Declaracion - de - Aplicabilidad - Segun ISO 27001

[logo de la organización]
[nombre de la organización]
DECLARACIÓN DE APLICABILIDAD
Código
Versión:
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de
confidencialidad:
©2013 Plantilla para clientes de EPPS services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización] [nivel de confidencialidad]
Historial de modificaciones
Fecha Versión Creado por Descripción de la modificación
10/01/2013 0.1 Dejan Kosutic Descripción básica del documento
Tabla de contenido
1. OBJETIVO, ALCANCE Y USUARIOS.......................................................................................................... 3
2. DOCUMENTOS DE REFERENCIA.............................................................................................................. 3
3. APLICABILIDAD DE LOS CONTROLES....................................................................................................... 3
4. ACEPTACIÓN DE LOS RIESGOS RESIDUALES.......................................................................................... 24
5. VALIDEZ Y GESTIÓN DE DOCUMENTOS.................................................................................................25
Declaración de aplicabilidad ver. [versión] del [fecha] Página 2 de 20
1. Objetivo, alcance y usuarios

El objetivo del presente documento es definir qué controles son adecuados para implementar en
[nombre de la organización], cuáles son los objetivos de esos controles y cómo se implementan.
También tiene como objetivo aprobar riesgos residuales y aprobar formalmente la implementación
de los controles mencionados.
Este documento incluye todos los controles detallados en el Anexo A de la norma ISO 27001. Los
controles se aplican a todo el alcance del Sistema de gestión de seguridad de la información (SGSI).
Los usuarios de este documento son todos empleados de [nombre de la organización] que cumplen
una función dentro del SGSI.
2. Documentos de referencia
 Norma ISO/IEC 27001, capítulo 6.1.3 d)
 Política de Seguridad de la Información
 Metodología de evaluación y tratamiento de riesgos
 Informe de evaluación y tratamiento de riesgos
3. Aplicabilidad de los controles

Son aplicables los siguientes controles del Anexo A de la norma ISO 27001:
Controles según la norma Aplicab Justificación Objetivos Método de Estad

ISO/IEC 27001 ilidad de elección/ del implementación o
ID (SÍ/NO) no elección control
Políticas de seguridad de
A.5 la información
Dirección de la gerencia
para la seguridad de la
A.5.1 información
Todas las políticas
Políticas para seguridad indicadas bajo esta
A.5.1.1 de la información columna
Cada política tiene un
propietario designado
Revisión de políticas que debe revisar el
para seguridad documento según un
A.5.1.2 de la información intervalo planificado
Organización de la
seguridad de la
A.6 información
A.6.1 Organización interna

Las responsabilidades
sobre seguridad de la
información se
detallan en varios
documentos del SGSI
Si es necesario, el
Roles y responsabilidades [cargo] define
sobre seguridad de la responsabilidades
A.6.1.1 información adicionales
Cualquier actividad
que incluya
información sensible es
aprobada por una
persona e
A.6.1.2 Segregación de deberes implementada por otra
[Estrategia de
continuidad del
negocio], [Plan de
respuesta a los
A.6.1.3 Contacto con autoridades incidentes]
El [cargo] es el
responsable de
supervisar [detallar los
nombres de grupos de
Contacto con grupos interés y foros de
A.6.1.4 de interés especial seguridad]
El gerente de proyecto
debe incluir las reglas
correspondientes
Seguridad de la sobre seguridad de la
información información en cada
A.6.1.5 en gestión de proyectos proyecto
Dispositivos móviles y
A.6.2 tele-trabajo
[Política de uso
aceptable] / [Política
sobre computación
móvil y tele-trabajo],
Política sobre dispositivos [Política Trae tu propio
A.6.2.1 móviles dispositivo (BYOD)]
[Política de uso
sobre computación
A.6.2.2 Tele-trabajo móvil y tele-trabajo]

