva. La selección de los factores a considerar se determinará según el tamaño y la naturaleza de
la organización.
A
El impacto potencial de los eventos adversos se puede clasificar. según el ejemplo de la tabla 2. utilizando los factores
R
identificados como los más relevantes para el tamaño y la naturaleza de las actividades de la organización.
PA
Tabla 2 - Ejemplo de clasificación del impacto de los eventos adversos
Menor Moderado Mayor Severo

Incumplimiento anómalo de Acceso no autorizado a los Acceso no autorizado a los Pérdida generalizada. acceso
AR
la restricción de acceso documentos documentos que se debería no autorizado y daño

notificar
PL
Daño en una pequeña Daño de una significativa El daño al conjunto central Daño al conjunto central de
cantidad de documentos en cantidad de documentos en de documentos se extiende documentos en la mayoría de
un área de operaciones un área de operaciones a varias áreas las áreas de operaciones
EM
Pérdida de datos limitada Pérdida de datos/daño a la Pérdida de datos/daño a la Pérdida de datos/ pérdida de
fiabilidad fiabilidad: daño a la fiabilidad: pérdida de la
reputación confianza pública
EJ
Pérdida recuperable Aunque las operaciones no Pérdida admitida: Operaciones cerradas:

se interrumpen los interrupci ón de más de un esfuerzo de recuperación
documentos se recuperan área de operaciones: costoso y largo: los
con esfuerzo esfuerzo de recuperación documentos no son
costoso recuperables
7.3 Evaluación del riesgo

La escala del impacto de los eventos adversos se puede cruzar con una tabla de probabilidad para ayudar a identificar
los eventos adversos que deberían ser el centro de atención de medidas de gestión de riesgos, tales como la puesta al día
de los procedimientos o los planes de contingencia ante desastres.
La tabla 3 proporciona un ejemplo de cómo se puede determinar la escala del impacto de los incidentes ad versos. en
relación a la estimación de la probabilidad. y cómo se puede presentar de forma tabular.
ISO/TR 18128:2014 - 24 - AENOR
La evaluación del riesgo se debería hacer sobre los procesos y sistemas de gestión documental en orden de prioridad.
Tabla 3 - Ejemplos de evaluación del riesgo
EVENTO Probabilidad IMPACTO

Contexto Sistema Proceso Frecuencia Menor Moderada Mayor Severa
N
Documentos Alta Recupaahle
mal clasifi- con los
IÓ
cados. estado MenJual o 111tÍs procedi-
de acceso mi en tos
erróneo existentes
AC
Cambios en la Media Afecta a las
ley de restricciones
protección de Una i·e: al mio de acceso al
la privacidad sistema de
M
personal y
consecuente
R
mente a otros
sistemas
La función de
indexación del
sistema de
Media
Una i·e: al mio

FO
Recuperable
con los
procedi-
gestión mientos
A
documental existentes
falla
R
Documentos Media Recuperable

PA
erróneamente con los

ide ntificados Una i·e: al mio procedimient
para la os existe ntes
destrucción
AR
Acceso no Baja No
autorizado a recuperable:
los documen- Una i·e: cada se piden
tos de los 3 mios disculpas al
PL
empleados personal
Interrupción Baja Afecta a todos

del suministro los sistemas de
EM
de energía Una i·e: rada gestión

durante 8 h 3 mios documental; se
pierde un día
de actividad
EJ
El fuego Rara Pérdida

destruye el s ignificativa
edificio donde Una i·e: cada de
se almacenan JO mios documentos:
los docu- interrupció n
mentos de actividades:
pérdida de la
confianza
pública
Para utilizar la tabla 3 con este fin. se insertan en una lila en el lado izquierdo los eventos de riesgo identificados. en su
categoría correspondiente y en el nivel de frecuencia adecuado. y en el lado derecho la evaluación de su impacto. Las
organizaciones pueden puntuar el impacto y la probabilidad hasta llegar a la cifra que indique la prioridad asignada para
responder al evento de riesgo.
AENOR - 25 - ISOffR 18128:2014
8 Comunicación de los riesgos identificados

Los riesgos apreciados deberían registrarse en un registro de riesgos (véase un ejemplo en el anexo A). Un registro de
riesgos es el medio para comunicar los riesgos a la dirección de la organización. Los riesgos registrados y las medidas
propuestas para responder a ellos se deberían notificar al área de la organización responsable del programa de gestión
del riesgo.
N
La meta principal en el análisis y la comunicación del riesgo es identificar e imponer prioridades, y tomar las decisiones
adecuadas. La comunicación del riesgo es parte de una gestión eficaz del riesgo para garantizar a toda la organización el
IÓ
reconocimiento de los mismos. La apreciación del riesgo debería supervisarse y revisarse a intervalos regulares con el
fin de asegurar que los controles seleccionados para el tratamiento de los riesgos permanecen efectivos.
AC
M
R
FO
A
R
PA
AR
PL
EM
EJ
ISO/TR 18128:2014 - 26 - AENOR
Anexo A (Informativo)
Ejemplo de una entrada en un registro de riesgos
N
Descripción del riesgo
IÓ
Campos del registro Contenido
ID dd riesgo 4
AC
Nombre del riesgo Incapacidad para determinar al creador de un documento
Tipo o agrupación del riesgo Documento
M
Propietario del riesgo Administrador de la aplicación de gestión de documentos
(EDRMS)
R
Fecha de identificación 12/10/2013
Fecha de la última actualización
Descripción
FO
15/10/2013
Incapacidad para descubrir quién es el creador de un

documento registrado
A
Manifestación del riesgo (circunstancias en las que el Incertidumbre acerca de la unidad de negocios creadora de
R
riesgo puede ejecutarse) los documentos

Coste, si se materializa (monetario u otro) Bajo
PA
Probabilidad Media
Impacto Alto
AR
Estrategia para evitarlo Revisar y fijar las plantillas de documentos dentro de la

aplicación de gestión de documentos (EDRMS)
Estrategia para el tratamiento Revisar y fijar las plantillas de documentos dentro de la
PL
aplicación de gestión de documentos (EDRMS)

Fecha límite 31/12/2013
EM
Propietario de la acción/custodia Administrador la aplicación de gestión de documento

(EDRMS)
Fecha de revisión 31/0112014
EJ
Referencias cruzadas con riesgos relacionados 3: 12
Estado del riesgo y estado de la acción Empezó la acción de mitigación del riesgo
Fecha de la última evaluación 15110/2013
AENOR - 27 - ISOffR 18128:2014
Anexo B (Informativo)
Ejemplo: listas de comprobación para identificar áreas de incertidumbre
N
NOTA Este es un ejemplo de una lista de comprobación que puede utilizar>e habitualmente en una organización para identi fi car cambios o áreas de
incertidumbre durante un determinado periodo de tiempo. por ejemplo. anualmente .
IÓ
AC
B.l Factores externos
B.1.1 Contexto socio-político
M
¿La organización tiene implantado un proceso para supervisar los cambios en el L'.ntorno externo'1
R
¡,La supervisión por parte de la organización ha detectado cambios en:
FO
a) la legislación y la normativa que afectan a los requisitos de gestión documental:
b) las políticas gubernamenta les que afectan a los requisitos. procesos y sistemas de gestión documental:
A
e) nuevos códigos de prác ticas o cambios en las normas relativas a los procesos y sistl'.mas de gestión documental:
R
d) la demanda de servicios doc umentales:

PA
e) las expectativas de las partes interesadas en lo relativo a los documentos '?
¿Se han producido acontecimientos o cambios en las circunstancias externas que hayan afectado a la reputación o la
imagen pública de la organización durante el último año'!
AR
8.1.2 Entorno macroeconómico y tecnológico

PL
¡,Se han producido cambios en la propiedad. las estructuras o las func ionl'.S de la organización durante el último año '?
¿Se han producido cambios en los ingresos. la base de clientes u otros cambios en el entorno empresarial que afecten a
EM
los requisitos de gestión documental '?
¿Se han producido cambios en la actividad legislativa o en materia de litigios'!

