Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNE
Septiembre 2014
Versión corregida, Octubre 2014
N
TÍTl lLO Información y documentación
IÓ
Apreciación del riesgo en procesos y sistemas de gestión
AC
documental
M
R
FO
A
R
lnformation and documentation. Risk assessment for records processes and systems.
OBSERVACIONES
EM
EJ
ANTECEDENTES Este informe ha sido elaborado por el comité técnico AEN/CTN 50 Documentación
cuya Secretaría desempeña FESABID.
Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 30351 :2014
Asociación Espailola de
AE NOR Normalización y Certificac16n
46 Páginas
Índice
Prólogo ...................................................................................................................................................... 4
O Introducción ............................................................................................................................ 5
N
1 Objeto y campo de aplicación ..............................•................................................................. 6
IÓ
2 Normas para consulta ............................................................................................................ 7
AC
3.1 Términos específicos de riesgo ............................................................................................... 7
3.2 Términos específicos de documentos ..................................................................................... 8
M
4 Criterios de apreciación del riesgo para la organización .................................................... 8
4.1 Apreciación del riesgo ............................................................................................................ 8
R
4.2 Criterios de riesgo ................................................................................................................... 8
4.3 Asignación de la prioridad ..................................................................................................... 9
5
5.1
FO
Identificación del riesgo ......................................................................................................... 9
Generalidades ......................................................................................................................... 9
5.2 Contexto: factores externos ................................................................................................. 10
5.3 Contexto: factores internos .................................................................................................. 12
A
5.4 Sistemas de gestión documental .......................................................................................... 14
R
7 .1 Generalidades ....................................................................................................................... 22
7.2 Evaluación del impacto de los eventos adversos ................................................................ 23
7.3 Evaluación del riesgo ............................................................................................................ 23
PL
Anexo C (Informativo) Guía para usar los controles del anexo A de la Norma
ISO/IEC 27001 .......................................................................................... 35
Bibliografía............................................................................................................................................. 46
AENOR -5- ISOffR 18128:2014
O Introducción
Todas las organizaciones identifican y gestionan los riesgos relacionados con un funcionamiento exitoso. Identificar y
gestionar los riesgos relacionados con los procesos y sistemas de gestión documental es responsabilidad del profesional
de la gestión de documentos en cada organización.
Este Informe técnico está dirigido a ayudar a los profesionales de la gestión de documentos y a las personas que tienen
N
responsabilidad sobre los documentos en sus organizaciones a apreciar los riesgos relacionados con los procesos y
sistemas de gestión documental.
IÓ
NOTA Sistema de gestión documental significa cualquier aplicación de negocio que cree o almacene documentos.
AC
Esta tarea es distinta de la tarea de identificar y apreciar los riesgos de la organización ante los cuales una de las
respuestas estratégicas es la creación y gestión de los documentos adecuados. Las decisiones de crear o no crear
documentos en respuesta al riesgo general del negocio son decisiones de la organización que deberían basarse en el
análisis de los requisitos de gestión documental llevado a cabo por los profesionales de la gestión de documentos
M
conjuntamente con los responsables de negocio. La premisa de la que parte este informe técnico es que la organización
ha creado documentos de sus actividades para cumplir con los requisitos operacionales u otros propósitos y que ha
R
establecido un mecanismo mínimo para la gestión y control sistemáticos de los mismos.
FO
La consecuencia de los riesgos relacionados con los procesos y sistemas de gestión documental es la pérdida o daño de
los documentos, que por lo tanto dejan de ser usables, fiables, auténticos y completos o inalterados, no sirviendo para
los propósitos de la organización.
A
Este informe técnico proporciona directrices y ejemplos basados en el proceso general de gestión del riesgo establecido
R
en la Norma ISO 31000 (véase la figura 1) aplicados a los riesgos relacionados con los procesos y sistemas de gestión
documental. Cubre:
PA
El resultado del análisis del riesgo relacionado con los procesos y sistemas de gestión documental debería incorporarse
PL
al marco general de la gestión del riesgo de la organización. Como resultado la organización tendrá un mejor control de
sus documentos, de su calidad y de su uso para los propósitos de la organización.
EM
El capítulo 5, identificación del riesgo, proporciona una lista detallada de las áreas de incertidumbre relacionadas con
los procesos y sistemas de gestión documental que sirve como una guía para la identificación del riesgo.
El capítulo 6, análisis del riesgo, proporciona directrices para determinar las consecuencias y las probabilidades de los
EJ
riesgos identificados, teniendo en cuenta la presencia (o no) y la efectividad de cualquier control existente.
El capítulo 7, evaluación del riesgo, proporciona directrices para determinar el nivel y el tipo de riesgos identificados.
El informe no abarca el tratamiento del riesgo. Una vez que se ha completado la apreciación de los riesgos relacionados
con los procesos y sistemas de gestión documental, los riesgos se documentan y comunican a la sección de la
organización que los gestione. La respuesta ante los riesgos apreciados se acomete como parte del programa global de
gestión del riesgo. La prioridad asignada por el profesional de la gestión de documentos al riesgo apreciado debería
sustentar las decisiones de la organización sobre cómo gestionar esos riesgos.
ISOffR 18128:2014 -6- AENOR
N
1 Identificación del riesgo (5.4.2) 1
IÓ
~
1 1
AC
Comunicación Seguimiento
y 1 y
Análisis del riesgo (5.4.3) 1 revisión
M
consulta 1 1 1
(5.2) (5.6)
R
1 Evaluación del riesgo (5.4.4)
1 FO 1
1
A
1 Tratamiento del riesgo (5.5) 1
r
R
1
PA
NOTA La figura l viene de la Norma ISO 31000:2009. La numeración se refiere al texto de la Norma ISO 31000.
PL
sistemas y procesos de gestión documental, de manera que se pueda asegurar que los documentos continúan
satisfaciendo las necesidades de la organización durante todo el tiempo que sea requerido.
EJ
El informe:
a) establece un método de análisis para identificar los riesgos relacionados con los procesos y sistemas de gestión
documental;
b) proporciona un método de análisis de los potenciales efectos de eventos adversos sobre los procesos y sistemas de
gestión documental;
c) proporciona directrices para conducir la apreciación de los riesgos relacionados con los procesos y sistemas de
gestión documental;
d) proporciona directrices para documentar los riesgos apreciados en preparación para la mitigación.
Este informe técnico no trata de los riesgos generales relacionados con las operaciones de la organización que pueden
ser mitigados creando documentos.
AENOR -7- ISOffR 18128:2014
Este informe técnico puede ser utilizado por todas las organizaciones sin importar su tamaño, la naturaleza de sus
actividades o la complejidad de sus funciones y estructura. Estos factores, y el entorno regulatorio de la organización
que prescribe la creación y control de sus documentos, se tienen en cuenta cuando se identifican y aprecian los riesgos
relacionados con los procesos y sistemas de gestión documental.
Para definir una organización o identificar sus límites se deberían tener en cuenta las estructuras complejas y los
arreglos contractuales para servicios extemalizados y cadenas de suministro que son comunes tanto en las
N
administraciones como en las empresas contemporáneas. La identificación de los límites de la organización es el paso
inicial en la definición del alcance de un proyecto de apreciación del riesgo relacionado con la gestión documental.
IÓ
Este informe técnico no trata directamente la mitigación del riesgo ya que los métodos pueden variar de unas
organizaciones a otras.
AC
Este informe técnico puede usarse por los profesionales de la gestión de documentos o las personas que tienen la
responsabilidad sobre los documentos en la organización y por lo auditores y gestores que tiene la responsabilidad de
M
los programas de gestión de riesgos.
R
2 Normas para consulta
FO
Los documentos que se citan a continuación son indispensables para la aplicación de esta norma. Únicamente es
aplicable la edición de aquellos documentos que aparecen con fecha de publicación. Por el contrario, se aplicará la
última edición (incluyendo cualquier modificación que existiera) de aquellos documentos que se encuentran
referenciados sin fecha.
A
R
ISO 30300:2011, Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario.
PA
3 Términos y definiciones
AR
Para los fines de este documento, se aplican los términos y definiciones incluidos en la Norma ISO 30300 y la Guía
ISO 73 además de los siguientes:
PL
3.1.1 riesgo:
Efecto de incertidumbre.
NOTA 2 La incenidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso,
de sus consecuencias o de su probabilidad.
NOTA 3 Con frecuencia el riesgo se caracteriza por referencia a sucesos potenciales (Guía ISO 73:2009, 3.5.1.3) y a sus consecuencias
(Guía ISO 73:2009, 3.6. 1.3), o a una combinación de ambos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las
circunstancias) y de su probabilidad (Guía ISO 73, 3.6.1 . I)
NOTA Esto puede incluir aplicaciones o sistemas de negocio que crean y mantienen documentos.
N
NOTA NACIONAL En la traducción nacional de la UNE-ISO 30300 se utiliza la expresión "aplicación de gestión documentar· para este mismo
témlino. No confundir con "sistema de gestión para los documentos" que está en el título de la serie ISO 30300.
IÓ
[FUENTE: ISO 30300:201 L definición 3.4.4]
AC
3.2.2 procesos de gestión documental:
Conjunto de actividades de la organización que crean. controlan, conservan y eliminan documentos.
M
4 Criterios de apreciación del riesgo para la organización
R
4.1 Apreciación del riesgo
FO
La apreciación del riesgo relacionado con los sistemas y procesos de gestión documental se debería incluir. cuando
exista, en el proceso general de gestión del riesgo de la organización. En este caso, los profesionales de la gestión de
documentos deberían tener en cuenta el contexto interno y externo de la organización. así como el contexto del propio
A
proceso de gestión del riesgo. incluyendo:
R
b) Alcance y amplitud de las actividades de apreciación del riesgo: para evitar redundancia y conflictos y para facilitar
un enfoque integral de la gestión del riesgo que incluya la gestión de documentos. se deberían hacer explícitas las
relaciones con otras áreas de apreciación del riesgo. como la seguridad de la información.