Seguridad relacionada
A.7 con el personal
A.7.1 Antes del empleo
El [cargo] verifica a
cada candidato
[describir el método
para las verificaciones;
por ej., revisando el
CV, poniéndose en
contacto con
empleadores
anteriores, verificando
antecedentes penal,
situación financiera,
etc.]; [Política de
seguridad para
A.7.1.1 Selección proveedores]
Todos los empleados
firman la [Declaración
de aceptación de los
documentos del SGSI]
y la [Declaración de
confidencialidad];
Términos y condiciones [Política de seguridad
A.7.1.2 de empleo para proveedores]
A.7.2 Durante el empleo
La dirección exige
activamente que todos
los empleados,
proveedores y socios
Gestión de implementen todas las
A.7.2.1 responsabilidades reglas del SGSI
Política de seguridad
Concienciación, de la información, Plan
educación de capacitación y
y capacitación sobre concienciación,
Seguridad de la [Política de seguridad
A.7.2.2 información para proveedores]
[Procedimiento para
gestión de incidentes],
[Declaración de
aceptación de los
A.7.2.3 Proceso disciplinario documentos del SGSI]
Terminación o cambio
A.7.3 del empleo

Todos los acuerdos con
proveedores y socios
contienen cláusulas
que siguen vigentes
después de finalizado
el empleo, como
también las
[Declaraciones de
Terminación o cambio confidencialidad]
de responsabilidades del firmadas con los
A.7.3.1 empleo empleados.
A.8 Gestión de activos
Responsabilidad sobre
A.8.1 los activos
[Inventario de activos],
[Política de
clasificación de la
A.8.1.1 Inventario de activos información]
[Inventario de activos],
[Política de uso
A.8.1.2 Propiedad de los activos aceptable]
Uso aceptable de los [Política de Uso
A.8.1.3 activos aceptable]
[Política de Uso
aceptable], [Política de
seguridad para
A.8.1.4 Devolución de activos proveedores]
Clasificación de la
A.8.2 información
[Política de
Clasificación de la Clasificación de la
A.8.2.1 información Información]
[Política de
Etiquetado de la Clasificación de la
A.8.2.2 información Información]
[Política de
Clasificación de la
A.8.2.3 Manejo de activos Información]
A.8.3 Gestión de medios
[Política de
Gestión de medios Clasificación de la
A.8.3.1 removibles Información]

[Procedimientos
operativos para
tecnología de la
información y de la
comunicación] /
[Política de eliminación
A.8.3.2 Eliminación de medios y destrucción]
[Política de
Transferencia de medios Clasificación de la
A.8.3.3 físicos Información]
A.9 Control de acceso
Requisitos comerciales
A.9.1 para el control de acceso
Política de control de [Política de control de
A.9.1.1 acceso acceso]
Acceso a redes y a [Política de control de
A.9.1.2 servicios de red acceso]
Gestión de acceso del
A.9.2 usuario
[Política de control de
Registro de usuarios y acceso] / [Política de
A.9.2.1 baja claves]
Concesión de acceso de acceso] / [Política de
A.9.2.2 usuarios claves]
Gestión de derechos de [Política de control de
A.9.2.3 acceso privilegiado acceso]
Gestión de información [Política de control de
secreta acceso] / [Política de
de autenticación claves]
A.9.2.4 de usuarios
Revisión derechos de [Política de control de
acceso acceso]
A.9.2.5 del usuario
Eliminación o ajuste [Política de control de
A.9.2.6 de derechos de acceso acceso]
Responsabilidades del
A.9.3 usuario
[Política de uso
Uso de información aceptable], [Política de
secreta control de acceso] /
A.9.3.1 de autenticación [Política de claves]
Control de acceso a
A.9.4 aplicaciones y sistemas

