Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
Copyright ©2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
1
Tabla de contenido
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
2
1. ¿Qué documentos y registros se
requieren?
La siguiente lista muestra el conjunto mínimo de documentos y registros requeridos por elISO/CEI 27001Revisión de 2013,
que fue revisada y confirmada por ISO en 2019 y actualmente es un estándar válido:
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
3
Registros* Número de cláusula ISO 27001
* Los controles del Anexo A pueden excluirse si una organización concluye que no existen riesgos u otros
requisitos que exigirían la implementación de un control.
Esta no es de ninguna manera una lista definitiva de documentos y registros que se pueden usar durante la
implementación de ISO 27001: el estándar permite agregar cualquier otro documento para mejorar el nivel de
seguridad de la información.
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
4
2. Documentos no obligatorios de
uso común
Otros documentos que se utilizan con mucha frecuencia son los siguientes:
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
5
3. Cómo estructurar los documentos y
registros más comunes
La política de seguridad de la información suele ser un documento breve de alto nivel que describe el propósito principal del
SGSI. Los objetivos del SGSI suelen ser un documento independiente, pero también se pueden fusionar con la política de
seguridad de la información. A diferencia de la revisión de ISO 27001 2005, ya no se necesita una política ISMS ni una política
de seguridad de la información: solo se necesita una política de seguridad de la información.
Leer más aquí:Política de seguridad de la información: ¿qué tan detallada debe ser?
Declaración de aplicabilidad
La Declaración de Aplicabilidad (o SoA) se escribe en base a los resultados del tratamiento de riesgos; este es
un documento central dentro del SGSI porque describe no solo qué controles del Anexo A son aplicables, sino
también cómo se implementarán y su estado actual. También podría considerar la Declaración de aplicabilidad
como un documento que describe el perfil de seguridad de su empresa.
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
6
Plan de tratamiento de riesgos
Este es básicamente un plan de acción sobre cómo implementar varios controles definidos por el SoA: se
desarrolla en base a la Declaración de aplicabilidad y se usa y actualiza activamente a lo largo de toda la
implementación del SGSI. A veces se puede fusionar en el plan del proyecto.
Leer más aquí:Plan de tratamiento de riesgos y proceso de tratamiento de riesgos: ¿cuál es la diferencia?
Para obtener más información, consulte este breve manual:Gestión de riesgos ISO 27001 en lenguaje sencillo.
El mejor método es describirlos en todas las políticas y procedimientos, con la mayor precisión posible. Evite
expresiones como "debería hacerse" y, en su lugar, use algo como "CISO realizará xyz todos los lunes a las zxy
horas". Algunas empresas prefieren describir los roles y responsabilidades de seguridad en sus descripciones de
trabajo; sin embargo, esto puede generar mucho papeleo.
Leer más aquí:¿Cuál es el trabajo del Director de Seguridad de la Información (CISO) en ISO 27001?
Inventario de activos
Si no tenía dicho inventario antes del proyecto ISO 27001, la mejor manera de crear dicho documento es directamente a
partir del resultado de la evaluación de riesgos: durante la evaluación de riesgos, todos los activos y sus propietarios deben
identificarse de todos modos, por lo que simplemente copia los resultados desde allí.
Leer más aquí:Cómo manejar el registro de activos (inventario de activos) según ISO 27001.
Esto generalmente se escribe en forma de política, y dicho documento puede cubrir una amplia gama de
temas porque el estándar no define muy bien este control. Probablemente la mejor manera de abordarlo sea
la siguiente: (1) déjelo para el final de la implementación de su SGSI, y (2) todas las áreas y controles que no ha
cubierto con otros documentos y que conciernen a todos los empleados, cúbralos con esta política.
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
7
Política de control de acceso
En este documento, puede cubrir solo el aspecto comercial de aprobar el acceso a cierta información y sistemas, o
también el aspecto técnico del control de acceso; Además, puede optar por definir reglas solo para el acceso lógico, o
también para el acceso físico. Debe escribir este documento solo después de terminar su proceso de evaluación y
tratamiento de riesgos.
Puede escribir esto como un solo documento o como una serie de políticas y procedimientos; si es una empresa más
pequeña, tenderá a tener una cantidad menor de documentos. Normalmente, puede cubrir todas las áreas de las
secciones A.12 y A.13: gestión de cambios, servicios de terceros, respaldo, seguridad de la red, código malicioso,
disposición y destrucción, transferencia de información, monitoreo del sistema, etc. Debe escribir esto documento
solo después de que termine su proceso de evaluación y tratamiento de riesgos.
Este es un nuevo control en ISO 27001 y requiere que los principios de ingeniería segura se documenten en forma de
un procedimiento o estándar, y debe definir cómo incorporar técnicas de seguridad en todas las capas de la
arquitectura: negocios, datos, aplicaciones y tecnología. Estos pueden incluir validación de datos de entrada,
depuración, técnicas de autenticación, controles de sesión seguros, etc.
Este es también un nuevo control en ISO 27001, y dicha política puede cubrir una amplia gama de controles: cómo se realiza
la selección de contratistas potenciales, cómo se realiza la evaluación de riesgos de un proveedor, qué cláusulas de
seguridad insertar en el contrato, cómo para supervisar el cumplimiento de las cláusulas de seguridad contractual, cómo
modificar el contrato, cómo cerrar el acceso una vez finalizado el contrato, etc.
Leer más aquí:Proceso de 6 pasos para el manejo de la seguridad del proveedor según ISO 27001.
Este es un procedimiento importante que define cómo se informan, clasifican y manejan las debilidades de seguridad, los
eventos y los incidentes. Este procedimiento también define cómo aprender de los incidentes de seguridad de la
información, para que puedan prevenirse la próxima vez. Dicho procedimiento también puede invocar el plan de
continuidad comercial si un incidente ha causado una interrupción prolongada.