AR
c) Metodología: se debería aplicar la metodología normalizada de apreciación del riesgo utilizando las herramientas de
apreciación del riesgo y reportando a la persona o área designada.
dJ Criterios de riesgo: cuando se hayan establecido criterios de riesgo generales para la organización se deberían usar
PL
para apreciar los riesgos relacionados con los procesos y sistemas de gestión documental.
Cuando la organización no haya establecido un proceso general de gestión del riesgo. los profesionales de gestión de
EM
documentos necesitan establecer los criterios de riesgo que se aplicarán para los procesos y sistemas de gestión
documental al comienzo del proceso de apreciación del riesgo.
EJ
Con respecto a la naturaleza y tipos de consecuencias a incluir en la apreciación del riesgo relacionado con procesos y
sistemas de gestión documental, hay un punto de partida general que se aplica a todas las organizaciones. Los
documentos que son auténticos, fiables, íntegros y usables durante todo el tiempo que se requieren soportan las
necesidades de la organización. Los riesgos se identifican basándose en su potencial para socavar estas características
generales de los documentos haciendo que no satisfagan los propósitos para los que fueron creados.
Para información sobre la probabilidad y la frecuencia de sucesos en la apreciación del riesgo, véase 6.2.
N
Los criterios para evaluar los riesgos, incluyendo los criterios por los cuales se decidirá cuándo un riesgo es aceptable o
IÓ
necesita tratamiento, incluyen el tamaño y alcance de los sistemas de gestión documental de la organización, el número
de usuarios y el uso que se hace del sistema en las operaciones de la organización.
AC
De la misma manera, los criterios para evaluar los riesgos que afectan a los procesos de gestión documental deberían
incluir la frecuencia del proceso, cuántos sistemas se usan en el mismo, y su importancia relativa en la creación o
gestión de los documentos, el seguimiento de los procesos y el potencial para revertir o remediar los potenciales efectos
M
adversos.
R
4.3 Asignación de la prioridad
FO
En general, la organización debería determinar qué documentos son los documentos principales de sus actividades y el
nivel de importancia que se les asigna. Estas son decisiones de la organización basadas en el asesoramiento, tanto de los
profesionales de la gestión de documentos, como de los gestores de negocio.
A
La prioridad asignada a los documentos individuales, sus agrupaciones, los procesos de gestión documental o los
sistemas de gestión documental específicos también se puede evaluar en relación con las respuestas a desastres mayores
R
que afectan a todas o a la mayor parte de las actividades de la organización. Por ejemplo, ciertos documentos son
PA
necesarios en el período inmediatamente posterior a un desastre natural, como las direcciones de los contactos de
seguridad y los números de teléfono, los documentos sobre las entradas a los edificios/instalaciones, los detalles de
contacto de los equipos de intervención, o los detalles de la política de seguros y los contactos de las aseguradoras. Otro
ejemplo, los planes de continuidad del negocio de la organización deberían identificar las funciones que se deberían
AR
restaurar en primer lugar y los documentos que son necesarios para hacerlo.
Se debería prestar una atención especial cuando una combinación de riesgos se aplica a los documentos identificados
como fundamentales para la operación.
PL
5.1 Generalidades
La identificación del riesgo se estructura bajo las siguientes categorías relacionadas con la creación y el control de
EJ
El contexto externo se refiere al entorno político, social, macroeconómico y tecnológico, así como al entorno físico; son
factores fuera del control de la organización con impacto en sus actividades y que se deberían tener en cuenta a la hora
de determinar los requisitos documentales. El contexto externo incluye a las partes interesadas externas que tengan un
interés especial en las actividades de la organización.
La organización también tiene un contexto interno, que consiste en aquellos factores internos no controlados por la
persona responsable de los procesos y sistemas de gestión documental. El contexto interno incluye factores como la
estructura o las finanzas de la organización, el despliegue de tecnología, la dotación de recursos (personas y
presupuestos) y la cultura de la organización, todo lo cual influye en las políticas y el modo en que se gestionan los
documentos.
Las potenciales acciones que generan incertidumbre pueden ser tanto externas como internas a la organización.
ISOffR 181 28:201 4 - 10 - AENOR
La incertidumbre causada por cambios en el contexto externo puede diferir según la perspectiva de los diferentes
niveles de la organización (véase la figura 2). También se reconoce que todo cambio presenta oportunidades que pueden
ser positivas.
N
IÓ
AC
M
R
FO
A
R
PA
El objetivo de la identificación del riesgo es detectar lo que puede suceder o qué situaciones pueden darse que puedan
afectar a la capacidad de los documentos para satisfacer las necesidades de la organización.
PL
El proceso de identificación del riesgo incluye la detección de las causas y el origen del riesgo, las acciones, situaciones
o circunstancias que podrían tener un impacto material sobre los objetivos de la organización, así como la naturaleza de
EM
ese impacto. Hay varios métodos para la identificación del riesgo. Véase la Norma ISO 31010, anexo B, para una
comparación sobre los principales métodos.
La identificación del riesgo debería documentarse en un registro de riesgos, ya sea en un registro específico para
EJ
NOTA El anexo B es un ejemplo de lista de verificación basada en la estructura del capítulo 5 de este texto, que se puede usar en una organización
para la identificación sistemática de los riesgos relacionados con los procesos y sistemas de gestión documental.
Algunos ejemplos de cambio en entornos que afectan a los requisitos de la gestión de los documentos son los
relacionados con la seguridad nacional, el acceso a la información gubernamental o corporativa, la privacidad, los
derechos de propiedad intelectual y la información sobre responsabilidad corporativa. De modo general, ejemplos de las
áreas de incertidumbre incluyen:
a) cambios legales y normativos que afectan a los requisitos de gestión documental de la organización;
N
b) cambios en las políticas de gobierno que afectan a los documentos, sistemas y procesos de gestión documental de la
organización;
IÓ
c) nuevos estándares o prácticas recomendadas que afectan a los documentos, sistemas y procesos de gestión
documental de la organización;
AC
d) cambios en la demanda de servicios documentales;
M
f) cambios en la reputación, o en la confianza, de la capacidad de la organización para prestar sus servicios.
R
5.2.2 Áreas de incertidumbre: entorno macroeconómico y tecnológico
FO
Los cambios en el entorno macroeconómico, el entorno de negocio e industrial, así como en la tecnología de la
información tienen un alto impacto en la competencia y en la demanda de los clientes. Los cambios pueden ser
graduales y continuos, o puntuales debido a una crisis, pero también constituyen un área de incertidumbre que puede
A
ofrecer oportunidades positivas.
R
Algunos ejemplos de las áreas de incertidumbre derivados de estos cambios macroeconómicos o de negocio incluyen:
PA
a) cambios en la propiedad y/o en los beneficios de la organización que afectan a las prioridades de gestión, incluyendo
a la gestión de los documentos;
b) cambios en los objetivos, funciones y operaciones de la organización, modificando los requisitos de la gestión
AR
documental;
c) incremento de la actividad de los organismos reguladores, que aumenta la demanda externa de documentos;
PL
EJEMPLOS La propagación de las tecnologías en la sociedad para uso comercial o uso de dispositivos móviles para
actividades de negocio.
EJ
Estos cambios deberán reflejarse en los cambios organizacionales que se tratan a continuación (véase 5.3.1).
a) fenómenos destructivos o trastornos a nivel regional o local, como terremotos, huracanes o ciclones, tsunamis,
inundaciones, incendios, grandes tormentas o sequías prolongadas.
ISO/TR 18128:2014 - 12 - AENOR
h) potenciales acciones de guerra o terrorismo que causan grandes daños estructurales o interrupción del suministro a
las instalaciones o alrededores de la organización:
c) cualquier otro trastorno en relación a la energía. agua. gestión de residuos. tecnología de la información. servicios de
transporte u otras utilidades y servicios de la organización.
N
La identificación del riesgo debería incluir las amenazas hostiles de seguridad, con sus potenciales impactos. desde
IÓ
daños en las instalaciones o en la prestación de servicios hasta accesos no autorizados a los sistemas. incluyendo al
sistema de gestión documental. Ejemplos de amenazas de seguridad externas incluyen:
AC
a) intrusiones/accesos externos no autorizados al sistema de gestión documental así como camhios no autorizados en
los documentos:
M
b) fallos de seguridad o vulncrahilidad no identificados ni monitorizados. que conducen a la degradación de la
información:
R
EJEMPLO Espionaje o virus infom1áticos: vulnerabilidad a causa de brechas de seguridad o debilidades en un software sin
parche: s.
