Traducido del inglés al español - www.onlinedoctranslator.

com

Lista de verificación de Obligatorio

Documentación requerida por

ISO/CEI 27001

Copyright ©2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
1
Tabla de contenido

1. ¿Qué documentos y registros se requieren?......................................... .................................................... 3

2. Documentos no obligatorios de uso común........................................... .................................................... 5

3. Cómo estructurar los documentos y registros más comunes .................................. ..........................6

4. Consulte el software de conformidad con la norma ISO 27001.................................. .................................................... .11

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
2
1. ¿Qué documentos y registros se
requieren?

La siguiente lista muestra el conjunto mínimo de documentos y registros requeridos por elISO/CEI 27001Revisión de 2013,
que fue revisada y confirmada por ISO en 2019 y actualmente es un estándar válido:

Documentos* Número de cláusula ISO 27001

Alcance del SGSI 4.3

Política y objetivos de seguridad de la información 5.2, 6.2

Metodología de Evaluación y Tratamiento de Riesgos 6.1.2, 6.1.3

Declaración de aplicabilidad 6.1.3 d)

Plan de Tratamiento de Riesgos 6.1.3 e), 6.2, 8.3

Informe de evaluación y tratamiento de riesgos 8.2, 8.3

Definición de roles y responsabilidades de seguridad A.7.1.2, A.13.2.4

Inventario de Activos A.8.1.1

Uso aceptable de los activos A.8.1.3

Política de control de acceso A.9.1.1

Procedimientos operativos para la gestión de TI A.12.1.1

Principios de ingeniería de sistemas seguros A.14.2.5

Política de seguridad del proveedor A.15.1.1

Procedimiento de Gestión de Incidencias A.16.1.5

Procedimientos de Continuidad del Negocio A.17.1.2

Requisitos legales, reglamentarios y contractuales A.18.1.1

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
3
 Registros* Número de cláusula ISO 27001

Registros de capacitación, habilidades, experiencia y calificaciones 7.2

Resultados de seguimiento y medición 6.2, 9.1

programa de auditoria interna 9.2

Resultados de auditorías internas 9.2

Resultados de la revisión por la dirección 9.3

Resultados de las acciones correctivas 10.1

Registros de actividades de usuario, excepciones y eventos de seguridad A.12.4.1, A.12.4.3

* Los controles del Anexo A pueden excluirse si una organización concluye que no existen riesgos u otros
requisitos que exigirían la implementación de un control.

Esta no es de ninguna manera una lista definitiva de documentos y registros que se pueden usar durante la
implementación de ISO 27001: el estándar permite agregar cualquier otro documento para mejorar el nivel de
seguridad de la información.

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
4
2. Documentos no obligatorios de
uso común

Otros documentos que se utilizan con mucha frecuencia son los siguientes:

Documentos Número de cláusula ISO 27001

Procedimiento para el control de documentos 7.5

Controles para la gestión de registros 7.5

Procedimiento de auditoría interna 9.2

Procedimiento para la acción correctiva 10.1

Política Traiga su propio dispositivo (BYOD) A.6.2.1, A.6.2.2, A.13.2.1

Política de dispositivos móviles y teletrabajo A.6.2.1, A.6.2.2, A.11.2.6

Política de clasificación de la información A.8.2.1, A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3,

A.9.4.1, A.13.2.3

Política de contraseñas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3

Política de eliminación y destrucción A.8.3.2, A.11.2.7

Procedimientos para trabajar en áreas seguras A.11.1.5

Política de escritorio despejado y pantalla despejada A.11.2.9

Política de gestión de cambios A.12.1.2, A.14.2.4

política de copia de seguridad A.12.3.1

Política de transferencia de información A.13.2.1, A.13.2.2, A.13.2.3

Análisis de Impacto del Negocio A.17.1.1

Plan de ejercicios y pruebas. A.17.1.3

Plan de mantenimiento y revisión A.17.1.3

estrategia de continuidad del negocio A.17.1.1, A.17.2.1

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
5
3. Cómo estructurar los documentos y
registros más comunes

Alcance del SGSI

Este documento suele ser bastante breve y está escrito al comienzo de la implementación de la norma ISO 27001.
Normalmente, es un documento independiente, aunque se puede fusionar en una política de seguridad de la información.

Leer más aquí:Problemas con la definición del alcance en ISO 27001.

Política y objetivos de seguridad de la información

La política de seguridad de la información suele ser un documento breve de alto nivel que describe el propósito principal del
SGSI. Los objetivos del SGSI suelen ser un documento independiente, pero también se pueden fusionar con la política de
seguridad de la información. A diferencia de la revisión de ISO 27001 2005, ya no se necesita una política ISMS ni una política
de seguridad de la información: solo se necesita una política de seguridad de la información.

Leer más aquí:Política de seguridad de la información: ¿qué tan detallada debe ser?