EJ
¿Se han producido desarrollos tecnológicos en la suciedad que tengan posibles consecuencias sobre la organización '?
B.1.3 Entorno físico e infraestructuras
¿Los fenómenos meteorológicos extremos regionales o locales u otros desastres naturales se incluye n en Jos planes de
contingencia ante catástrofcs' 1
¿Las situacio nes catastróficas provocadas por el hombre (actos de guerra o terrorismo. accidentes muy graves) se
incluyen en planes de contingencia ante catástrofes?
¿La organizació n está preparada para hacer frente a la pérdida de servicio e n los sistemas y almacenamiento de
documentos?
ISO/TR 18128:2014 - 28 - AENOR
B.1.4 Amenazas externas a la seguridad
¿Son adecuadas las medidas de seguridad de la información implantadas para proteger los sistemas de gestión
documental del acceso no autorizado o de daños intencionados'?
¿,Es adecuada la seguridad física de los sistemas de almacenamiento de los documentos (almacenamiento en papel y en
formato electrónico) y se comprueha de forma periódica'?
N
¿La seguridad de los sistemas informáticos de la organización se supervisa adecuadamente y se prueha de forma
IÓ
periódica?
¿La organización ha previsto la posihle interrupción de servicios de terceros necesarios para los sistemas de gestión
AC
documental'?
M
B.2 Factores internos
R
B.2.1 Cambios en la organización
FO
¿Está estahlecida y documentada la propiedad de los documentos en todas las partes de la organización')
¿Se han implantado procedimientos para gestionar la transferencia o migración de documentos o la fusión de sistemas
tras producirse camhios en la organización'?
A
Tras producirse transferencias o camhios en la propiedad, ¿,se han acordado y documentado los derechos de acceso que
R
corresponden a las partes implicadas'?

PA
¿Los sistemas de gestión documental pueden fusionarse fácilmente con otros sistemas tras producirse camhios
importantes en la organización'?
¿,Los sistemas de gestión documental. incluidos los sistemas heredados. están suficientemente documentados y dicha
AR
documentación es accesihle'?
¿,Están correctamente definidas las condiciones contractuales relativas a la propiedad. la retención y el control de los
documentos en los acuerdos de suhcontratación. externalización o alojamiento en la nuhe'?
PL
¿La organización puede hacer frente a los camhios en las condiciones de los contratos de servicios de terceros para
mantener o gestionar los sistemas de gestión documental?
EM
¿Se ha implantado un proceso para revisar y actualizar las directivas y los procedimientos relativos a los sistemas de
gestión documental a intervalos regulares'7
EJ
¿En la planificación se han incluido medidas que prevean la posihle pérdida del personal clave responsahle de los
sistemas o procesos de gestión documental'?
¿Se han implantado procedimientos para que los sistemas de gestión documental respondan a los camhios de personal
(por motivos relacionados con la formación. el presupuesto y la reducción de personal)'?
¿Existe un procedimiento para revisar y actualizar los planes de preparación en caso de catástrofes tras producirse
camhios en la organización'?
AENOR - 29 - ISOffR 18128:201 4
B.2.2 Cambios tecnológicos

¿Los cambios en las tecnologías afectarán a la interoperabilidad entre los sistemas de gestión documental y otros
sistemas?
¿Los cambios en las tecnologías son compatibles con las plataformas para los sistemas de gestión documental y los
sistemas operativos actuales?
N
¿El procedimiento para llevar a cabo la migración de documentos y sistemas está actualizado, documentado y es
IÓ
adecuado?
¿Se han implantado procesos para garantizar que los metadatos de los documentos se migren por completo cuando se
AC
introducen nuevas tecnologías, y se comprueba si ha habido pérdida de información o si ésta ha resultado dañada?
¿Se han implantado procesos para impedir la eliminación o retención no autorizadas de documentos que ya no se
necesitan cuando se migran o actualizan los sistemas?
M
¿Existe un procedimiento para gestionar la reconfiguración de sistemas y procesos de gestión documental?
R
¿Las responsabilidades relativas a la reconfiguración de sistemas, procesos y controles de gestión documental están
documentadas y actualizadas? FO
¿El proyecto de implementación de los cambios en las tecnologías que afectan a los sistemas de gestión documental se
gestiona adecuadamente?
A
R
¿Las directrices actuales cubren adecuadamente las nuevas tecnologías a medida que la organización las adopta?
PA
¿Los profesionales informáticos y la dirección son conscientes de las implicaciones que tiene la introducción de nuevas
tecnologías para los sistemas de gestión documental y la documentación sobre los sistemas?
¿La actual infraestructura tecnológica de la organización admite cambios tecnológicos en los sistemas de gestión
AR
documental?
B.2.3 Recursos: personal y competencias

PL
¿El número actual de empleados es suficiente para llevar a cabo los procesos de gestión documental y gestionar los
sistemas de gestión documental?
EM
¿El personal de la organización está adecuadamente informado de las directivas y los procesos relativos a la gestión
documental?
EJ
¿La gestión de documentos cuenta con el apoyo de la alta dirección?
¿La alta dirección considera los riesgos de los procesos y sistemas de gestión documental como riesgos para la
organización que deberían mitigarse?
¿Las responsabilidades sobre los documentos están incluidas en las descripciones de los puestos de trabajo en los casos
pertinentes?
¿Existen o pueden alcanzarse las capacidades para responder ante los cambios en el entorno legislativo externo que
afecten a las directrices y a los procedimientos relativos a los documentos de la organización?
¿Se comprenden y esrán documentadas las responsabilidades de los administradores de sistemas de gestión documental
en lo que respecta a los usuarios de los sistemas?
ISOfl'R 18128:2014 - 30 - AENOR
¿Se han implantado procesos para garantizar la transferencia de habilidades esenciales y conocimientos operativos entre
el personal responsable de la gestión de documentos?
¿Existe un programa de formación continua a disposición del personal responsable de los documentos?
¿Existe un proceso de supervisión para evaluar las habilidades y competencias del personal responsable de los
documentos?
N
IÓ
B.2.4 Recursos: financiación y material
¿La gestión de documentos cuenta con la financiación adecuada para alcanzar los objetivos de las directrices sobre
AC
gestión de documentos y para llevar a cabo los procedimientos relativos a los documentos?
¿Los sistemas de gestión documental cuentan con la financiación y el soporte suficientes, incluidas las actualizaciones y
el mantenimiento de los sistemas?
M
R
B.3 Sistemas de gestión documental
B.3.1 Diseño del sistema FO
¿La documentación del sistema incluye la definición de todos los elementos de los documentos?
A
¿Hay documentación adecuada sobre los metadatos y los procesos del sistema?
R
¿Los requisitos de retención se gestionan adecuadamente por el sistema, y están documentados?