FO
c) intrusiones físicas dentro del archivo de documentos o del hardware de la infraestructura tecnológica:
e) vandalismo físico:
PA
Las decisiones de gestión que afectan a la organización. como fusiones. absorciones y otras adquisiciones. reestructu-
raciones. reducciones. externalizaciones o lo contrario, deslocalización de servicios. constituyen un área de incertí-
EM
dumhre significativa en el contexto interno de una organización. Estas decisiones afectarán a los procesos y a los
sistemas de gestión documental. por ejemplo:
b) cambio en la propiedad de los documentos y de los sistemas de gestión documental 4ue tiene como resultado la
migración forzosa de documentos o la fusión de sistemas de gestión documental:
c) acuerdos de acceso a los sistemas de gestión documental después de transferencias y migraciones sucesivas para
mantener el derecho de acceso a los documentos:
d) herencia de la responsabilidad sobre los documentos y los sistemas de gestión documental sin la documentación
adecuada:
e) pérdida de la memoria corporativa o personal que afecte al conocimiento de los documentos y sistemas, incluyendo
el conocimiento de procedimientos para recuperarlos y utilizarlos. así como de documentos antiguos derivados de
cambios organizacionales:
AENOR - 13 - ISOffR 18128:2014
f) abandono de documentos o sistemas de gestión documental, especialmente en sistemas heredados, sobre los que no
hay responsabilidades asignadas;
h) nuevas políticas internas o modificaciones en las políticas existentes de la organización que afecten a los sistemas y
procesos de gestión documental;
N
i) políticas y procedimientos que no hayan sido revisados y actualizados y que ya no son aplicables o son
IÓ
inconsistentes o contradictorios tras cambios en la organización;
j) cambios en el personal de la organización que pueden afectar a las responsabilidades sobre los documentos;
AC
k) cambios en las políticas de personal, presupuestos y oportunidades de formación que pueden afectar a la capacidad
de los responsables de la gestión de los documentos;
M
1) plan de recuperación ante desastres no actualizado, que puede afectar a los documentos en caso de desastre.
R
5.3.2 Áreas de incertidumbre: cambio tecnológico
FO
La introducción de nuevas tecnologías y sistemas es una oportunidad para la mejora pero también puede incluir áreas de
incertidumbre con potenciales efectos adversos. Estas áreas de incertidumbre incluyen:
a) cambios tecnológicos que afectan a la interoperabilidad entre sistemas de creación y control de documentos;
A
R
EJEMPLO Adecuación de la planificación y gestión de un proyecto para implementar una nueva plataforma o software.
PL
f) medida en que las políticas existentes abarcan las nuevas tecnologías adoptadas por la organización;
g) capacidad de los administradores y desarrolladores, que despliegan nuevas tecnologías, para entender las implica-
ciones de las mismas en relación con los requisitos de la gestión de documentos, tanto en fases de proyecto como de
ejecución;
EJ
EJEMPLO Uso de software colaborativo o entornos wiki para el desarrollo de proyectos IT, que no capturan adecuadamente
los documentos del proyecto ni la documentación del sistema.
h) capacidad de la infraestructura técnica existente para cumplir con los nuevos requisitos resultantes del desarrollo
tecnológico de la organización y de los sistemas de gestión documental.
a) número de personas que crean y controlan documentos y que diseñan y mantienen el sistema de gestión documental;
ISO/TR 18128:2014 - 14 - AENOR
d) conocimiento de los riesgos relacionados con los procesos y sistemas de gestión documental. así como la capacidad
de la alta dirección para tomar decisiones apropiadas para su disminución:
N
e) gestión de las relaciones entre las responsabilidades administrativas sobre los sistemas de gestión documental y los
puntos de vista de los usuarios:
IÓ
f) adecuación de las capacidades del personal para la creación y el control de los documentos:
AC
g) pérdida de personal esencial con habilidades clave. conocimiento en profundidad de la organización o de su historia:
M
i) adecuación de los medios para evaluar la eficacia o idoneidad del personal.
R
5.3.4 Áreas de incertidumbre: recursos - Económicos y materiales
FO
El contexto externo. el entorno económico y de negocio. así como el nivel de apoyo a la gestión documental en la
organización. afecta a los recursos económicos y materiales disponibles para una adecuada gestión de los procesos y
sistemas de gestión documental. Las áreas de incertidumbre incluyen:
A
a) adecuación de los recursos económicos para alcanzar los compromisos y objetivos de la gestión documental:
R
b) adecuación de los recursos económicos para la adquisición. mejora o mantenimiento de los sistemas de gestión
PA
documental.
En la apreciación del riesgo relacionado con los sistemas que crean o controlan documentos se debería tener en cuenta
tanto el diseño de los sistemas de gestión documental. como los problemas de mantenimiento. sostenibilidad.
continuidad. interoperabilidad y seguridad. Los sistemas de gestión documental que usa la organización cambian a lo
PL
largo del tiempo. en consonancia con las circunstancias económicas. cambios en las actividades y el personal y cambios
de tamaño y estructura. Es fundamental que la alta dirección esté informada adecuadamente sobre el riesgo relacionado
con los sistemas de gestión documental y asuma la responsabilidad de la respuesta de la organización.
EM
NOTA 1 Las referencias a siste mas en esta sección deberían entenderse como referencias a sistemas o aplicaciones de gestión documental. tal como
se definen en el apana<lo 3.2.1.
NOTA 2 Cuando se identifican riesgos en relación con los sistemas <le gestión documental en organizaciones que han implementado los controles de
EJ
la Norma lSO/IEC 27001. los profesionales de la gestión documental deberían tener en cuenta cómo esos controles pueden mitigar el
riesgo en alguna s áreas de inccni<lumbre. En las organizaciones en que la Norma lSO/lEC 27001 no se haya implementado. estos controles
pueden utili zarse como una fuente para definir las acciones de tratamiento de los riesgos . El anexo C es una tabla que relaciona los
ejemplos de las áreas de incenidumbre relacionadas con sistemas de gestión documental con los controles de la Nomrn ISO/IEC 27001
La configuración y el diseño del sistema son aspectos críticos en la creación y perdurabilidad de los documentos. El
diseño interactúa con la identificación del riesgo para los procesos de gestión documental. Una adecuada
documentación de la configuración del sistema es la hase para abordar otras áreas de riesgo a nivel de sistema. pero
también para los procesos que se realizan en el sistema.
NOTA Véase el apana<lo 5.5 para procesos documentales 4ue se realizan en sistemas de gestión documental.
AENOR - 15 - ISOffR 18128:2014
EJEMPLO Todos los elementos del documento en una base de datos transaccional se identifican y gestionan, de modo que las
transacciones se pueden recuperar y recrear.
N
b) adecuada identificación de los requisitos de conservación;
IÓ
EJEMPLO Los periodos de conservación y los detonantes de las acciones de disposición están especificados en los elementos
del documento.
AC
c) identificación y documentación de todos los procesos documentales que se gestionan en el sistema;
d) efectividad del diseño del sistema de gestión documental que se adecúa al personal y la tecnología de la
M
organización;
R
e) negociación de la dependencia del soporte del proveedor;
a) cambios en el negocio y en los sistemas operativos que afecten a los sistemas de gestión documental;
AR
b) nivel de habilidad de los administradores del sistema y su comprensión de los requisitos de mantenimiento de los
documentos incluidos en el sistema;
PL
c) fiabilidad del proveedor del sistema y de su capacidad para mantener y conservar los sistemas tecnológicamente al
día;
EM
El plan de continuidad del sistema de gestión documental tiene en cuenta el plan de continuidad del negocio. En
ausencia de un plan de continuidad de negocio para la organización, los profesionales de la gestión documental evalúan
los sistemas de gestión documental para establecer prioridades y procedimientos para la restauración después de una
interrupción del servicio.
ISOrrR 18128:2014 - 16 - AENOR
a) cambios en el contexto interno y externo que afecten a los requisitos de la gestión de documentos de la
organización;
b) adecuación del control de garantía de calidad para identificar cambios en los requisitos de gestión documental;
N
c) adecuación de la evaluación del coste actual de la implementación y el mantenimiento de los sistemas de gestión
documental, incluyendo los recursos humanos;
IÓ
d) adecuación de la identificación y la documentación de los sistemas de gestión documental;
AC
e) mantenimiento y accesibilidad de las especificaciones y documentación del sistema;
f) adecuación de la documentación de las decisiones tomadas en la implementación disponible para los usuarios que la
M
necesiten;
R
g) capacidad del sistema de gestión documental para mantener la usabilidad de los documentos;
FO
h) capacidad de importar documentos heredados o de otros sistemas de gestión;
i) migración de los documentos a nuevos sistemas de gestión documental, ya sea debido a cambios en los requisitos de
la gestión documental o en la tecnología;
A
j) cambios en otros sistemas de los que el sistema de gestión documental depende;
R
k) capacidad de los sistemas basados en la nube de exportar documentos cuando se requiera y de reintegrarlos en el
PA
1) adecuación del historial de eventos del sistema de gestión documental, incluyendo su conservación y la gestión de la
dependencia de otros sistemas, permitiendo que permanezca comprensible a lo largo del tiempo;
AR
EJEMPLO Mantenimiento de documentación sobre los identificadores únicos usados en el historial de eventos para los
usuarios o las unidades organizativas.
PL
m) capacidad del sistema de gestión documental de dar soporte a la continuidad del negocio proporcionando acceso a
los documentos en caso de desastre;
EM
Los sistemas de gestión documental se relacionan con, y dependen de, otros sistemas que pueden tener puntos
vulnerables.
b) dependencia del sistema de gestión documental de fuentes de datos externas y capacidad para intercambiar, enlazar
o referenciar los datos en estos sistemas (por ejemplo, la nube u otros servicios de almacenamiento externo);
d) efectividad de la interoperabilidad del sistema tras cambios o actualizaciones tecnológicas en uno, o en ambos, de
los sistemas que interoperan;
e) gestión de los metadatos relacionados con los controles documentales para mantener la usabilidad y el significado de
los documentos entre sistemas.
N
La apreciación del riesgo en la seguridad de los sistemas de gestión documental puede llevarse a cabo utilizando la serie
IÓ
de Normas ISO/IEC 27000 y aplicarse como parte del sistema de gestión de seguridad de la información cuando se haya
implementado.