Metodología e informe de evaluación y tratamiento de riesgos

La metodología de evaluación y tratamiento de riesgos suele ser un documento de 4 a 5 páginas, y debe

escribirse antes de realizar la evaluación y el tratamiento de riesgos. El informe de evaluación y tratamiento de
riesgos debe redactarse después de realizar la evaluación y el tratamiento de riesgos, y resume todos los
resultados.

Leer más aquí:Evaluación y tratamiento de riesgos ISO 27001: 6 pasos básicos.

Declaración de aplicabilidad

La Declaración de Aplicabilidad (o SoA) se escribe en base a los resultados del tratamiento de riesgos; este es
un documento central dentro del SGSI porque describe no solo qué controles del Anexo A son aplicables, sino
también cómo se implementarán y su estado actual. También podría considerar la Declaración de aplicabilidad
como un documento que describe el perfil de seguridad de su empresa.

Leer más aquí:La importancia de la Declaración de Aplicabilidad de ISO 27001.

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
6
Plan de tratamiento de riesgos

Este es básicamente un plan de acción sobre cómo implementar varios controles definidos por el SoA: se
desarrolla en base a la Declaración de aplicabilidad y se usa y actualiza activamente a lo largo de toda la
implementación del SGSI. A veces se puede fusionar en el plan del proyecto.

Leer más aquí:Plan de tratamiento de riesgos y proceso de tratamiento de riesgos: ¿cuál es la diferencia?

Para obtener más información, consulte este breve manual:Gestión de riesgos ISO 27001 en lenguaje sencillo.

Roles y responsabilidades de seguridad

El mejor método es describirlos en todas las políticas y procedimientos, con la mayor precisión posible. Evite
expresiones como "debería hacerse" y, en su lugar, use algo como "CISO realizará xyz todos los lunes a las zxy
horas". Algunas empresas prefieren describir los roles y responsabilidades de seguridad en sus descripciones de
trabajo; sin embargo, esto puede generar mucho papeleo.

Los roles de seguridad y las responsabilidades de terceros se definen en los contratos.

Leer más aquí:¿Cuál es el trabajo del Director de Seguridad de la Información (CISO) en ISO 27001?

Inventario de activos

Si no tenía dicho inventario antes del proyecto ISO 27001, la mejor manera de crear dicho documento es directamente a
partir del resultado de la evaluación de riesgos: durante la evaluación de riesgos, todos los activos y sus propietarios deben
identificarse de todos modos, por lo que simplemente copia los resultados desde allí.

Leer más aquí:Cómo manejar el registro de activos (inventario de activos) según ISO 27001.

Uso aceptable de los activos

Esto generalmente se escribe en forma de política, y dicho documento puede cubrir una amplia gama de
temas porque el estándar no define muy bien este control. Probablemente la mejor manera de abordarlo sea
la siguiente: (1) déjelo para el final de la implementación de su SGSI, y (2) todas las áreas y controles que no ha
cubierto con otros documentos y que conciernen a todos los empleados, cúbralos con esta política.

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
7
Política de control de acceso

En este documento, puede cubrir solo el aspecto comercial de aprobar el acceso a cierta información y sistemas, o
también el aspecto técnico del control de acceso; Además, puede optar por definir reglas solo para el acceso lógico, o
también para el acceso físico. Debe escribir este documento solo después de terminar su proceso de evaluación y
tratamiento de riesgos.

Procedimientos operativos para la gestión de TI

Puede escribir esto como un solo documento o como una serie de políticas y procedimientos; si es una empresa más
pequeña, tenderá a tener una cantidad menor de documentos. Normalmente, puede cubrir todas las áreas de las
secciones A.12 y A.13: gestión de cambios, servicios de terceros, respaldo, seguridad de la red, código malicioso,
disposición y destrucción, transferencia de información, monitoreo del sistema, etc. Debe escribir esto documento
solo después de que termine su proceso de evaluación y tratamiento de riesgos.

Lea más sobre la gestión de TI aquí:Blog de ITIL e ISO 20000.

Principios de ingeniería de sistemas seguros

Este es un nuevo control en ISO 27001 y requiere que los principios de ingeniería segura se documenten en forma de
un procedimiento o estándar, y debe definir cómo incorporar técnicas de seguridad en todas las capas de la
arquitectura: negocios, datos, aplicaciones y tecnología. Estos pueden incluir validación de datos de entrada,
depuración, técnicas de autenticación, controles de sesión seguros, etc.

Política de seguridad de proveedores

Este es también un nuevo control en ISO 27001, y dicha política puede cubrir una amplia gama de controles: cómo se realiza
la selección de contratistas potenciales, cómo se realiza la evaluación de riesgos de un proveedor, qué cláusulas de
seguridad insertar en el contrato, cómo para supervisar el cumplimiento de las cláusulas de seguridad contractual, cómo
modificar el contrato, cómo cerrar el acceso una vez finalizado el contrato, etc.