PA
¿Están identificados y documentados todos los procesos de gestión de documentos gestionados por el sistema?
¿La tecnología elegida es la que corresponde al tamaño, la complejidad y las actividades de la organización?
AR
¿La tecnología es la adecuada para la funcionalidad de los sistemas de gestión documental de archivo?
¿El sistema depende de la asistencia prestada por el proveedor y el contrato de servicios está actualizado y los servicios
PL
adecuadamente definidos?
¿La documentación del proveedor es adecuada, incluidos todos los elementos necesarios y los sistemas de codificación?
EM
B.3.2 Mantenimiento
¿Hay cambios frecuentes en el diseño o en otros aspectos como la seguridad de los sistemas?
EJ
¿La organización cuenta con procedimientos adecuados relativos a la gestión de cambios para garantizar que los
cambios en los sistemas se autoricen, se planifiquen y se controlen?
¿Las habilidades de los administradores de sistemas y su comprensión de los requisitos de gestión documental son
adecuadas y están actualizadas?
¿Se revisa periódicamente la capacidad de los proveedores de sistemas de mantener actualizados los sistemas?
¿La documentación de los procedimientos de mantenimiento de los sistemas de gestión documental es accesible, se
revisa periódicamente y se actualiza?
¿Se supervisan y documentan los fallos o las disfunciones de la tecnología que afectan a las operaciones de los sistemas
de gestión documental?
AENOR - 31 - ISOffR 18128:2014
¿La documentación de los siste mas técnicos es accesible y está actualizada'7
¿Los procesos de copia de seguridad y restauración de los sistemas de gestión documental se prueban. se documentan y
se revisan de forma periódica?
B.3.3 Sostenibilidad y continuidad
N
¿Los sistemas de gestión documental se supervisan y se revisan de forma periódica. de acuerdo con los cambios en el
contexto externo e interno que afectan a los requisitos de gestión documental de la organización'7
IÓ
¿La supervisión de la garantía de calidad de los sistemas de gestión documental se revisa para identificar la necesidad
AC
de actualizaciones o de otros cambios en los requisitos'!
¿Se ha llevado a cabo una evaluación de los recursos financieros necesarios para implementar y mantener adec uada-
mente los sistemas de gestió n documental y para asignar a personal competente la responsabilidad sobre dichos
M
sistemas'!
R
¿La organización ha identificado todos los sistemas que crean, contienen o gestionan documentos'!
FO
¿,Las especificaciones de los sistemas de gestión documental están correctamente documentadas y son acccs ihles'1
¿Se han establecido y documentado procedimientos para el mantenimie nto operativo'!

A
¿,Las decisiones tomadas en la implementación de siste mas de gestión documental están documentadas, actualizadas y a
disposición de todos los usuarios que las necesiten'1
R
¿,La capacidad de los sistemas de gestión documental para mantener la usahilidad de los documentos de archivo se
PA
prueba de forma periódica?
¿,Se supervisa y se elaboran informes de forma periódica sobre la consecución de los objetivos de los sistemas de
gestión documental?
AR
¡,Hay un procedimiento establecido para gestionar la migración de documentos a un nuevo sistema de gestión
documental?
PL
¡,Los sistemas de gestión documental poseen capacidad probada para importar documentos procedentes de sistemas
heredados o de otras emprcsas '7
EM
¿Se s upervisan y gestionan los cambios en otros sistemas de los que dependen los sistemas de gestión documental. o
con los que tienen alguna otra relación'1
EJ
Cuando se utilizan proveedores de servicios externos. como de almacenamiento en la nube. ¿se ha probado la
exportación de documentos y su reintegració n en los sistemas de gestión documental de la organización?
¿Los historiales de eventos de sistemas de gestión documental se revisan a intervalos regulares. y sus dependt:m:ias de
otros sistemas st: gestionan adt:cuadamente'?
¿,En la planificación de la continuidad de la empresa se incluyen específicamente sistemas de gestió n documental ''
¡,Los siste mas de gestión documental contribu yen a la continuidad del negocio al brindar acceso a los documentos en
caso de producirse una catástrofe?
¿Se han implantado planes de contingencia para gestionar la interrupción del servicio en los sistemas de gestión
documental?
ISOffR 18 128:201 4 - 32 - AENOR
B.3.4 Interoperabilidad
¿La organización ha identificado y especificado qué tipo de interoperabilidad es necesaria entre las aplicaciones de
gestión y los sistemas que gestionan documentos?
¿Se han identificado, documentado y gestionado adecuadamente las dependencias de los sistemas de gestión
documental con respecto a fuentes externas de datos u otros sistemas, incluidos servicios externos como el
N
almacenarrúento en la nube?
IÓ
En lo que respecta a la interoperabilidad identificada, ¿la organización emplea normas o especificaciones compatibles
para garantizar que el intercambio de documentos entre dichos sistemas sea sostenible?
AC
¿Se supervisan y gestionan adecuadamente los cambios (como las actualizaciones de software) en los sistemas de los
que dependen los sistemas de gestión documental o con los cuales deberían mantener una relación de interoperabilidad?
¿El intercambio de documentos entre sistemas se registra correctamente en los metadatos de ambos sistemas y se
M
gestiona de forma adecuada?
R
B.3.5 Seguridad
FO
Véase también el anexo C en el que se hace una correspondencia entre los controles para la seguridad de la información
indicados en la Norma ISO/IEC 27001 y las disposiciones de este texto.
A
NOTA En los anexos B, C y D de la Norma ISO/IEC 27005 también se incluyen ejemplos de áreas de incenidumbre que afectan a cualquier sistema
de información.
R
¿La directiva de seguridad (de la información) de la organización aborda de forma adecuada la seguridad de los
PA
documentos y de los procesos y sistemas de gestión documental?
¿Se han establecido, se han hecho cumplir en la práctica y se han documentado las restricciones respecto a los perrrúsos
de los usuarios para acceder, crear y cambiar documentos?
AR
¿Se han implantado procedimientos de seguridad para cambiar los derechos de acceso de los usuarios a los sistemas
cuando el personal cambia de puesto o deja de trabajar para la organización?
PL
¿Existen directivas y procedirrúentos para controlar a terceros que trabajan en nombre de la organización que se ocupan
específicamente de la gestión del almacenarrúento, acceso y procesarrúento seguros de los documentos y los sistemas de
gestión documental?
EM
¿La eficacia de la directiva y los controles de seguridad de la información se evalúa de forma periódica, y se toman
medidas correctivas?
EJ
B.4 Procesos de la gestión de documentos

B.4.1 Diseño de la gestión de documentos
¿El análisis de los requisitos de gestión documental de las actividades de la organización
a) está/estuvo basado en un conocirrúento adecuado de la organización;
b) es/fue exhaustivo;
c) incluye la legislación y las regulaciones relevantes; e
d) incluye todas las partes interesadas?