AC
En los anexos B, C y D de la Norma ISO/IEC 27005 se incluyen ejemplos de áreas de incertidumbre que son aplicables
a cualquier sistema de información. Las incertidumbres específicas de los sistemas de gestión documental incluyen:
a) adecuación de la política de seguridad de la organización con respecto a los documentos, procesos documentales y
M
sistemas de gestión documental;
R
b) capacidad de aplicar y proteger las normas de acceso y permisos en relación a los documentos, procesos
documentales y sistemas de gestión documental;
FO
c) políticas y controles para terceros que trabajan en nombre de la organización que afectan al almacenamiento, acceso
y control de los documentos y sistemas de gestión documental.
A
5.5 Procesos documentales
R
La identificación de riesgos se centra en la creación de los documentos (o algunos de sus elementos), en los procesos de
PA
NOTA Se asume que los profesionales de la gestión de documentos utilizan como guía en el diseño de documentos y procesos documentales las
Nonnas ISO 15489, Partes 1y2, e ISO 23081, Partes t, 2 y 3.
AR
a) las actividades de negocio se analizan convenientemente para identificar los requisitos de gestión de documentos;
EM
b) la recogida de requisitos se hace de forma detallada para cada proceso de negocio, incluyendo las necesidades de
todas las partes interesadas;
c) idoneidad del diseño de los documentos (por ejemplo, identificación del contenido y definición de metadatos para
EJ
identificar, describir y utilizar, historial de eventos y planificación de eventos) para cumplir con los requisitos;
a) los momentos de creación y captura de todos los elementos de los documentos son apropiados {oportunos,
integrados, completos) para el proceso de negocio y el(los) sistema(s) de gestión documental;
b) efectividad de la integración de la creación de documentos y los procesos de control de los mismos con los procesos
de negocio, cuando proceda;
ISO/TR 18128:2014 - 18 - AENOR
c) las responsabilidades de los creadores de documentos y de otros agentes participantes en las operaciones (si fuesen
diferentes) están definidas y documentadas adecuadamente;
N
f) los procesos para gestionar y registrar el acceso a los documentos están adecuadamente documentados y
IÓ
monitorizados.
AC
Las áreas de incertidumbre en los procesos de gestión de metadatos son:
a) las especificaciones técnicas de los metadatos para documentar los documentos y los procesos documentales están
M
accesibles:
R
b) la gestión de las especificaciones posibilita su actualización cuando se requiera.
5.5.4
FO
Áreas de incertidumbre: uso de los documentos y de los sistemas de gestión de documental
d) mantenimiento de la información sobre quién ha accedido o ha modificado documentos a lo largo del tiempo:
a) mantenimiento del significado de los metadatos a lo largo del tiempo. en especial los que dependen de datos o
EM
b) adecuación de los procesos documentales para preservar la autenticidad y fiabilidad de los documentos a lo largo del
tiempo:
EJ
t) adecuación de la retención del historial de eventos de los documentos. para mantener su significado a lo largo del
tiempo:
g) aspectos de ohsolescencia de software (incluyendo los camhios de formato) y hardware relacionados tanto con los
procesos documentales como con los sistemas de gestión documental.
EJEMPLO Las versiones antiguas de documentos digitales pueden no ser accesibles a través de las d istintas versiones de las
aplicaciones.
AENOR - 19 - ISOffR 18128:2014
b) procedimientos de disposición que incluyen la conservación más allá del periodo de retención cuando se requiere;
N
EJEMPLO Documentos requeridos para procedimientos legales o solicitados bajo las leyes de "Libertad de Información" pasada
IÓ
su fecha de disposición.
AC
d) la destrucción está apropiadamente autorizada y documentada;
e) se han iniciado pruebas de recuperación forense del hardware y/o dispositivos de almacenamiento descartados.
M
EJEMPLO Adecuación del reformateado de los discos duros de los ordenadores y las impresoras, o dispositivos de
R
almacenamiento, así como USB de memoria, para la eliminación de todos los documentos.
En el caso de los procesos y sistemas de gestión documental, las consecuencias se identifican de acuerdo a las áreas de
PA
incertidumbre y el escalado de acuerdo al criterio establecido para la organización tal y como se especifica en el
capítulo 4.
La probabilidad (o frecuencia) es la posibilidad de que un evento de riesgo ocurra. La probabilidad de que los riesgos
identificados ocurran es analizada de acuerdo a la naturaleza del área de incertidumbre y los datos disponibles a lo largo
de un periodo de tiempo suficiente para una estimación creíble.
EM
Cada riesgo tiene que ser evaluado con respecto a la combinación de la probabilidad de que algo ocurra y las
consecuencias que alcanzarían si realmente ocurriera.
EJ
La probabilidad puede ser expresada de diferentes maneras, pero normalmente son relativas al nivel de riesgo. Los
métodos cualitativos pueden combinar consecuencias, probabilidad y nivel de riesgos mediante niveles significativos
cómo "alto'', "medio" y "bajo".
Los métodos semi-cuantitativos utilizan escalas numéricas para las consecuencias y probabilidades y las combinan
utilizando una fórmula para determinar el nivel de riesgo. Las escalas pueden ser lineales o logarítmicas, o tener
cualquier otra relación; la fórmula utilizada puede también variar.
Los métodos puramente cuantitativos, que utilizan valores numéricos para las consecuencias y sus probabilidades, se
pueden utilizar (estadísticamente) donde haya datos disponibles sobre el desempeño de los procesos y sistemas de
gestión documental por un período de tiempo considerable.
Escalar la frecuencia del evento a lo largo de un eje de tiempo podría ser apropiado para los procesos y sistemas de
gestión de documental. Un ejemplo de cómo se puede escalar la probabilidad se muestra en la tabla 1.
ISO/TR 18128:2014 - 20 - AENOR
N
4 Probabilidad muy alta, ocurre al menos una vez al mes
IÓ
AC
6.2.1 Contexto: factores externos
La evaluación de la probabilidad de los eventos de riesgo - en los entornos sociopolítico. macroeconómico <le negocio y
físico - se basa en las siguientes categorías de información histórica y actual:
M
a) cambios de gobierno o administraciones:
R
bJ estadísticas u otros informes de datos macroeconómicos y de negocio:
FO
c) patrones de cambios políticos o sociales en el plano nacional o internacional que influyen en la localización
geográfica de la organización:
A
<l) ritmo del cambio tecnológico y <le su adopción en la sociedad:
R
e) clima extremo o fenómenos físicos adversos, incluyendo interrupción <le las infraestructuras.
PA
Puede haber una frecuencia muy baja o ninguna instancia histórica de eventos de clima extremo (ejemplo. huracanes) o
fenómenos físicos adversos (ejemplo. fuegos o cortes generalizados de corriente), pero no se puede asumir que dichos
eventos no puedan ocurrir. Dados los desastrosos efectos <le tales eventos. la evaluación de riesgos debería incluir esta
posibilidad.
AR
La evaluación <le la probabilidad para los eventos <le riesgo relacionados con cambios de estructura y actividades. el uso
PL
de la tecnología y <le los recursos en la organización está basada en información acerca <le su historia reciente en las
siguientes categorías:
EM
bJ el propio patrón <le la organización para <lar respuesta a cambios externos. tales como cambios regulatorios.
desarrollo tecnológico o clima financiero:
EJ
La historia de los cambios recientes debería ponerse en contexto con la naturaleza <le las actividades de la organización.
su tamaño y su propia cultura.
EJEMPLO Las organizaciones con un fuerte enfoque a la competencia comercial o con historial de adopción temprana de nuevas
tecnologías. es más probable que implementen nuevas tecnologías que una organización sin ánimo de lucro, donde los
clientes son ancianos o personas en riesgo de exclusión. En organizaciones sin ánimo de lucro, el cambio en la
financiación es uno de los factores con más probabilidades de forzar un cambio interno. La evaluación del ratio de
probabilidad de cambios internos en las organizaciones está basada en información que es específica para cada
organización.
AENOR - 21 - ISOffR 18128:20 14
6.2.3 Sistemas
La apreciación de la probabilidad de eventos de riesgo en el área de sistemas se basa en la información recopilada sobre
seguridad, continuidad. gestión de recursos. interoperabilidad y mantenimiento (todos los que identifican anomalías.
errores de ejecución. asuntos en curso y problemas utilizados para establecer la frecuencia estimada).
Los aspectos de seguridad de los sistemas de gestión documental. su interoperabilidad y gestión general de recursos se
definen y documentan en las etapas de diseño y re visión. mientras que la planificación de la continuidad es un aspecto
N
general del programa de gestión del riesgo de la organización.
IÓ
Los procesos involucrados en el diseño de sistemas podrían ser vulnerables a eventos de riesgo que pueden afectar a los
procesos documentales. Esto se debería tener en cuenta cuando se aprecie la probabilidad de eventos de riesgo en la
AC
etapa de diseño de sistemas.
El análisis de los docu mentos generados en los procedimientos de mantenimiento proporciona una base sólida para
apreciar la probabilidad de e ventos adversos. El mantenimiento de sistemas abarca tanto los aspectos procedimentales
M
como los tecnológicos.
R
La información de seguimiento del control de calidad que identifica las no conformidades en los procedimientos de
FO
mantenimiento se debería analizar para apreciar la frecuencia de ocurrencia e identificar cualquier patrón que pudiera
emerger. Tales patrones de no conformidad se deberían analizar frente las especificaciones del diseño del sistema.
Las pistas de auditoría y registros similares de seguridad o brechas en las restricciones de acceso se deberían igualmente
analizar para identificar c ualquier patrón emergente y para evaluar su frecuencia y causas. Los registros que certifican
A
que las copias de seguridad se han realizado de acuerdo con las especificaciones de diseño deberían proporcionar
R
La apreciación de la probabilidad de eventos adversos en relación con sistemas debería tener en cuenta la prioridad
asignada a los diferentes sistemas de gestión documental.