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
8
Procedimientos de continuidad del negocio
Por lo general, estos son planes de continuidad comercial, planes de respuesta a incidentes, planes de recuperación para el lado
comercial de la organización y planes de recuperación ante desastres (planes de recuperación para la infraestructura de TI). Estos
son los mejor descritos en el estándar ISO 22301, el estándar internacional líder para la continuidad del negocio.
Para obtener más información, haga clic aquí:Plan de continuidad de negocio: Cómo estructurarlo según ISO 22301.
Esta lista debe hacerse tan pronto como sea posible en el proyecto, porque muchos documentos tendrán que
desarrollarse de acuerdo con estos insumos. Esta lista debe incluir no solo las responsabilidades para cumplir con
ciertos requisitos, sino también los plazos.
Estos registros normalmente los mantiene el departamento de recursos humanos; si no tiene dicho departamento,
cualquier persona que normalmente mantenga los registros del empleado debería hacer este trabajo. Básicamente, una
carpeta con todos los documentos insertados en ella servirá.
Leer más aquí:Cómo realizar capacitación y concientización para ISO 27001 e ISO 22301.
Una vez que este método de medición esté en su lugar, debe realizar la medición en consecuencia. Es
importante informar periódicamente de estos resultados a las personas encargadas de evaluarlos.
Leer más aquí:Objetivos de control de ISO 27001: ¿por qué son importantes?
El programa de auditoría interna no es más que un plan de 1 año para realizar las auditorías; para una empresa más pequeña, esto
podría ser solo una auditoría, mientras que para una organización más grande, podría ser una serie de, por ejemplo, 20 auditorías
internas. Este programa debe definir quién realizará las auditorías, métodos, criterios de auditoría, etc.
Leer más aquí:Cómo hacer una lista de verificación de Auditoría Interna para ISO 27001 / ISO 22301.
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
9
Resultados de auditorías internas
Un auditor interno debe producir el informe de Auditoría, que incluye los hallazgos de la auditoría (observaciones y
acciones correctivas). Dicho informe debe producirse dentro de un par de días después de que se realice una
auditoría interna. En algunos casos, el auditor interno deberá verificar si todas las acciones correctivas se han
realizado según lo esperado.
Estos registros normalmente tienen la forma de actas de reuniones: deben incluir todos los materiales que
estuvieron involucrados en la reunión de gestión, así como todas las decisiones que se tomaron. Las actas pueden
ser en papel o en formato digital.
Leer más aquí:¿Por qué es importante la revisión por la dirección para ISO 27001 e ISO 22301?
Estos se incluyen tradicionalmente en los formularios de acción correctiva (CAR). Sin embargo, es mucho mejor incluir dichos
registros en alguna aplicación que ya se utilice en una organización para la mesa de ayuda, porque las acciones correctivas no son
más que listas de tareas pendientes con responsabilidades, tareas y plazos claramente definidos.
Leer más aquí:Uso práctico de acciones correctivas para ISO 27001 e ISO 22301.
Estos normalmente se guardan en dos formas: (1) en forma digital, producidos de forma automática o semiautomática
como registros de varios sistemas de TI y otros, y (2) en forma de papel, donde cada registro se escribe manualmente.
Este es normalmente un procedimiento independiente, de 2 o 3 páginas. Si ya implementó algún otro estándar como
ISO 9001, ISO 14001, ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos sistemas de
gestión. A veces es mejor escribir este procedimiento como el primer documento de un proyecto.
Puedes usar estoherramienta en línea ISO gratuitapara el manejo de su documentación, es decir, utilizarla como un sistema
de gestión documental (DMS).
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
10
Controles para la gestión de registros
La forma más sencilla es describir el control de los registros en cada política o procedimiento (u otro documento) que
requiera la creación de un registro. Estos controles normalmente se escriben hacia el final de cada documento y
generalmente tienen la forma de una tabla que describe dónde se archiva el registro, quién tiene acceso, cómo se
protege, por cuánto tiempo se archiva, etc.
Este es normalmente un procedimiento independiente que puede tener de 2 a 3 páginas y debe escribirse antes de que comience la auditoría
interna. Al igual que ocurre con el Procedimiento de control de documentos, un Procedimiento de auditoría interna puede utilizarse para
Leer más aquí:Dilemas con los auditores internos ISO 27001 y BS 25999-2.
Puede encontrar más información sobre auditoría interna en esta capacitación en línea gratuita:Curso de Auditor Interno ISO 27001.
Este procedimiento no debe tener más de 2 o 3 páginas y se puede escribir al final del proyecto de
implementación, aunque es mejor escribirlo antes para que los empleados se acostumbren.
Para obtener más información, consulte este útil manual:Gestión de la documentación ISO: una guía en un lenguaje
sencillo.
ISO 27001
Para obtener las plantillas para todos los documentos obligatorios y los documentos no obligatorios más comunes, junto con el
asistente que lo ayuda a completar esas plantillas,Regístrese para una prueba gratuita de 30 díasde Conformio, el software líder en
cumplimiento de la norma ISO 27001.
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
11
Advisera Expert Solutions Ltda. Correo electrónico: support@advisera.com EE. UU.
para comercio electrónico y consultoría empresarial (internacional): +1 (646) 759 9933 Reino Unido
Zavizanska 12, 10000 Zagreb (internacional): +44 1502 449001 Número gratuito (EE. UU.
Croacia, Unión Europea y Canadá): 1-888-553-2256 Número gratuito (Estados
Unidos Unido): 0800 808 5485 Australia: +61 3 4000 0020
Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
12