AENOR - 33 - ISOffR 18128:2014
¡,El diseño tiene en cuenta todos los usos de los documentos existentes'1
¿El diseño de los documentos en cada sistema específico cumple con los requisitos de metadatos de identidad.
descripción. uso. historial y planificación de eventos'?
¿Se adecuan las reglas de nomenclatura y los cuadros de clasificación, allí donde se usen. a la terminología de la
organización''
N
IÓ
B.4.2 Creación de documentos e implementación de un sistema de gestión de documentos
¿,El proceso de crear documentos y capturarlos es adecuado a los procesos y sistemas de negocio. es decir. está hasado
AC
en una tecnología adecuada. fiable. sistemática y oportuna'!
¿.Están identificados y controlados los documentos desde el momento de su captura o creación''
M
¿El proceso de creación o captura se integra con el proceso de negocio o se asocia estrechamente con la finalización de
la transacción''
R
¿Están los creadores de documentos formados adecuadamente en los procesos'?
FO
¿Las responsahilidades de captura o creación de documentos están documentadas adecuadamente. y donde aplica. se
distinguen de las rcsponsahilidades de los usuarios de las aplicaciones de gestión'!
A
¿Están definidos. asignados y documentados las responsahilidades y los procesos para capturar los documentos
procedentes de los entornos cxternos'1
R
¿El acceso a los dm:umentos concuerda con los requisitos ohligatorios o legales y se documenta y supervisa
PA
adecuadamente''
B.4.3 Metadatos
AR
¿,Están documentadas las especificaciones de metadatos (inclusive las especificaciones técnicas) y están accesihles para
actualizarlas'!
PL
B.4.4 Uso de los documentos y de los sistemas de gestión documental
¿Son capaces los usuarios de acceder de forma consistente a los documentos cuando los necesitan'?
EM
¿,Los permisos de los usuarios. de captura o creación. para acceder o modificar documentos. se gestionan adecuada-
mente en el sistema'?
EJ
¡,Están los permisos hasados en roles. no en las personas'!
¿La documentación sohrc el acceso y las modificaciones sohre los documentos se mantiene en el sistema a lo largo del
tiempo·1
¿Las restricciones de acceso se pueden controlar manualmente en el sistema, se registran y existen mecanismos
apropiados para resolver los conflictos'?
¿Los usuarios de los documentos están formados adecuadamente en los procesos de los sistemas '!
¿Se dispone de procesos para prevenir la divulgación incorrecta de documentos sin autorización'?
ISOffR 18 128:2014 - 34 - AENOR
B.4.5 Mantenimiento de la usabilidad

¿El contexto de creación de documentos y su uso se documenta adecuadamente y es sostenible a lo largo del tiempo?
¿Se dispone de mecanismos para gestionar la dependencia de los documentos de sistemas externos (datos u otros
enlaces) para mantener la integridad de los documentos?
N
¿Los procesos para mantener la fiabilidad y autenticidad de los documentos a lo largo del tiempo (por ejemplo,
seguridad ante accesos no autorizados o modificados) son robustos y están documentados y supervisados?
IÓ
Cuando se usa encriptación en la transmisión o almacenaje de documentos ¿se pueden desencriptar?
AC
¿Las revisiones, comentarios y notas sobre un documento, y el histórico de versiones son accesibles tanto tiempo como
sea necesario?
M
¿Se mantiene adecuadamente el historial de eventos para asegurar que permanecen íntegros a lo largo del tiempo?
¿Se dispone de un procedimiento para comprobar la usabilidad de los documentos más antiguos, por ejemplo, la
R
dependencia de software y hardware o la adecuación del almacenaje físico para los documentos en varios formatos?
B.4.6 Disposición de los documentos

FO
¿Hay calendarios de conservación aprobados que están al día y son relevantes?
A
¿Hay un proceso para revisar los calendarios de conservación existentes?
R
¿Hay procedimientos para la disposición de documentos?

PA
¿Están definidos y documentados los roles y las responsabilidades para la disposición?
¿Está la disposición asumida de forma regular o rutinaria?

AR
a) ¿Existe un proceso para gestionar excepciones?

PL
b) ¿Se documenta de manera apropiada la disposición, incluso la autorización?
c) ¿Existe formación adecuada para implementar la disposición para los empleados responsables de los documentos?
EM
d) ¿Se adecuan los métodos de disposición al nivel de seguridad requerido?
¿Existen procesos para asegurar que la destrucción de documentos es completa - teniendo en cuenta la necesidad de
EJ
impedir la restauración de documentos desde aparatos electrónicos y medios de almacenaje?

AENOR - 35 - ISOffR 18128:2014
Anexo C (Informativo)
Guía para usar los controles del anexo A de la Norma ISO/IEC 27001
N
En la identificación del riesgo relacionado con sistemas. en organizaciones que han implementado controles de la
IÓ
Norma ISO/IEC 27001. los profesionales de la documentación de herían tener en cuenta cómo algunos de estos
controles actúan en algunas áreas de inccrtidumhrc como mitigadores del riesgo. En organizaciones donde los controles
de la Norma ISO/IEC 27001 se han implementado. la tarea de apreciación del riesgo relacionado con los procesos y
AC
sistemas de gestión documental asumida por los profesionales de la gestión de documentos. se hencficiará del
conoeimiento profundo de la Norma ISO/IEC 27001 y de la alineación con la tarea de apreciaeión del riesgo de dicha
norma. En las organizaciones donde la Norma ISO/IEC 27001 no está implementada. los eontroles de ésta se pueden
utilizar como una fuente para mitigar las acciones. Es altamente recomendahle la lectura de la Norma ISO/IEC 27001.
M
La siguiente tahla relaciona las áreas de incertidumhre identificadas en el apartado 5.4. sistemas de gestión documental.
R
con los controles estahlecidos en la Norma ISO/IEC 27001.
FO
En la columna de la derecha, "Observaciones", se dan algunas pautas para ayudar a comprender los eontroles de
seguridad de la información de la Norma ISO/IEC 2700 1 desde el punto de vista de los sistemas de gestión d ocumental.
ISOffR 18128 :20 14 - Apartado 5.4 ISO/IEC 27001 :20U - Controles Observaciones
A
Sistemas de gestión documental (anexo A)
R
Áreas de incertidumbre
PA
Área de incertidumbre: Diseño de sistemas

1 Definición de documentos para que el Sin correlación con el control de la
sistema cree y gestione documentos Norma ISO/IEC 27001 .
adecuados a sus objetivos.
AR
2 Identificación suficiente de los Sin correlación con el control de la La disposición no está en el

requisitos de retención. Norma ISOIIEC 27001. enfoque de la seguridad de la
informaeión. pero desde el
PL
punto de vista de un sistema de

gestión de documentos es un
área importante de
EM
incertidumhrc. espeeialmente
cuando los sistemas que erean
y controlan documentos
fracasan en la implementació n
EJ
de decisiones de disposición.
3 Identificación y documentación de Sin correlación con el control de la

todos los procesos documentales que Norma ISO/IEC 27001
es necesario que se gestionen por el
sistema.
4 Efccti vidad del diseño del sistema de A.10.3.1 Planificación y Los requisitos de la capacidad
gestión documental en relaeión con el aceptación del sistema. La y el uso de los recursos son
personal y la tecnología de la utilización de los recursos se de he sólo dos aspectos para apreciar
organización. supervisar y ajustar así como realizar la efectividad de los sistemas
proyecciones de los requisitos de gestión documental. los
futuros de capacidad, para garantizar cuales se deherían prohar
el comportamiento requerido del principalmente en contraste
sistema. con los requisitos
operacionales.
ISO/TR 18128:2014 - 36 - AENOR
ISO!TR 18128:2014 - Apartado 5.4 ISO/IEC 27001:2013 - Controles Observaciones