6.2.4 Procesos
AR
Los procesos de los sistemas de gestión documental establecidos experimentan un cambio incremental a través de
respuestas pragmáticas a las anomalías o eventos menores imprevistos. que pueden acumularse a lo largo del tiempo en
ausencia de revisiones conscientes y correcciones documentadas. La acumulación de cambios incre mentales en los
PL
procesos documentales constituye un área de incertidumbre tan significativa como los eventos adversos externos y
mayores. La probabilidad de divergencia ocasio nada por las especificaciones de diseño se evalúa/aprecia desde e l
análisis de las no conformidades y cambios anómalos autorizados en circunstancias especiales.
EM
La apreciación de la probabilidad de eventos de riesgo en el área de los procesos documentales está basada e n la
información acumulada sobre el uso de documentos y controles documentales e instrumentos. tales como los esquemas
de clasificación y los calendarios de conservación.
EJ
El análisis del grado de cumplimiento de la información acumulada se puede utilizar para identificar las áreas de
actividad de la organización donde la creación de documentos no identifica requisitos, cambios de requisitos o nuevas
áreas de actividad.
El análisis del grado de cumplimiento y de los registros de no conformidades debería proporcionar una base para
identificar cualquier patrón de cambio en el que las aplicaciones de gestión de documentos no hayan respondido
adecuadamente, indicando las vulnerabilidades.
N
IÓ
7 Evaluación de los riesgos
AC
7.1 Generalidades
El propósito de la evaluación del riesgo es ayudar a tomar decisiones sobre qué riesgos necesitan tratamiento y con qué
prioridad, partiendo de los resultados del análisis de los riesgos.
M
La evaluación del riesgo implica comparar el nivel de riesgo detectado durante el proceso de análisis con los criterios de
R
riesgo establecidos en ese contexto. En base a esta comparación, se puede considerar la necesidad de tratamiento.
FO
La escala de consecuencias adversas y la adecuación de los controles existentes se pueden juntar con una tabla de
probabilidad para ayudar a identificar los riesgos que deberían ser el foco de las acciones, medidas o tratamientos.
La evaluación del riesgo en relación con la probabilidad y las consecuencias adversas debería dar el suficiente peso a
los incidentes excepcionales o sin precedentes cuando tienen un impacto generalizado y grave hasta el punto de
PL
catastrófico. Asimismo, el impacto de una acumulación de incumplimientos leves o no conformidades puede ser muy
superior a un incidente individual si el resultado es el deterioro de la integridad y fiabilidad de los documentos o del
sistema de gestión de documentos.
EM
Como se mencionó en la introducción, las consecuencias de los eventos de riesgo se identifican con la pérdida o daño
de los documentos que afecta a su usabilidad, fiabilidad, autenticidad, completitud e inalterabilidad en el tiempo y, por
consiguiente, pueden fallar en dar soporte a las actividades de la organización.
EJ
Un evento puede tener impactos de diferentes magnitudes y afectar a diferentes objetivos y partes interesadas. Cuando
se establecen los criterios de la organización para el proyecto de apreciación del riesgo, se identifican los tipos de
consecuencias que hay que analizar y las partes interesadas afectadas. Cuando se evalúan el impacto del cambio, la
incertidumbre, y los eventos adversos en relación a los documentos se toma en cuenta la prioridad de los documentos.
Una evaluación que considera como menor la consecuencia de un evento adverso, puede elevarse a mayor si los
documentos dañados o perdidos son críticos en la respuesta frente a desastres o se identifican como documentos
principales del negocio.
AENOR - 23 - ISOffR 18128:2014
b) el efecto del daño o la pérdida de los documentos en las operaciones en curso de la organización:
N
c) las medidas ya existentes para responder a la interrupción en el acceso a los documentos:
IÓ
d) el tiempo y el esfuerzo para recobrar o reemplazar los documentos afectados:
AC
e) el impacto de la pérdida o el daño de los documentos en los derechos o propiedad de la organización:
t) el impacto de la pérdida o el daño de los documentos en la capacidad de la organización para cumplir con sus
M
obligaciones con todas las partes interesadas:
R
g) los requisitos legales y regulatorios de informar sobre los daños. pérdida o acceso no autorizado a los documentos y
identificados como los más relevantes para el tamaño y la naturaleza de las actividades de la organización.
PA
Daño en una pequeña Daño de una significativa El daño al conjunto central Daño al conjunto central de
cantidad de documentos en cantidad de documentos en de documentos se extiende documentos en la mayoría de
un área de operaciones un área de operaciones a varias áreas las áreas de operaciones
EM
Pérdida de datos limitada Pérdida de datos/daño a la Pérdida de datos/daño a la Pérdida de datos/ pérdida de
fiabilidad fiabilidad: daño a la fiabilidad: pérdida de la
reputación confianza pública
EJ
La tabla 3 proporciona un ejemplo de cómo se puede determinar la escala del impacto de los incidentes ad versos. en
relación a la estimación de la probabilidad. y cómo se puede presentar de forma tabular.
ISO/TR 18128:2014 - 24 - AENOR
La evaluación del riesgo se debería hacer sobre los procesos y sistemas de gestión documental en orden de prioridad.
N
Documentos Alta Recupaahle
mal clasifi- con los
IÓ
cados. estado MenJual o 111tÍs procedi-
de acceso mi en tos
erróneo existentes
AC
Cambios en la Media Afecta a las
ley de restricciones
protección de Una i·e: al mio de acceso al
la privacidad sistema de
M
personal y
consecuente
R
mente a otros
sistemas
La función de
indexación del
sistema de
Media
Acceso no Baja No
autorizado a recuperable:
los documen- Una i·e: cada se piden
tos de los 3 mios disculpas al
PL
empleados personal
Para utilizar la tabla 3 con este fin. se insertan en una lila en el lado izquierdo los eventos de riesgo identificados. en su
categoría correspondiente y en el nivel de frecuencia adecuado. y en el lado derecho la evaluación de su impacto. Las
organizaciones pueden puntuar el impacto y la probabilidad hasta llegar a la cifra que indique la prioridad asignada para
responder al evento de riesgo.
AENOR - 25 - ISOffR 18128:2014
N
La meta principal en el análisis y la comunicación del riesgo es identificar e imponer prioridades, y tomar las decisiones
adecuadas. La comunicación del riesgo es parte de una gestión eficaz del riesgo para garantizar a toda la organización el
IÓ
reconocimiento de los mismos. La apreciación del riesgo debería supervisarse y revisarse a intervalos regulares con el
fin de asegurar que los controles seleccionados para el tratamiento de los riesgos permanecen efectivos.
AC
M
R
FO
A
R
PA
AR
PL
EM
EJ
ISO/TR 18128:2014 - 26 - AENOR
Anexo A (Informativo)
N
Descripción del riesgo
IÓ
Campos del registro Contenido
ID dd riesgo 4
AC
Nombre del riesgo Incapacidad para determinar al creador de un documento
Tipo o agrupación del riesgo Documento
M
Propietario del riesgo Administrador de la aplicación de gestión de documentos
(EDRMS)
R
Fecha de identificación 12/10/2013
Fecha de la última actualización
Descripción
FO
15/10/2013
Probabilidad Media
Impacto Alto
AR
Estado del riesgo y estado de la acción Empezó la acción de mitigación del riesgo
Fecha de la última evaluación 15110/2013
AENOR - 27 - ISOffR 18128:2014
Anexo B (Informativo)
N
NOTA Este es un ejemplo de una lista de comprobación que puede utilizar>e habitualmente en una organización para identi fi car cambios o áreas de
incertidumbre durante un determinado periodo de tiempo. por ejemplo. anualmente .
IÓ
AC
B.l Factores externos
M
¿La organización tiene implantado un proceso para supervisar los cambios en el L'.ntorno externo'1
R
¡,La supervisión por parte de la organización ha detectado cambios en:
FO
a) la legislación y la normativa que afectan a los requisitos de gestión documental:
b) las políticas gubernamenta les que afectan a los requisitos. procesos y sistemas de gestión documental:
A
e) nuevos códigos de prác ticas o cambios en las normas relativas a los procesos y sistl'.mas de gestión documental:
R
¿Se han producido acontecimientos o cambios en las circunstancias externas que hayan afectado a la reputación o la
imagen pública de la organización durante el último año'!
AR
¡,Se han producido cambios en la propiedad. las estructuras o las func ionl'.S de la organización durante el último año '?
¿Se han producido cambios en los ingresos. la base de clientes u otros cambios en el entorno empresarial que afecten a
EM
¿Se han producido desarrollos tecnológicos en la suciedad que tengan posibles consecuencias sobre la organización '?
¿Los fenómenos meteorológicos extremos regionales o locales u otros desastres naturales se incluye n en Jos planes de
contingencia ante catástrofcs' 1
¿Las situacio nes catastróficas provocadas por el hombre (actos de guerra o terrorismo. accidentes muy graves) se
incluyen en planes de contingencia ante catástrofes?
¿La organizació n está preparada para hacer frente a la pérdida de servicio e n los sistemas y almacenamiento de
documentos?
ISO/TR 18128:2014 - 28 - AENOR
¿Son adecuadas las medidas de seguridad de la información implantadas para proteger los sistemas de gestión
documental del acceso no autorizado o de daños intencionados'?
¿,Es adecuada la seguridad física de los sistemas de almacenamiento de los documentos (almacenamiento en papel y en
formato electrónico) y se comprueha de forma periódica'?
N
¿La seguridad de los sistemas informáticos de la organización se supervisa adecuadamente y se prueha de forma
IÓ
periódica?