acceso] / [Política de
Restricción al acceso clasificación de la
A.9.4.1 a la información información]
Existe un proceso de
registro seguro para
Procedimientos de todos los ordenadores
A.9.4.2 registro en el terminal de la red
Sistema de gestión acceso] / [Política de
A.9.4.3 de claves claves]
Solamente el [cargo]
Uso de programas de tiene derecho para
utilidad usar programas de
A.9.4.4 privilegiada utilidad privilegiada
El código fuente del
programa se archiva
[describir la
implementación
Control de acceso al técnica] y solamente el
código [cargo] tiene derechos
A.9.4.5 fuente del programa de acceso
A.10 Criptografía
A.10.1 Controles criptográficos
[Política del uso de
Política del uso de controles
A.10.1.1 controles criptográficos criptográficos]
[Política del uso de
controles
A.10.1.2 Gestión clave criptográficos]
Seguridad física y del
A.11 entorno
A.11.1 Áreas seguras
Las áreas con
información sensible
están protegidas
Perímetro de [describir cómo, con
A.11.1.1 seguridad física paredes, etc.]

El acceso a las áreas
seguras de la
organización deben
estar controladas
[describir cómo:
tarjetas de acceso,
Controles de entrada entrada principal con
A.11.1.2 físicos guardia, etc.]
No se puede acceder a
las instalaciones desde
áreas públicas y las
Seguridad de oficinas áreas seguras no son
habitaciones e visibles para personas
A.11.1.3 instalaciones ajenas a la empresa
Hay un sistema de
alarma instalado y
conectado al centro de
monitoreo de [nombre
del proveedor del
servicio de seguridad],
hay cámaras de
vigilancia instaladas;
está implementada la
protección contra
incendios [describir
Protección ante cómo] y contra
amenazas externas y inundaciones [describir
A.11.1.4 ambientales cómo]
[Procedimientos para
Trabajo en áreas trabajo en áreas
A.11.1.5 seguras seguras]
Las áreas de acceso
público son
controladas [describir
cómo] y las áreas de
carga y descarga
[indicar cuáles] están
Áreas de entrega controladas [describir
A.11.1.6 y carga cómo]
A.11.2 Equipos

Todo el equipamiento
está ubicado en un
área físicamente
protegida, y el
equipamiento
altamente sensible
[indicar cuál] está
ubicado en [nombre
Ubicación y protección del área segura; por
A.11.2.1 del equipo ej., sala de servidores]
Los aparatos de
alimentación continua
[indicar cuáles; por ej.,
dispositivos de UPS,
generadores de
electricidad, etc.] están
instalados para [indicar
para qué equipos de TI
A.11.2.2 Servicios públicos y de otra clase]
Los cables de energía y
de datos están
instalados dentro de
áreas seguras de la
organización y, donde
no fue posible, están
protegidos [indicar
A.11.2.3 Seguridad en el cableado cómo]
El [cargo] debe llevar
un registro de
mantenimiento de
todos los equipos,
según las instrucciones
del fabricante; y debe
garantizar el
Mantenimiento de mantenimiento en
A.11.2.4 equipo tiempo y forma
[Política de Uso
A.11.2.5 Eliminación de activos aceptable]
[Política de uso
Seguridad de equipos y aceptable] / [Política
activos sobre computación
A.11.2.6 fuera de las instalaciones móvil y tele-trabajo]

[Procedimientos
operativos para
tecnología de la
comunicación] /
Eliminación segura o re- [Política de eliminación
A.11.2.7 uso del equipo y destrucción]
[Política de uso
Equipo de usuario de pantalla y escritorio
A.11.2.8 desatendido limpio]
[Política de uso
Política de pantalla y de pantalla y escritorio
A.11.2.9 escritorio limpio limpio]
A.12 Seguridad operativa
Procedimientos y
responsabilidades
A.12.1 operativos
[Procedimientos
operativos para
Procedimientos tecnología de la
operativos información y de la
A.12.1.1 documentados comunicación]
[Procedimientos
operativos para
tecnología de la
comunicación] /
[Política de gestión de
A.12.1.2 Gestión de cambio cambio]
El [cargo] es el
responsable de
supervisar el uso de los
activos de TIC y de
planificar la capacidad
A.12.1.3 Gestión de capacidad necesaria
Los sistemas de
Separación de ambientes desarrollo y
de desarrollo, prueba operacionales están
A.12.1.4 y operativo separados
Protección contra
A.12.2 software malicioso