5 Gestión de la dependencia del soporte A.12.5.5 Externalización del Si los sistemas de gestión
de los vendedores. desarrollo de software. La documental están basados en
externalización del desarrollo de un software comercial
N
software debe ser supervisada y suministrado por proveedores
controlada por la organización. externos. cuando se identifica
IÓ
el riesgo se precisa tener en
cuenta la fiabilidad de los
suministradores externos. Los
AC
controles de la Norma
ISO/IEC 27001 pueden ser
demasiado generales desde el
M
punto de vista de los sistemas
de gestión documental.
R
6 Acceso a la documentación del A.10.1.1 Documentación de los La Norma ISO/IEC 27001
vendedor. procedimientos de operación. debería aplicarse a los sistemas
FO
Deben documentarse los
procedimientos de operación y
ponerse a disposición de todos los
de gestión documental como a
cualquier software en lo
relacionado a la
usuarios que los necesiten. documentación, lo cual incluye
A
procedimientos internos para
mantenerla.
R
Áreas de incertidumbre: Mantenimiento

PA
1 Cambios en los sistemas de negocio y A.10.1.2 Gestión de cambios. Los controles de la Norma
operacionales que afectan a los Deben controlarse los cambios en los ISO/IEC 27001 se deberían
sistemas de gestión documental. recursos y los sistemas de complementar con requisitos
AR
tratamiento de la información. de comunicación para

A.10.10.4 Registros de garantizar que los profesionales
administración y operación. Se de la gestión de documentos
deben registrar las actividades del son conscientes de tales
PL
administrador del sistema y de la cambios.

operación del sistema.
A.10.10.5 Registro de fallos. Los
EM
fallos deben ser registrados y

analizados y se deben tomar las
correspondientes acciones.
EJ
2 Nivel de habilidad de los A.10.3.1 Gestión de capacidades. Los controles de la Norma

administradores del sistema y su La utilización de los recursos se debe ISO/IEC 27001 pueden ser
comprensión de los requisitos para supervisar y ajustar así como realizar insuficientes para mitigar
gestionar documentos en los sistemas. proyecciones de los requisitos incertidumbres sobre los
futuros de capacidad. para garantizar niveles de habilidad de los
el comportamiento requerido del administradores del sistema en
sistema. relación con los requisitos de
A.10.3.2 Aceptación del sistema. los documentos. Se debería
Se deben establecer los criterios para prestar una atención especial a
la aceptación de nuevos sistemas de esta área.
información. de las actualizaciones y
de nuevas versiones de los mismos, y
se deben llevar a cabo pruebas
adecuadas de Jos sistemas durante el
desarrollo y previamente a la
aceptación.
AENOR - 37 - ISOffR 18128:2014
ISOfTR 18128:2014-Apartado 5.4 ISO/IEC 27001:2013 - Controles Observaciones

Sistemas de gestión documental (anexo AJ
3 Fiabilidad de los suministradores de A.12.5.5 Externalización del Si los sistemas de gestión
sistemas y su habilidad para mantener desarrollo de software. La documental se basan en un
y conservar tecnológicamente la externalización del desarrollo de software comercial
N
actualización de los sistemas. software dchcr ser supervisada y suministrado por proveedores
controlada por la organización. externos. cuando se identifique
IÓ
el riesgo se debería tener en
cuenta la fiabilidad de los
proveedores externos . El
AC
control de la Norma
ISO/IEC 27001 puede ser
demasiado general desde el
M
punto de vista de los sistemas
R
4 Adecuación de la documentación de A.10.1.l Documentación de los La documentación (técnica y
los procedimientos para el procedimientos de operación. procedimental) de los sistemas
mantenimiento operativo. FO
Deben documentarse y mantenerse
los procedimientos de operación y
ponerse a disposición de todos los
se debería tratar como
documentos y. en
consecuencia. mantenerse.
usuarios que los necesiten.
A
5 Adecuación de la documentación A.10.1.l Documentación de los La documentación (técnica y
R
técnica de los sistemas. procedimientos de operación. procedimental) de los sistemas

Deben documentarse y mantenerse se debería tratar como
PA
los procedimientos de operación y documentos y. en

ponerse a disposición de todos los consecuencia. mantenerse.
usuarios que los necesiten.
AR
6 Adecuación de los procedimientos de A.10.5.1 Copias de seguridad de la El control de la Norma

las copias de seguridad documentadas información. Se deben realizar ISO/IEC 27001 de copias de
para los sistemas de gestión copias de seguridad de la seguridad no cuhre todas las
documental. información y del software. y se incertidumbres relacionadas
PL
deben probar periódicamente con el mantenimiento de la

conforme a la política de copias de usahilidad o disposición de los
seguridad acordada. documentos.
EM
7 Adecuación de la restauración a partir A.10.5.1 Copias de seguridad de la El control de la Norma

de las copias de seguridad. información. Se deben realizar ISO/IEC 27001 de copias de
copias de seguridad de la seguridad no cubre todas las
EJ
información y del software. y se incertidumbres relacionadas

deben probar periódicamente con el mantenimiento de la
conforme a la política de copias de usahilidad o disposición de los
seguridad acordada. documentos.
Arca ele inccrticlumhrc: sostcnihiliclad ~ rnntinuiclucl
1 Camhio en el contexto interno y Sin control de la Norma
externo. que afecta a los requisitos de ISO/IEC 27001 relacionado.
gestión documental de la organización.
ISO/TR 18128:2014 - 38 - AENOR
ISO!TR 18128:2014-Apartado 5.4 ISO/IEC 27001:2013 - Controles Observaciones

2 Adecuación de la supervisión del A.10.10.1 Registro de auditorías. El control de la Norma
control de la calidad para identificar Se deben establecer procedimientos ISO/IEC 27001 identifica un
los cambios en los requisitos para supervisar el uso de los recursos aspecto del seguimiento del
N
documentales. de procesamiento de la información sistema, pero los sistemas de
y se deben revisar periódicamente gestión documental requieren
IÓ
los resultados de las actividades de un seguimiento del
supervisión. control/aseguramiento de la
calidad más amplio.
AC
A.10.10.2 Supervisión del uso del
Sistema. Se deben establecer
procedimientos para supervisar el
uso de los recursos de procesamiento
M
de la información y se deben revisar
periódicamente los resultados de las
R
actividades de supervisión.
3 Adecuación de la evaluación de los
costes vigentes de implementación y
mantenimiento del sistema de gestión
FO
A.6.1.3 Asignación de
responsabilidades relativas a la
seguridad de la información.
Los controles de la Norma
ISO/IEC 27001 no cubren los
aspectos económicos de los
documental incluyéndolos recursos Deben definirse claramente todas las sistemas, excepto aquellos
A
humanos. responsabilidades relativas a la controles que incluyen en la
seguridad de la información. organización interna las
R
responsabilidades de seguridad
A.10.3.1 Gestión de capacidades.
de la información.
PA
La utilización de los recursos se debe

supervisar y ajustar. así como Los aspectos económicos de
realizar proyecciones de los los sistemas de gestión
requisitos futuros de capacidad, para documental pueden ser un área
garantizar el comportamiento importante de incertidumbre en
AR
requerido del sistema. una política de reducción de

costes en la organización.
4 Adecuación de la identificación y A.7.1.2 Propiedad de los activos. El control de la Norma
PL
documentación de los sistemas de Toda la información y activos ISO/IEC 27001 identifica la

gestión documental asociados con los recursos para el necesidad de documentar al
tratamiento de la información deben propietario del sistema de
EM
tener un propietario 11 que forme parte gestión documental, aunque

de la organización y haya sido también se necesita una
designado como propietario. adecuada identificación y
EJ
documentación de los sistemas