¿La organización ha previsto la posihle interrupción de servicios de terceros necesarios para los sistemas de gestión
AC
documental'?
M
B.2 Factores internos
R
B.2.1 Cambios en la organización
FO
¿Está estahlecida y documentada la propiedad de los documentos en todas las partes de la organización')
¿Se han implantado procedimientos para gestionar la transferencia o migración de documentos o la fusión de sistemas
tras producirse camhios en la organización'?
A
Tras producirse transferencias o camhios en la propiedad, ¿,se han acordado y documentado los derechos de acceso que
R
¿Los sistemas de gestión documental pueden fusionarse fácilmente con otros sistemas tras producirse camhios
importantes en la organización'?
¿,Los sistemas de gestión documental. incluidos los sistemas heredados. están suficientemente documentados y dicha
AR
documentación es accesihle'?
¿,Están correctamente definidas las condiciones contractuales relativas a la propiedad. la retención y el control de los
documentos en los acuerdos de suhcontratación. externalización o alojamiento en la nuhe'?
PL
¿La organización puede hacer frente a los camhios en las condiciones de los contratos de servicios de terceros para
mantener o gestionar los sistemas de gestión documental?
EM
¿Se ha implantado un proceso para revisar y actualizar las directivas y los procedimientos relativos a los sistemas de
gestión documental a intervalos regulares'7
EJ
¿En la planificación se han incluido medidas que prevean la posihle pérdida del personal clave responsahle de los
sistemas o procesos de gestión documental'?
¿Se han implantado procedimientos para que los sistemas de gestión documental respondan a los camhios de personal
(por motivos relacionados con la formación. el presupuesto y la reducción de personal)'?
¿Existe un procedimiento para revisar y actualizar los planes de preparación en caso de catástrofes tras producirse
camhios en la organización'?
AENOR - 29 - ISOffR 18128:201 4
¿Los cambios en las tecnologías son compatibles con las plataformas para los sistemas de gestión documental y los
sistemas operativos actuales?
N
¿El procedimiento para llevar a cabo la migración de documentos y sistemas está actualizado, documentado y es
IÓ
adecuado?
¿Se han implantado procesos para garantizar que los metadatos de los documentos se migren por completo cuando se
AC
introducen nuevas tecnologías, y se comprueba si ha habido pérdida de información o si ésta ha resultado dañada?
¿Se han implantado procesos para impedir la eliminación o retención no autorizadas de documentos que ya no se
necesitan cuando se migran o actualizan los sistemas?
M
¿Existe un procedimiento para gestionar la reconfiguración de sistemas y procesos de gestión documental?
R
¿Las responsabilidades relativas a la reconfiguración de sistemas, procesos y controles de gestión documental están
documentadas y actualizadas? FO
¿El proyecto de implementación de los cambios en las tecnologías que afectan a los sistemas de gestión documental se
gestiona adecuadamente?
A
R
¿Las directrices actuales cubren adecuadamente las nuevas tecnologías a medida que la organización las adopta?
PA
¿Los profesionales informáticos y la dirección son conscientes de las implicaciones que tiene la introducción de nuevas
tecnologías para los sistemas de gestión documental y la documentación sobre los sistemas?
¿La actual infraestructura tecnológica de la organización admite cambios tecnológicos en los sistemas de gestión
AR
documental?
¿El número actual de empleados es suficiente para llevar a cabo los procesos de gestión documental y gestionar los
sistemas de gestión documental?
EM
¿El personal de la organización está adecuadamente informado de las directivas y los procesos relativos a la gestión
documental?
EJ
¿La alta dirección considera los riesgos de los procesos y sistemas de gestión documental como riesgos para la
organización que deberían mitigarse?
¿Las responsabilidades sobre los documentos están incluidas en las descripciones de los puestos de trabajo en los casos
pertinentes?
¿Existen o pueden alcanzarse las capacidades para responder ante los cambios en el entorno legislativo externo que
afecten a las directrices y a los procedimientos relativos a los documentos de la organización?
¿Se comprenden y esrán documentadas las responsabilidades de los administradores de sistemas de gestión documental
en lo que respecta a los usuarios de los sistemas?
ISOfl'R 18128:2014 - 30 - AENOR
¿Se han implantado procesos para garantizar la transferencia de habilidades esenciales y conocimientos operativos entre
el personal responsable de la gestión de documentos?
¿Existe un programa de formación continua a disposición del personal responsable de los documentos?
¿Existe un proceso de supervisión para evaluar las habilidades y competencias del personal responsable de los
documentos?
N
IÓ
B.2.4 Recursos: financiación y material
¿La gestión de documentos cuenta con la financiación adecuada para alcanzar los objetivos de las directrices sobre
AC
gestión de documentos y para llevar a cabo los procedimientos relativos a los documentos?
¿Los sistemas de gestión documental cuentan con la financiación y el soporte suficientes, incluidas las actualizaciones y
el mantenimiento de los sistemas?
M
R
B.3 Sistemas de gestión documental
B.3.1 Diseño del sistema FO
¿La documentación del sistema incluye la definición de todos los elementos de los documentos?
A
¿Hay documentación adecuada sobre los metadatos y los procesos del sistema?
R
¿Están identificados y documentados todos los procesos de gestión de documentos gestionados por el sistema?
¿La tecnología elegida es la que corresponde al tamaño, la complejidad y las actividades de la organización?
AR
¿La tecnología es la adecuada para la funcionalidad de los sistemas de gestión documental de archivo?
¿El sistema depende de la asistencia prestada por el proveedor y el contrato de servicios está actualizado y los servicios
PL
adecuadamente definidos?
¿La documentación del proveedor es adecuada, incluidos todos los elementos necesarios y los sistemas de codificación?
EM
B.3.2 Mantenimiento
¿Hay cambios frecuentes en el diseño o en otros aspectos como la seguridad de los sistemas?
EJ
¿La organización cuenta con procedimientos adecuados relativos a la gestión de cambios para garantizar que los
cambios en los sistemas se autoricen, se planifiquen y se controlen?
¿Las habilidades de los administradores de sistemas y su comprensión de los requisitos de gestión documental son
adecuadas y están actualizadas?
¿Se revisa periódicamente la capacidad de los proveedores de sistemas de mantener actualizados los sistemas?
¿La documentación de los procedimientos de mantenimiento de los sistemas de gestión documental es accesible, se
revisa periódicamente y se actualiza?
¿Se supervisan y documentan los fallos o las disfunciones de la tecnología que afectan a las operaciones de los sistemas
de gestión documental?
AENOR - 31 - ISOffR 18128:2014
¿Los procesos de copia de seguridad y restauración de los sistemas de gestión documental se prueban. se documentan y
se revisan de forma periódica?
N
¿Los sistemas de gestión documental se supervisan y se revisan de forma periódica. de acuerdo con los cambios en el
contexto externo e interno que afectan a los requisitos de gestión documental de la organización'7
IÓ
¿La supervisión de la garantía de calidad de los sistemas de gestión documental se revisa para identificar la necesidad
AC
de actualizaciones o de otros cambios en los requisitos'!
¿Se ha llevado a cabo una evaluación de los recursos financieros necesarios para implementar y mantener adec uada-
mente los sistemas de gestió n documental y para asignar a personal competente la responsabilidad sobre dichos
M
sistemas'!
R
¿La organización ha identificado todos los sistemas que crean, contienen o gestionan documentos'!
FO
¿,Las especificaciones de los sistemas de gestión documental están correctamente documentadas y son acccs ihles'1
¿,La capacidad de los sistemas de gestión documental para mantener la usahilidad de los documentos de archivo se
PA
¿,Se supervisa y se elaboran informes de forma periódica sobre la consecución de los objetivos de los sistemas de
gestión documental?
AR
¡,Hay un procedimiento establecido para gestionar la migración de documentos a un nuevo sistema de gestión
documental?
PL
¡,Los sistemas de gestión documental poseen capacidad probada para importar documentos procedentes de sistemas
heredados o de otras emprcsas '7
EM
¿Se s upervisan y gestionan los cambios en otros sistemas de los que dependen los sistemas de gestión documental. o
con los que tienen alguna otra relación'1
EJ
Cuando se utilizan proveedores de servicios externos. como de almacenamiento en la nube. ¿se ha probado la
exportación de documentos y su reintegració n en los sistemas de gestión documental de la organización?
¿Los historiales de eventos de sistemas de gestión documental se revisan a intervalos regulares. y sus dependt:m:ias de
otros sistemas st: gestionan adt:cuadamente'?
¿,En la planificación de la continuidad de la empresa se incluyen específicamente sistemas de gestió n documental ''
¡,Los siste mas de gestión documental contribu yen a la continuidad del negocio al brindar acceso a los documentos en
caso de producirse una catástrofe?
¿Se han implantado planes de contingencia para gestionar la interrupción del servicio en los sistemas de gestión
documental?
ISOffR 18 128:201 4 - 32 - AENOR
B.3.4 Interoperabilidad
¿La organización ha identificado y especificado qué tipo de interoperabilidad es necesaria entre las aplicaciones de
gestión y los sistemas que gestionan documentos?
¿Se han identificado, documentado y gestionado adecuadamente las dependencias de los sistemas de gestión
documental con respecto a fuentes externas de datos u otros sistemas, incluidos servicios externos como el
N
almacenarrúento en la nube?
IÓ
En lo que respecta a la interoperabilidad identificada, ¿la organización emplea normas o especificaciones compatibles
para garantizar que el intercambio de documentos entre dichos sistemas sea sostenible?
AC
¿Se supervisan y gestionan adecuadamente los cambios (como las actualizaciones de software) en los sistemas de los
que dependen los sistemas de gestión documental o con los cuales deberían mantener una relación de interoperabilidad?