La herramienta
utilizada es [indicar la
herramienta que se
Controles contra utiliza], [Política de uso
A.12.2.1 software malicioso aceptable]
A.12.3 Copias de seguridad
[Procedimientos
operativos para
tecnología de la
comunicación] /
[Política de creación de
copias de seguridad],
Copia de seguridad de la [Política de uso
A.12.3.1 información aceptable]
A.12.4 Registros y supervisión
[Procedimientos
operativos para
tecnología de la
A.12.4.1 Registro de eventos comunicación]
Los registros no
pueden ser eliminados
sin el permiso
Protección de la otorgado por la
A.12.4.2 información del registro persona autorizada
[Procedimientos
operativos para
Registros del tecnología de la
administrador información y de la
A.12.4.3 y operador comunicación]
Los relojes de los
sistemas en todos los
ordenadores están
sincronizados [indicar
cómo están
sincronizados con una
fuente horaria
A.12.4.4 Sincronización de relojes correcta]
Control del software
A.12.5 operacional
Instalación de software [Política de Uso
en sistemas aceptable]
A.12.5.1 operativos

Gestión de vulnerabilidad
A.12.6 técnica
El [cargo] es el
responsable de
supervisar todas las
vulnerabilidades de las
aplicaciones y de los
demás sistemas, y el
[cargo] debe escoger
las medidas que se
Gestión de tomarán en caso que
vulnerabilidades se identifiquen nuevas
A.12.6.1 técnicas vulnerabilidades
Restricciones sobre [Política de Uso
A.12.6.2 instalación de software aceptable]
Consideraciones de
auditoría de los sistemas
A.12.7 de información
Cada auditoría se
planifica y coordina
con la dirección; las
auditorías se realizan
Controles de auditoría solamente con
sobre sistemas de derechos de acceso de
A.12.7.1 información sólo lectura
Seguridad de las
A.13 comunicaciones
Gestión de seguridad de
A.13.1 red
[Procedimientos
operativos para
tecnología de la
A.13.1.1 Controles de red comunicación]
[Procedimientos
operativos para
tecnología de la
Seguridad de los información y de la
A.13.1.2 servicios de red comunicación]

La red se separa de la
siguiente manera:
[indicar qué segmentos
de la red están
separados, indicar si la
separación es física o
A.13.1.3 Segregación en redes lógica]
Transferencia de la
A.13.2 información
[Procedimientos
operativos para
tecnología de la
comunicación] /
[Política de
Políticas y transferencia de la
procedimientos para Información], [Política
transferencia de la Trae tu propio
A.13.2.1 información dispositivo (BYOD)]
[Procedimientos
operativos para
tecnología de la
comunicación] /
Acuerdos sobre [Política de
transferencia transferencia de la
A.13.2.2 de información información]
[Política de
clasificación de la
información], [Política
A.13.2.3 Mensajes electrónicos de uso aceptable]
El formulario
Acuerdos de [Declaración de
confidencialidad confidencialidad] es
A.13.2.4 y no divulgación predefinido
Adquisición, desarrollo y
mantenimiento de
A.14 sistemas
Requisitos de seguridad
de los sistemas de la
A.14.1 información