1) NOTA NACIONAL: Persona o entidad a la que se haya asignado la responsabilidad administrativa del control de la producción. desarrollo,
mantenimiento. uso y seguridad de los activos. El térrnino "propietario" no significa que la persona tenga realmente
algún derecho de propiedad sobre el activo.
AENOR - 39 - ISOffR 18 128:20 14
ISOrfR 18128:2014 - Apartado 5.4 ISO/IEC 27001:201 3 - Controles Observaciones

5 Mantenimiento y aecesihilidad de las A.10.7.4 Seguridad de la El control de la Norma
especificaciones y documentación del documentación del sistema. La ISO/lEC 2700 1 se centra en la
sistema. documentación del sistema dehe protección de la
N
estar protegida contra accesos no documentación para evitar
autorizados. riesgos sohre la seguridad de la
IÓ
información. Desde el punto de
vista de los sistemas de gestión
documental surgen tamhién
AC
incertidumhrcs sohre si es
accesihle cuando se necesita.
Protección y accesihilidad
M
necesitan cquilihrarse ya que
amhas son fuentes de
R
potenciales riesgos.
(¡ Documentación adecuada de la toma A.10.7.4 Seguridad de la Véase arriha
de decisiones de la implementación de
los sistemas de gestión documcrllal.
disponible para los usuarios c uando se
FO
documentación del sistema. La
documentación del sistema dehc
estar protegida contra accesos no
necesite. autorizados.
A
7 Capacidad del sistema de gestión Sin control de la Norma La disponihilidad no es asunto
R
documental para mantener la ISO/TEC 27001 relacionado. central de la seguridad de la

disponihilidad de los documentos. información. pero desde el
PA
punto de vista de los

documentos se debería
considerar un área significativa
de incertidumhrc .
AR
8 Capacidad para importar documentos Sin controles de la Norma

heredados o de otros sistemas de ISO/TEC 27001 relacionados.
negocio.
PL
9 Migración de documentos a un nuevo A.12.5.2 Revisión técnica de las Aparte de los camhios en los
sistema de gestión documental. aplicaciones tras efectuar cambios sistemas operativos. la
EM
moti vado hicn por camhios en los en el sistema operativo. Cuando se migración de uno de los
requisitos documentales o por la modifiquen los sistemas operativos. sistemas a otro debería
tecnología. las aplicaciones empresariales identificarse como un área de
críticas deben ser revisadas y incertidumbre. vigilando el
EJ
probadas para garantizar que no mantenimiento de las

existen efectos adversos en las característi\:as de los
operaciones o en la seguridad de la documentos a lo largo del
organización. tie mpo.
10 Cambios en otros sistemas de los que Sin control de la Norma

el sistema de gestión documental es ISO/IEC 27001 relacionado.
dependiente.
11 Capacidad de los sistemas de Sin control de la Norma
computación en la nube para exportar ISO/lEC 27001 relacionado.
documentos cuando sea preciso y
reintegrarlos en los sistemas de la
organización.
ISO/TR 18128:2014 - 40 - AENOR
ISO!TR 18128:2014 - Apartado 5.4 ISO/IEC 27001 :2013 - Controles Observaciones

12 Adecuación del historial de eventos de A.10.10.1 Registro de auditorías. El registro de auditoría de la
los sistemas de gestión documental. Se deben realizar registros de Norma ISO/IEC 27001 de las
incluyendo su retención durante la auditoría de las actividades de los actividades de los usuarios es
N
vida del sistema y la gestión de las usuarios. las excepciones y eventos limitado desde la perspectiva
dependencias de otros sistemas para de seguridad de la información, y se de los documentos: éste
IÓ
asegurar que mantenga su significado deben mantener estos registros debería ser complementado con
a lo largo del tiempo. durante un periodo acordado para otras acciones desarrolladas
que sirva como prueba en sobre los documentos para
AC
investigaciones futuras y en la constituir el historial de
supervisión del control de acceso. eventos.
13 Capacidad de los sistemas de gestión A.14.1.3 Desarrollo e Los controles de la Norma
M
documental para respaldar la implantación de planes de ISO/IEC 27001 sobre la
continuidad del negocio mediante la continuidad que incluyan la gestión de la continuidad se
R
provisión del acceso a los documentos seguridad de la información. centran en los requisitos de la
en caso de desastre. Deben desarrollarse e implantarse seguridad de la información.
FO
planes para mantener o restaurar las
operaciones y garantizar la
disponibilidad de la información en
Desde el punto de vista de los
documentos. estos controles
deberían completarse con los
el nivel y en el tiempo requeridos. requisitos documentales,
A
después de una interrupción o un principalmente centrados en el
fallo de los procesos de negocio núcleo de documentos
R
críticos. opera ti vos.

PA
A.14.1.4 Marco de referencia para

la planificación de la continuidad
del negocio. Debe mantenerse un
único marco de referencia para los
AR
planes de continuidad del negocio.

para asegurar que todos los planes
sean coherentes, para cumplir los
requisitos de seguridad de la
PL
información de manera consistente y

para identificar las prioridades de
realización de pruebas y de
EM
mantenimiento.
A.14.1.5 Pruebas, mantenimiento
y reevaluación de los planes de
EJ
continuidad del negocio. Los planes

de continuidad del negocio deben
probarse y actualizarse
periódicamente para asegurar que
están al día y que son efectivos.
A.15.1.3 Protección de los
documentos de la organización.
Debe garantizarse la protección y la
privacidad de los datos según se
requiera en la legislación y las
regulaciones y, en su caso, en las
cláusulas contractuales pertinentes.
AENOR - 41 - ISOffR 18128:2014
ISOffR 18128:20 14- Apartado 5.4 ISO/IEC 27001 :2013 - Controles Observaciones
14 Planificación de contingencias ante A.14.1.3 Desarrollo e implantac ión Los controles de la Norma
alteraciones del servicio. de planes de continuidad, que ISO/IEC 2700 1 sobre la
incluyan la seguridad de la gestión de la continuidad del
N
información. Los planes deben negocio se centran e n la
desarrollarse e impleme ntarse para seguridad de la info rmación.
IÓ
mantener o restaurar las operaciones Desde el punto de vista de los
y asegurar la disponibilidad de la documentos estos controles
información al nivel requerido y en pueden complementarse con
AC
el tiempo requerido. tras una requisitos doc umentales
interrupción o fallo crítico de los centrados fundamentalmente
procesos de negocio. en lo que afecta a la
M
continuidad del negocio
Áreas de incertidumbre: interoperabilidad
R
1 Garantía de la identificación y A.10.8.1 Políticas y Los controles de la Norma
especificación de la interopcrabilidad
requerida entre los sistemas de gestión
documental y otros sistemas de
FO
procedimientos de intercambio de
información. Deben establece rse
políticas. procedimientos y controles
ISO/IEC 27001 se focalizan en
la documentación formal sobre
seguridad de la información
negocio. formales que protejan el intercambio para el intercambio de
A
de información mediante el uso de informaci ón entre sistemas.
todo tipo de recursos de Desde el punto de vista de la
R
comunicación. interoperabilidad entre

sistemas de gestión documental
PA
A.10.8.2 Acuerdos de intercambio.