¿El intercambio de documentos entre sistemas se registra correctamente en los metadatos de ambos sistemas y se
M
gestiona de forma adecuada?
R
B.3.5 Seguridad
FO
Véase también el anexo C en el que se hace una correspondencia entre los controles para la seguridad de la información
indicados en la Norma ISO/IEC 27001 y las disposiciones de este texto.
A
NOTA En los anexos B, C y D de la Norma ISO/IEC 27005 también se incluyen ejemplos de áreas de incenidumbre que afectan a cualquier sistema
de información.
R
¿La directiva de seguridad (de la información) de la organización aborda de forma adecuada la seguridad de los
PA
¿Se han establecido, se han hecho cumplir en la práctica y se han documentado las restricciones respecto a los perrrúsos
de los usuarios para acceder, crear y cambiar documentos?
AR
¿Se han implantado procedimientos de seguridad para cambiar los derechos de acceso de los usuarios a los sistemas
cuando el personal cambia de puesto o deja de trabajar para la organización?
PL
¿Existen directivas y procedirrúentos para controlar a terceros que trabajan en nombre de la organización que se ocupan
específicamente de la gestión del almacenarrúento, acceso y procesarrúento seguros de los documentos y los sistemas de
gestión documental?
EM
¿La eficacia de la directiva y los controles de seguridad de la información se evalúa de forma periódica, y se toman
medidas correctivas?
EJ
b) es/fue exhaustivo;
¡,El diseño tiene en cuenta todos los usos de los documentos existentes'1
¿El diseño de los documentos en cada sistema específico cumple con los requisitos de metadatos de identidad.
descripción. uso. historial y planificación de eventos'?
¿Se adecuan las reglas de nomenclatura y los cuadros de clasificación, allí donde se usen. a la terminología de la
organización''
N
IÓ
B.4.2 Creación de documentos e implementación de un sistema de gestión de documentos
¿,El proceso de crear documentos y capturarlos es adecuado a los procesos y sistemas de negocio. es decir. está hasado
AC
en una tecnología adecuada. fiable. sistemática y oportuna'!
M
¿El proceso de creación o captura se integra con el proceso de negocio o se asocia estrechamente con la finalización de
la transacción''
R
¿Están los creadores de documentos formados adecuadamente en los procesos'?
FO
¿Las responsahilidades de captura o creación de documentos están documentadas adecuadamente. y donde aplica. se
distinguen de las rcsponsahilidades de los usuarios de las aplicaciones de gestión'!
A
¿Están definidos. asignados y documentados las responsahilidades y los procesos para capturar los documentos
procedentes de los entornos cxternos'1
R
¿El acceso a los dm:umentos concuerda con los requisitos ohligatorios o legales y se documenta y supervisa
PA
adecuadamente''
B.4.3 Metadatos
AR
¿,Están documentadas las especificaciones de metadatos (inclusive las especificaciones técnicas) y están accesihles para
actualizarlas'!
PL
¿Son capaces los usuarios de acceder de forma consistente a los documentos cuando los necesitan'?
EM
¿,Los permisos de los usuarios. de captura o creación. para acceder o modificar documentos. se gestionan adecuada-
mente en el sistema'?
EJ
¿La documentación sohrc el acceso y las modificaciones sohre los documentos se mantiene en el sistema a lo largo del
tiempo·1
¿Las restricciones de acceso se pueden controlar manualmente en el sistema, se registran y existen mecanismos
apropiados para resolver los conflictos'?
¿Los usuarios de los documentos están formados adecuadamente en los procesos de los sistemas '!
¿Se dispone de procesos para prevenir la divulgación incorrecta de documentos sin autorización'?
ISOffR 18 128:2014 - 34 - AENOR
¿Se dispone de mecanismos para gestionar la dependencia de los documentos de sistemas externos (datos u otros
enlaces) para mantener la integridad de los documentos?
N
¿Los procesos para mantener la fiabilidad y autenticidad de los documentos a lo largo del tiempo (por ejemplo,
seguridad ante accesos no autorizados o modificados) son robustos y están documentados y supervisados?
IÓ
Cuando se usa encriptación en la transmisión o almacenaje de documentos ¿se pueden desencriptar?
AC
¿Las revisiones, comentarios y notas sobre un documento, y el histórico de versiones son accesibles tanto tiempo como
sea necesario?
M
¿Se mantiene adecuadamente el historial de eventos para asegurar que permanecen íntegros a lo largo del tiempo?
¿Se dispone de un procedimiento para comprobar la usabilidad de los documentos más antiguos, por ejemplo, la
R
dependencia de software y hardware o la adecuación del almacenaje físico para los documentos en varios formatos?
c) ¿Existe formación adecuada para implementar la disposición para los empleados responsables de los documentos?
EM
¿Existen procesos para asegurar que la destrucción de documentos es completa - teniendo en cuenta la necesidad de
EJ
Anexo C (Informativo)
Guía para usar los controles del anexo A de la Norma ISO/IEC 27001
N
En la identificación del riesgo relacionado con sistemas. en organizaciones que han implementado controles de la
IÓ
Norma ISO/IEC 27001. los profesionales de la documentación de herían tener en cuenta cómo algunos de estos
controles actúan en algunas áreas de inccrtidumhrc como mitigadores del riesgo. En organizaciones donde los controles
de la Norma ISO/IEC 27001 se han implementado. la tarea de apreciación del riesgo relacionado con los procesos y
AC
sistemas de gestión documental asumida por los profesionales de la gestión de documentos. se hencficiará del
conoeimiento profundo de la Norma ISO/IEC 27001 y de la alineación con la tarea de apreciaeión del riesgo de dicha
norma. En las organizaciones donde la Norma ISO/IEC 27001 no está implementada. los eontroles de ésta se pueden
utilizar como una fuente para mitigar las acciones. Es altamente recomendahle la lectura de la Norma ISO/IEC 27001.
M
La siguiente tahla relaciona las áreas de incertidumhre identificadas en el apartado 5.4. sistemas de gestión documental.
R
con los controles estahlecidos en la Norma ISO/IEC 27001.
FO
En la columna de la derecha, "Observaciones", se dan algunas pautas para ayudar a comprender los eontroles de
seguridad de la información de la Norma ISO/IEC 2700 1 desde el punto de vista de los sistemas de gestión d ocumental.
ISOffR 18128 :20 14 - Apartado 5.4 ISO/IEC 27001 :20U - Controles Observaciones
A
Sistemas de gestión documental (anexo A)
R
Áreas de incertidumbre
PA
incertidumhrc. espeeialmente
cuando los sistemas que erean
y controlan documentos
fracasan en la implementació n
EJ
de decisiones de disposición.
N
software debe ser supervisada y suministrado por proveedores
controlada por la organización. externos. cuando se identifica
IÓ
el riesgo se precisa tener en
cuenta la fiabilidad de los
suministradores externos. Los
AC
controles de la Norma
ISO/IEC 27001 pueden ser
demasiado generales desde el
M
punto de vista de los sistemas
de gestión documental.
R
6 Acceso a la documentación del A.10.1.1 Documentación de los La Norma ISO/IEC 27001
vendedor. procedimientos de operación. debería aplicarse a los sistemas
FO
Deben documentarse los
procedimientos de operación y
ponerse a disposición de todos los
de gestión documental como a
cualquier software en lo
relacionado a la
usuarios que los necesiten. documentación, lo cual incluye
A
procedimientos internos para
mantenerla.
R
1 Cambios en los sistemas de negocio y A.10.1.2 Gestión de cambios. Los controles de la Norma
operacionales que afectan a los Deben controlarse los cambios en los ISO/IEC 27001 se deberían
sistemas de gestión documental. recursos y los sistemas de complementar con requisitos
AR
N
actualización de los sistemas. software dchcr ser supervisada y suministrado por proveedores
controlada por la organización. externos. cuando se identifique
IÓ
el riesgo se debería tener en
cuenta la fiabilidad de los
proveedores externos . El
AC
control de la Norma
ISO/IEC 27001 puede ser
demasiado general desde el
M
punto de vista de los sistemas
de gestión documental.
R
4 Adecuación de la documentación de A.10.1.l Documentación de los La documentación (técnica y
los procedimientos para el procedimientos de operación. procedimental) de los sistemas
mantenimiento operativo. FO
Deben documentarse y mantenerse
los procedimientos de operación y
ponerse a disposición de todos los
se debería tratar como
documentos y. en
consecuencia. mantenerse.
usuarios que los necesiten.
A
5 Adecuación de la documentación A.10.1.l Documentación de los La documentación (técnica y
R
N
documentales. de procesamiento de la información sistema, pero los sistemas de
y se deben revisar periódicamente gestión documental requieren
IÓ
los resultados de las actividades de un seguimiento del
supervisión. control/aseguramiento de la
calidad más amplio.
AC
A.10.10.2 Supervisión del uso del
Sistema. Se deben establecer
procedimientos para supervisar el
uso de los recursos de procesamiento
M
de la información y se deben revisar
periódicamente los resultados de las
R
actividades de supervisión.
3 Adecuación de la evaluación de los
costes vigentes de implementación y
mantenimiento del sistema de gestión
FO
A.6.1.3 Asignación de
responsabilidades relativas a la
seguridad de la información.
Los controles de la Norma
ISO/IEC 27001 no cubren los
aspectos económicos de los
documental incluyéndolos recursos Deben definirse claramente todas las sistemas, excepto aquellos
A
humanos. responsabilidades relativas a la controles que incluyen en la
seguridad de la información. organización interna las
R
responsabilidades de seguridad
A.10.3.1 Gestión de capacidades.
de la información.