Al adquirir nuevos
sistemas de
información o al
cambiar los vigentes, el
[cargo] debe
Análisis de documentar los
requerimientos requisitos de seguridad
y especificaciones para en la [Especificación de
seguridad de la requerimientos de
A.14.1.1 información seguridad]
Seguridad de servicios [Política de desarrollo
de aplicación seguro]
A.14.1.2 en redes públicas
Protección de [Política de desarrollo
transacciones seguro]
de servicios de
A.14.1.3 aplicaciones
Seguridad en procesos de
A.14.2 desarrollo y soporte
Política de desarrollo [Política de desarrollo
A.14.2.1 seguro seguro]
Procedimientos para [Política de desarrollo
A.14.2.2 control de cambios seguro]
El [cargo] es el
responsable de
supervisar y probar
todas las aplicaciones
luego de aplicar
Revisión técnica de cambios en los
aplicaciones luego de sistemas operativos
cambios en la plataforma pero antes de que sean
A.14.2.3 operativa puestos en producción
[Procedimientos
operativos para
tecnología de la
Restricciones sobre comunicación] /
cambios a paquetes [Política de gestión de
A.14.2.4 de software cambio]
Principios de ingeniería [Política de desarrollo
A.14.2.5 para sistema seguro seguro]
Ambiente de [Política de desarrollo
A.14.2.6 desarrollo seguro seguro]

[Política de seguridad
para proveedores],
[Política de desarrollo
A.14.2.7 Desarrollo externalizado seguro]
Prueba de seguridad del [Política de desarrollo
A.14.2.8 sistema seguro]
Prueba de aceptación [Política de desarrollo
A.14.2.9 del sistema seguro]
A.14.3 Datos de prueba
Protección de datos de [Política de desarrollo
A.14.3.1 prueba seguro]
Relaciones con
A.15 proveedores
Seguridad de la
información en las
relaciones con
A.15.1 proveedores
Política de seguridad [Política de seguridad
de la información para para proveedores]
relaciones con
A.15.1.1 proveedores
Tratamiento de la [Política de seguridad
seguridad para proveedores]
en contratos con
Cadena de suministro [Política de seguridad
de tecnología de para proveedores]
información y
A.15.1.3 comunicación
Gestión de servicio de
A.15.2 entrega de proveedores
Supervisión y revisión [Política de seguridad
de servicios de para proveedores]
Gestión de cambios en [Política de seguridad
A.15.2.2 servicios de proveedores para proveedores]
Gestión de los incidentes
de seguridad de la
A.16 información
Gestión de los incidentes
y mejoras en la seguridad
A.16.1 de la información
Responsabilidades y [Procedimiento para
A.16.1.1 procedimientos gestión de incidentes]

Reporte de eventos [Procedimiento para
A.16.1.2 de seguridad gestión de incidentes]
Reporte de debilidades [Procedimiento para
de gestión de incidentes]
seguridad de la
A.16.1.3 información
Evaluación y decisión [Procedimiento para
sobre eventos de gestión de incidentes]
seguridad de la
Respuesta a incidentes [Procedimiento para
de gestión de incidentes],
seguridad de la [Plan de respuesta a
A.16.1.5 información los incidentes]
Aprendizaje a partir [Procedimiento para
de los incidentes gestión de incidentes],
en seguridad de la [Procedimiento para
A.16.1.6 información medidas correctivas]
[Procedimiento para
A.16.1.7 Recolección de evidencia gestión de incidentes]
Aspectos de seguridad de
la información en la
gestión de continuidad
A.17 del negocio
Continuidad de seguridad
[Procedimiento para
identificación de
requisitos], [Política de
continuidad del
negocio], [Metodología
para el análisis del
Planificación de impacto en el negocio],
continuidad [Estrategia de
seguridad de la continuidad del
A.17.1.1 información negocio]
Implementación de [Plan de continuidad
continuidad de del negocio]
seguridad de la

[Plan de
mantenimiento y
Verificación, revisión y revisión del SGCN],
evaluación de [Plan de prueba y
continuidad de verificación],
seguridad de la [Formulario de revisión
A.17.1.3 información postincidente]
A.17.2 Redundancias
Disponibilidad de [Estrategia de
instalaciones recuperación para
para proceso de infraestructura de TI]
A.18 Cumplimiento
Cumplimiento de
requerimientos legales y
A.18.1 contractuales
Identificación de la [Lista de requisitos
legislación legales, normativos,
aplicable y de contractuales y de otra
requerimientos índole]
A.18.1.1 contractuales
Derechos de propiedad [Política de Uso
A.18.1.2 intelectual aceptable]
[Procedimiento para
control de documentos
y registros], [Política
A.18.1.3 Protección de registros de desarrollo seguro]
El [cargo] es el
responsable de
implementar los
requerimientos legales
Privacidad y protección relacionados con la
de información personal protección de datos
A.18.1.4 identificable personales
[Lista de requisitos
legales, normativos,
contractuales y de otra
índole] / [Política del
Regulación de controles uso de controles
A.18.1.5 criptográficos criptográficos]
Revisiones de seguridad