y otros sistemas se puede
Deben establecerse ac uerdos para el
considerar un asunto operati vo
intercambio de información y del
y rutinario. y por lo tanto. un
software entre la organización y los
área general de incertidumbre.
terceros.
AR
Los fallos en los sistemas de

A.10.8.5 Sistemas de información intcroperabi lidad pueden
empresariales. Deben formularse e afectar al acceso y
implantarse políticas y
PL
disponibilidad de los
procedimientos para proteger la documentos.
información asociada a la
interconexión de los sistemas de
EM
información empresariales.
EJ
ISO/TR 18128:2014 - 42 - AENOR
ISOrfR 18128:2014 - Apartado 5.4 ISO/IEC 27001:2013 - Controles Observaciones

2 Dependencia de los sistemas de A.6.2.1 Identificación de los La seguridad de datos en
gestión documental de fuentes de datos riesgos derivados del acceso de proveedores de servicios con
externas y la capacidad de intercamhio terceros. Dehen identificarse los terceros no solamente se
N
de datos con estos sistemas (por riesgos para la información y para considera desde la perspectiva
ejemplo: almacenamiento en la nuhe y los dispositivos de procesado de la de un sistema de gestión
IÓ
otros servicios de almacenamiento información de la organización documental, sino que, tamhién
externo). derivados de los procesos de negocio que los controles sean
que requieran de terceros, e apropiados.
AC
implantar los controles apropiados
antes de otorgar el acceso.
A.6.2.3 Tratamiento de la
M
seguridad en contratos con
terceros. Los acuerdos con terceros
R
que conlleven acceso. tratamiento.
comunicación o gestión. hien de la
FO
información de la organización, o de
los recursos de tratamiento de la
información, o bien la incorporación
de productos o servicios a los
A
recursos de tratamiento de la
información, dehen cuhrir todos los
R
requisitos de seguridad pertinentes.

PA
3 Compatihilidad de normas o A.15.2.2 Comprobación del Los controles de la Norma

especificaciones para el intercamhio de cumplimiento técnico. Dehe ISO/IEC 27001 se centran en
documentos o interoperahilidad entre comproharse periódicamente que los las normas de implementación
sistemas. sistemas de información cumplen las de la seguridad. Desde el punto
AR
normas de aplicación de la de vista de los documentos.

seguridad. como desde el uso de estas
normas en los sistemas de
gestión documental, podría ser
PL
un área de incertidumhre, por

lo que este control dehería
ampliarse a las normas de
EM
interoperahilidad y de
intercambio de los
documentos.
EJ
AENOR - 43 - ISOffR 18128:2014
ISOfTR 18128:2014-Apartado 5.4 ISO/IEC 27001:2013 - Controles Observaciones

4 L1 L·i'ccti\ id;td de la i11tnupcrahilidad A.10.3.2 Aceptación del sistema.
lkl . ; j.,¡L·111a tr;l', lu., c;1111hill-. 11 Se deben establecer los criterios para
aL'tuali1aL·io11c' IL'C11ul1íg ica-,. ta111u la aceptación de nuevos sistemas de
N
para uno L'\\llll> p;tra arnhu, de 111-. información. de las actualizaciones y
-. i-.1crna' irilL')C radP,. de nuevas versiones de los mismos. y
IÓ
se deben llevar a cabo pruebas
adecuadas en los sistemas durante el
desarrollo y previamente a la
AC
aceptación.
5 Gestión de metadatos relacionada con Sin controles de la Norma La capacidad de los sistemas
los controles de documentos entre ISO/IEC 27001 relacionados de gestión documental para
M
sistemas para mantener la usabilidad y respaldar los requisitos de los
el significado de los documentos. metadatos podría ser una
R
importante área de
incertidumbre . Cuando los
FO sistemas de gestión documental
no puedan gestionar metadatos
desde los procesos de los
documentos. el significado y
A
usabilidad de los documentos
se verán afectados.
R
Áreas de incertidumbre: seguridad. Toda esta área de incertidumbre debería ser cubierta por los controles de la
PA
Norma ISO/IEC 27001. Los siguientes ejemplos están vinculados a controle s más importantes.
1 Adecuación de las políticas de A.5.1.1 Documento de política de Cuando se identifican los
seguridad de la organización respecto seguridad de la información. La riesgos en esta área, los
AR
a los documentos, a los procesos y a dirección debe aprobar un profesionales de los

los sistemas de gestión documental. documento de política de seguridad documentos deberían asegurar
de la información. publicarlo y que las políticas de seguridad
distribuirlo a todos los empleados y de la información dl.! la
PL
terceros afectados. organización incluyan las

necesidades específicas de los
A.5.1.2 Revisión de la política de
documentos y de los sistemas
seguridad de la información. La
EM
de gestión documental y.
política de seguridad de la
además. deberían asegurar que
información debe revisarse a
las políticas y procedimientos
intervalos planificados o siempre que
de gestión documental estén
EJ
se produzcan cambios significativos.

alienadas con las de seguridad
a fin de asegurar que se mantenga su
de la información .
idoneidad, adecuación y eficacia.
ISO/TR 18128:2014 - 44 - AENOR
ISOffR 18128:2014 - Apartado 5.4 ISO/IEC 27001 :20 13 - Controles Observaciones

2 Capacidad para hacer cumplir y A.11.1.1 Política de control del Cuando se identifiquen los
proteger los permisos y las reglas de acceso. Se debe establecer. riesgos en esta área. el
acceso vinculados a los documentos. a documentar y revisar una política de profesional de documentos
N
los procesos y a los sistemas de control de acceso basada en los debería considerar las
gestión documental. requisitos empresariales y de restricciones sobre los
IÓ
seguridad para el acceso. permi sos de usuario para
acceder. crear y modificar
A.11.2.1 Registro de usuarios.
documentos. Los permisos
AC
Debe establecerse un procedimiento
deberían estar alineados con las
formal de registro y de anulación de
políticas de control de acceso
usuarios para conceder y revocar el
definidas en las políticas de
acceso a todos los sistemas y
M
seguridad de la información .
servicios de información.
A.11.2.2 Gestión de privilegios. La
R
asignación y el uso de privilegios
controlados. FO
deben estar restringidos y
A.11.2.3 Gestión de contraseñas

de usuario. La asignación de
A
contraseñas debe ser controlada a
través de un proceso de gestión
R
formal.
PA
A.11.2.4 Revisión de los derechos

de acceso de usuario. La Dirección
debe revisar los derechos de acceso
de usuario a intervalos regulares y
AR
utilizando un proceso formal.