PA
1) NOTA NACIONAL: Persona o entidad a la que se haya asignado la responsabilidad administrativa del control de la producción. desarrollo,
mantenimiento. uso y seguridad de los activos. El térrnino "propietario" no significa que la persona tenga realmente
algún derecho de propiedad sobre el activo.
AENOR - 39 - ISOffR 18 128:20 14
N
estar protegida contra accesos no documentación para evitar
autorizados. riesgos sohre la seguridad de la
IÓ
información. Desde el punto de
vista de los sistemas de gestión
documental surgen tamhién
AC
incertidumhrcs sohre si es
accesihle cuando se necesita.
Protección y accesihilidad
M
necesitan cquilihrarse ya que
amhas son fuentes de
R
potenciales riesgos.
(¡ Documentación adecuada de la toma A.10.7.4 Seguridad de la Véase arriha
de decisiones de la implementación de
los sistemas de gestión documcrllal.
disponible para los usuarios c uando se
FO
documentación del sistema. La
documentación del sistema dehc
estar protegida contra accesos no
necesite. autorizados.
A
7 Capacidad del sistema de gestión Sin control de la Norma La disponihilidad no es asunto
R
9 Migración de documentos a un nuevo A.12.5.2 Revisión técnica de las Aparte de los camhios en los
sistema de gestión documental. aplicaciones tras efectuar cambios sistemas operativos. la
EM
moti vado hicn por camhios en los en el sistema operativo. Cuando se migración de uno de los
requisitos documentales o por la modifiquen los sistemas operativos. sistemas a otro debería
tecnología. las aplicaciones empresariales identificarse como un área de
críticas deben ser revisadas y incertidumbre. vigilando el
EJ
N
vida del sistema y la gestión de las usuarios. las excepciones y eventos limitado desde la perspectiva
dependencias de otros sistemas para de seguridad de la información, y se de los documentos: éste
IÓ
asegurar que mantenga su significado deben mantener estos registros debería ser complementado con
a lo largo del tiempo. durante un periodo acordado para otras acciones desarrolladas
que sirva como prueba en sobre los documentos para
AC
investigaciones futuras y en la constituir el historial de
supervisión del control de acceso. eventos.
13 Capacidad de los sistemas de gestión A.14.1.3 Desarrollo e Los controles de la Norma
M
documental para respaldar la implantación de planes de ISO/IEC 27001 sobre la
continuidad del negocio mediante la continuidad que incluyan la gestión de la continuidad se
R
provisión del acceso a los documentos seguridad de la información. centran en los requisitos de la
en caso de desastre. Deben desarrollarse e implantarse seguridad de la información.
FO
planes para mantener o restaurar las
operaciones y garantizar la
disponibilidad de la información en
Desde el punto de vista de los
documentos. estos controles
deberían completarse con los
el nivel y en el tiempo requeridos. requisitos documentales,
A
después de una interrupción o un principalmente centrados en el
fallo de los procesos de negocio núcleo de documentos
R
mantenimiento.
A.14.1.5 Pruebas, mantenimiento
y reevaluación de los planes de
EJ
ISOffR 18128:20 14- Apartado 5.4 ISO/IEC 27001 :2013 - Controles Observaciones
Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
14 Planificación de contingencias ante A.14.1.3 Desarrollo e implantac ión Los controles de la Norma
alteraciones del servicio. de planes de continuidad, que ISO/IEC 2700 1 sobre la
incluyan la seguridad de la gestión de la continuidad del
N
información. Los planes deben negocio se centran e n la
desarrollarse e impleme ntarse para seguridad de la info rmación.
IÓ
mantener o restaurar las operaciones Desde el punto de vista de los
y asegurar la disponibilidad de la documentos estos controles
información al nivel requerido y en pueden complementarse con
AC
el tiempo requerido. tras una requisitos doc umentales
interrupción o fallo crítico de los centrados fundamentalmente
procesos de negocio. en lo que afecta a la
M
continuidad del negocio
Áreas de incertidumbre: interoperabilidad
R
1 Garantía de la identificación y A.10.8.1 Políticas y Los controles de la Norma
especificación de la interopcrabilidad
requerida entre los sistemas de gestión
documental y otros sistemas de
FO
procedimientos de intercambio de
información. Deben establece rse
políticas. procedimientos y controles
ISO/IEC 27001 se focalizan en
la documentación formal sobre
seguridad de la información
negocio. formales que protejan el intercambio para el intercambio de
A
de información mediante el uso de informaci ón entre sistemas.
todo tipo de recursos de Desde el punto de vista de la
R
disponibilidad de los
procedimientos para proteger la documentos.
información asociada a la
interconexión de los sistemas de
EM
información empresariales.
EJ
ISO/TR 18128:2014 - 42 - AENOR
N
de datos con estos sistemas (por riesgos para la información y para considera desde la perspectiva
ejemplo: almacenamiento en la nuhe y los dispositivos de procesado de la de un sistema de gestión
IÓ
otros servicios de almacenamiento información de la organización documental, sino que, tamhién
externo). derivados de los procesos de negocio que los controles sean
que requieran de terceros, e apropiados.
AC
implantar los controles apropiados
antes de otorgar el acceso.
A.6.2.3 Tratamiento de la
M
seguridad en contratos con
terceros. Los acuerdos con terceros
R
que conlleven acceso. tratamiento.
comunicación o gestión. hien de la
FO
información de la organización, o de
los recursos de tratamiento de la
información, o bien la incorporación
de productos o servicios a los
A
recursos de tratamiento de la
información, dehen cuhrir todos los
R
interoperahilidad y de
intercambio de los
documentos.
EJ
AENOR - 43 - ISOffR 18128:2014
N
para uno L'\\llll> p;tra arnhu, de 111-. información. de las actualizaciones y
-. i-.1crna' irilL')C radP,. de nuevas versiones de los mismos. y
IÓ
se deben llevar a cabo pruebas
adecuadas en los sistemas durante el
desarrollo y previamente a la
AC
aceptación.
5 Gestión de metadatos relacionada con Sin controles de la Norma La capacidad de los sistemas
los controles de documentos entre ISO/IEC 27001 relacionados de gestión documental para
M
sistemas para mantener la usabilidad y respaldar los requisitos de los
el significado de los documentos. metadatos podría ser una
R
importante área de
incertidumbre . Cuando los
FO sistemas de gestión documental
no puedan gestionar metadatos
desde los procesos de los
documentos. el significado y
A
usabilidad de los documentos
se verán afectados.
R
Áreas de incertidumbre: seguridad. Toda esta área de incertidumbre debería ser cubierta por los controles de la
PA
Norma ISO/IEC 27001. Los siguientes ejemplos están vinculados a controle s más importantes.
1 Adecuación de las políticas de A.5.1.1 Documento de política de Cuando se identifican los
seguridad de la organización respecto seguridad de la información. La riesgos en esta área, los
AR
de gestión documental y.
política de seguridad de la
además. deberían asegurar que
información debe revisarse a
las políticas y procedimientos
intervalos planificados o siempre que
de gestión documental estén
EJ
N
los procesos y a los sistemas de control de acceso basada en los debería considerar las
gestión documental. requisitos empresariales y de restricciones sobre los
IÓ
seguridad para el acceso. permi sos de usuario para
acceder. crear y modificar
A.11.2.1 Registro de usuarios.
documentos. Los permisos
AC
Debe establecerse un procedimiento
deberían estar alineados con las
formal de registro y de anulación de
políticas de control de acceso
usuarios para conceder y revocar el
definidas en las políticas de
acceso a todos los sistemas y
M
seguridad de la información .
servicios de información.
A.11.2.2 Gestión de privilegios. La
R
asignación y el uso de privilegios
controlados. FO
deben estar restringidos y
formal.
PA
N
almacenamiento. acceso y que conlleven acceso. tratamiento.
procesamiento de los documentos y comunicación o gestión. bien de la
IÓ
sistemas de gestión documental. información de la organización o de
los recursos de tratamiento de la
información. o bien la incorporación
AC
de productos o servicios a los
recursos de tratamiento de la
información. deben cubrir todos los
M
requisitos de seguridad pertinentes .
A.10.2.1 Previsión de servicios. Se
R
debe comprobar que los controles de
seguridad. las definiciones de los
FO
servicios y los niveles de provisión.
incluidos en el acuerdo de provisión
de servicios por terceros. han sido
implantados. puestos en
A
funcionamiento y se mantienen por
parte de un tercero.
R
seguridad de la información
existentes. teniendo en cuenta la
criticidad de los procesos y sistemas
del negocio afectados así como la
reevaluación de los riesgos.
ISO/TR 18128:2014 - 46 - AENOR
Bibliografía
[2] ISOfTR l 5489-2:2001. /11for111atio11 all(/ dorn111e11tatio11. Records 111a11age111e11t. Part 2: G11ideli11es.
N
[3] ISO 23081-1 :2006. /11for111atio11 a11d docu111e11tatio11. Records 111a11age 111e11t processes. Metadata for re co rds.
IÓ
Part l : Principies.
[4] ISO 23081-2:2009. lnfor111atio11 and docu111e11tatio11. Ma11agi11g 111 etada ta for records. Part 2: Co11ce¡1tual allll
AC
i111p/e111e11tatio11 issues.
[5] ISOfTR 23081-3:201 l. /nfor111atio11 and doc11111e11tatio11. Ma11agi11g metadata for records. Part 3: Se/f-assess-
111e11t method.
M
[6] ISO 27001, lnfonnation technologr. Security tech11iq11es. Infor111atio11 security 111anage111e11t srstems.
R
Requirements.
[7] FO
ISO!IEC 27005:2011, /11for111atio11 technologv. Security techniques. !11for111atio11 sernrity risk ma11ageme11t.