[Procedimiento para
auditoría interna],
auditoría de
Revisión independiente certificación realizada
de por [nombre de la
seguridad de la entidad de
A.18.2.1 información certificación]
Todos los propietarios
de activos de
información, como
también la dirección,
revisan
Cumplimiento de periódicamente la
políticas y normas de implementación de los
A.18.2.2 seguridad controles de seguridad
El [cargo] es el
responsable de
verificar que los
sistemas de
información cumplan
Revisión del técnicamente con los
cumplimiento requerimientos de
A.18.2.3 técnico seguridad
4. Aceptación de los riesgos residuales

Debido a que no se han podido reducir todos los riesgos en el proceso de gestión de riesgos, por
medio de la presente se aceptan todos los siguientes riesgos residuales:
1. Todos los riesgos con valor 0, 1 ó 2.

2. Los riesgos que no pudieron ser reducidos a los niveles mencionados en el punto anterior
luego de la aplicación de los controles, de acuerdo con el siguiente cuadro:
[completar el cuadro con datos de todos los riesgos específicos que no son aceptables; utilizar el
Cuadro de tratamiento de riesgos para tomar los datos].
Nro. Nombre del activo Propietari Amenaza Vulnerabilida Nueva Nueva Riesgo
o del d consecu probabil residual
activo encia idad
5. Validez y gestión de documentos

Este documento es válido desde el [fecha]
El propietario del presente documento es el [cargo], que debe verificar, y si es necesario, actualizar el
documento por lo menos una vez al año e inmediatamente después de las revisiones de evaluación
de riesgos y de las actualizaciones del Cuadro de evaluación de riesgos y del Cuadro de tratamiento
de riesgos.
Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los siguientes
criterios:
 Cantidad de no conformidades debido métodos de implementación de controles específicos

no definidos claramente.
 Cantidad de no conformidades debido a objetivos del control no definidos claramente.
 Cantidad de controles para los cuales no es posible medir el logro de objetivos.
[cargo]
[nombre]
_________________________
[firma]

Declaracion - de - Aplicabilidad - Segun ISO 27001

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Declaracion - de - Aplicabilidad - Segun ISO 27001

Cargado por

Copyright:

Formatos disponibles

[logo de la organización]

10/01/2013 0.1 Dejan Kosutic Descripción básica del documento

3. APLICABILIDAD DE LOS CONTROLES....................................................................................................... 3

4. ACEPTACIÓN DE LOS RIESGOS RESIDUALES.......................................................................................... 24

5. VALIDEZ Y GESTIÓN DE DOCUMENTOS.................................................................................................25

Declaración de aplicabilidad ver. [versión] del [fecha] Página 2 de 20

1. Objetivo, alcance y usuarios

3. Aplicabilidad de los controles

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 3 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 4 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 5 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 6 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 7 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 8 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 9 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 10 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 11 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 12 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 13 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 14 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 15 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 16 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 17 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

Declaración de aplicabilidad ver. [versión] del [fecha] Página 18 de 20

Controles según la norma Aplicab Justificación Objetivos Método de Estad

4. Aceptación de los riesgos residuales

1. Todos los riesgos con valor 0, 1 ó 2.

Declaración de aplicabilidad ver. [versión] del [fecha] Página 19 de 20

5. Validez y gestión de documentos

 Cantidad de no conformidades debido métodos de implementación de controles específicos

Declaración de aplicabilidad ver. [versión] del [fecha] Página 20 de 20

También podría gustarte