A.l 1.6.1 Restricción del acceso a
la información. Se debe restringir el
PL
acceso a la información y a las

aplicaciones a los usuarios y al
personal de soporte. de acuerdo con
EM
la política de control del acceso

definida.
EJ
AENOR - 45 - ISOfTR 18128:2014
ISOffR 18128:2014-Apartado 5.4 ISO/IEC 27001 :2013 - Controles Observaciones

3 Políticas y controles para terceros A.6.2.3 Tratamiento de la
trabajando en representación de la seguridad en contratos con
organización que afectan al terceros. Los acuerdos con terceros
N
almacenamiento. acceso y que conlleven acceso. tratamiento.
procesamiento de los documentos y comunicación o gestión. bien de la
IÓ
sistemas de gestión documental. información de la organización o de
los recursos de tratamiento de la
información. o bien la incorporación
AC
de productos o servicios a los
recursos de tratamiento de la
información. deben cubrir todos los
M
requisitos de seguridad pertinentes .
A.10.2.1 Previsión de servicios. Se
R
debe comprobar que los controles de
seguridad. las definiciones de los
FO
servicios y los niveles de provisión.
incluidos en el acuerdo de provisión
de servicios por terceros. han sido
implantados. puestos en
A
funcionamiento y se mantienen por
parte de un tercero.
R
A.10.2.2 Supervisión y revisión de

PA
los servicios prestados por

terceros. Los servicios. informes y
registros proporcionados por un
tercero deben ser objeto de
AR
supervisión y revisión periódicas y

también deben llevarse a cabo
auditorías periódicas.
PL
A.10.2.3 Gestión de cambios en los

servicios prestados por terceros. Se
deben gestionar los cambios en la
EM
provisión de los servicios.

incluyendo el mantenimiento y la
mejora de las políticas. los
procedimientos y los controles de
EJ
seguridad de la información
existentes. teniendo en cuenta la
criticidad de los procesos y sistemas
del negocio afectados así como la
reevaluación de los riesgos.
ISO/TR 18128:2014 - 46 - AENOR
Bibliografía
[ I] ISO 15489-1:2001. /11for111atio11 a11d docume11tatio11. Records 111a11age111e11t. Part l : General.
[2] ISOfTR l 5489-2:2001. /11for111atio11 all(/ dorn111e11tatio11. Records 111a11age111e11t. Part 2: G11ideli11es.
N
[3] ISO 23081-1 :2006. /11for111atio11 a11d docu111e11tatio11. Records 111a11age 111e11t processes. Metadata for re co rds.
IÓ
Part l : Principies.
[4] ISO 23081-2:2009. lnfor111atio11 and docu111e11tatio11. Ma11agi11g 111 etada ta for records. Part 2: Co11ce¡1tual allll
AC
i111p/e111e11tatio11 issues.
[5] ISOfTR 23081-3:201 l. /nfor111atio11 and doc11111e11tatio11. Ma11agi11g metadata for records. Part 3: Se/f-assess-
111e11t method.
M
[6] ISO 27001, lnfonnation technologr. Security tech11iq11es. Infor111atio11 security 111anage111e11t srstems.
R
Requirements.
[7] FO
ISO!IEC 27005:2011, /11for111atio11 technologv. Security techniques. !11for111atio11 sernrity risk ma11ageme11t.
[8] ISO 31000:2009. Risk 111a11ageme11t. Principies and guidelines.

A
[9] IEC 31010:2009. Risk 111a11age111e11t. Risk assess111e11t techniques.
R
PA
AR
PL
EM
EJ

ISO TR - 18128 Normas para Formacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO TR - 18128 Normas para Formacion

Cargado por

Copyright:

Formatos disponibles

informe UNE-ISO/TR 18128 IN

lnformation et documentation. Evaluation du risque pour les processus et syst~mes d'enregistrement.

Este informe es idéntico al Informe Técnico ISOffR 18128:2014.

©AENOR2014 Génova,6 info@aenor.es Tel.: 902 102 201

3 Términos y definiciones .......................................................................................................... 7

5.5 Procesos documentales ......................................................................................................... 17

6 Análisis de los riesgos identificados ..................................................................................... 19

7 Evaluación de los riesgos ...................................................................................................... 22

8 Comunicación de los riesgos identificados .......................................................................... 25

Anexo A (Informativo) Ejemplo de una entrada en un registro de riesgos ................................. 26

Anexo B (Informativo) Ejemplo: listas de comprobación para identificar áreas de

a) la identificación del riesgo;

b) el análisis del riesgo; y

c) la evaluación del riesgo.

--J Establecimiento del contexto (5.3) :

Apreciación d ~I riesgo (5.4)

Figura 1 - Proceso de gestión del riesgo

1 Objeto y campo de aplicación

Guía ISO 73:2009, Gestión del riesgo. Vocabulario.

3.1 Términos específicos de riesgo

NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.

[FUENTE: Guía ISO 73:2009, Definición 1.1)

3.2 Términos específicos de documentos

3.2.1 sistema de gestión documental:

a) Roles y responsabilidades: se debería especificar el rol de los profesionales de la gestión de documentos en la

4.2 Criterios de riesgo

a) la naturaleza y los tipos de consecuencias que se pueden producir. y como se medirán:

b) la forma en que se expresa la probabilidad;

c) cómo se determinará el nivel de riesgo:

d) el criterio por el cual se decide cuándo un riesgo necesita tratamiento:

e) el criterio por el que se decide cuándo un riesgo es aceptable o tolerable: y

f) cuándo y cómo se tendrán en cuenta combinaciones de riesgos.

S Identificación del riesgo

documentos en la organización: contexto, sistemas y procesos.

Figura 2 - Múltiples capas de contexto de los documentos y los procesos de gestión

documentos o en el registro de riesgos de la organización. Véase el ejemplo en el anexo A.

5.2 Contexto: factores externos

e) cambios en las expectativas de las partes interesadas;

d) incremento de litigios, que aumenta la necesidad de documentos;

e) introducción y adopción de nuevas tecnologías de modo transversal en la sociedad;

f) cambios en el mercado y en los clientes de base de la organización.

5.2.3 Áreas de incertidumbre: entorno físico e infraestructura

5.2.4 Áreas de incertidumbre: amenazas de seguridad externas

d) interrupción o cualquier otro ataque intencionado en los servicios de Internet:

fJ pérdida de servicios de terceros. de los cuales depende el sistema de gestión documental.

5.3 Contexto: factores internos

a) cambio en la propiedad de los documentos y de los sistemas de gestión documenial y, consecuentemente.

transferencias y traslados de documentos a y desde la organización:

g) cambio de los términos en los contratos de servicios con terceros;

b) compatibilidad con plataformas y aplicaciones existentes;

c) planificación e implementación de la migración de documentos;

d) reconfiguración de responsabilidades y controles de los procesos de gestión documental;

e) efectividad en la implementación de los cambios;

EJEMPLO Uso de servicios en la nube, medios de comunicación social, RFID, GPS.

5.3.3 Áreas de incertidumbre: recursos - Personas y competencias

b) conocimiento de las políticas y procesos de gestión documental:

c) compromiso de la alta dirección en dar soporte a la gestión de los documentos:

h) deterioro de los niveles de habilidad del personal:

5.4 Sistemas de gestión documental

5.4.1 Áreas de incertidumbre: diseño del sistema

Basado en la experiencia actual, la identificación de riesgos en el diseño de sistemas, especialmente en contextos

a) definición de los documentos que el sistema crea y gestiona de forma adecuada;

f) acceso a la documentación del proveedor.