Leer más aquí:Proceso de 6 pasos para el manejo de la seguridad del proveedor según ISO 27001.

Procedimiento de gestión de incidencias

Este es un procedimiento importante que define cómo se informan, clasifican y manejan las debilidades de seguridad, los
eventos y los incidentes. Este procedimiento también define cómo aprender de los incidentes de seguridad de la
información, para que puedan prevenirse la próxima vez. Dicho procedimiento también puede invocar el plan de
continuidad comercial si un incidente ha causado una interrupción prolongada.

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
8
Procedimientos de continuidad del negocio

Por lo general, estos son planes de continuidad comercial, planes de respuesta a incidentes, planes de recuperación para el lado

comercial de la organización y planes de recuperación ante desastres (planes de recuperación para la infraestructura de TI). Estos

son los mejor descritos en el estándar ISO 22301, el estándar internacional líder para la continuidad del negocio.

Para obtener más información, haga clic aquí:Plan de continuidad de negocio: Cómo estructurarlo según ISO 22301.

Requisitos legales, reglamentarios y contractuales

Esta lista debe hacerse tan pronto como sea posible en el proyecto, porque muchos documentos tendrán que
desarrollarse de acuerdo con estos insumos. Esta lista debe incluir no solo las responsabilidades para cumplir con
ciertos requisitos, sino también los plazos.

Registros de capacitación, habilidades, experiencia y calificaciones

Estos registros normalmente los mantiene el departamento de recursos humanos; si no tiene dicho departamento,
cualquier persona que normalmente mantenga los registros del empleado debería hacer este trabajo. Básicamente, una
carpeta con todos los documentos insertados en ella servirá.

Leer más aquí:Cómo realizar capacitación y concientización para ISO 27001 e ISO 22301.

Resultados de seguimiento y medición

La forma más fácil de describir la forma en que se medirán los controles es a través de políticas y procedimientos que
definan cada control; normalmente, esta descripción se puede escribir al final de cada documento, y dicha
descripción define los tipos de KPI (indicadores clave de rendimiento) que deben medirse para cada control o grupo
de controles.

Una vez que este método de medición esté en su lugar, debe realizar la medición en consecuencia. Es
importante informar periódicamente de estos resultados a las personas encargadas de evaluarlos.

Leer más aquí:Objetivos de control de ISO 27001: ¿por qué son importantes?

programa de auditoria interna

El programa de auditoría interna no es más que un plan de 1 año para realizar las auditorías; para una empresa más pequeña, esto

podría ser solo una auditoría, mientras que para una organización más grande, podría ser una serie de, por ejemplo, 20 auditorías

internas. Este programa debe definir quién realizará las auditorías, métodos, criterios de auditoría, etc.

Leer más aquí:Cómo hacer una lista de verificación de Auditoría Interna para ISO 27001 / ISO 22301.

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
9
Resultados de auditorías internas

Un auditor interno debe producir el informe de Auditoría, que incluye los hallazgos de la auditoría (observaciones y
acciones correctivas). Dicho informe debe producirse dentro de un par de días después de que se realice una
auditoría interna. En algunos casos, el auditor interno deberá verificar si todas las acciones correctivas se han
realizado según lo esperado.

Resultados de la revisión por la dirección

Estos registros normalmente tienen la forma de actas de reuniones: deben incluir todos los materiales que
estuvieron involucrados en la reunión de gestión, así como todas las decisiones que se tomaron. Las actas pueden
ser en papel o en formato digital.

Leer más aquí:¿Por qué es importante la revisión por la dirección para ISO 27001 e ISO 22301?

Resultados de las acciones correctivas

Estos se incluyen tradicionalmente en los formularios de acción correctiva (CAR). Sin embargo, es mucho mejor incluir dichos

registros en alguna aplicación que ya se utilice en una organización para la mesa de ayuda, porque las acciones correctivas no son

más que listas de tareas pendientes con responsabilidades, tareas y plazos claramente definidos.

Leer más aquí:Uso práctico de acciones correctivas para ISO 27001 e ISO 22301.

Registros de actividades de usuario, excepciones y eventos de seguridad

Estos normalmente se guardan en dos formas: (1) en forma digital, producidos de forma automática o semiautomática
como registros de varios sistemas de TI y otros, y (2) en forma de papel, donde cada registro se escribe manualmente.

Procedimiento para el control de documentos

Este es normalmente un procedimiento independiente, de 2 o 3 páginas. Si ya implementó algún otro estándar como
ISO 9001, ISO 14001, ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos sistemas de
gestión. A veces es mejor escribir este procedimiento como el primer documento de un proyecto.

Leer más aquí:Gestión de documentos en ISO 27001 y BS 25999-2.

Puedes usar estoherramienta en línea ISO gratuitapara el manejo de su documentación, es decir, utilizarla como un sistema
de gestión documental (DMS).

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
10
Controles para la gestión de registros

La forma más sencilla es describir el control de los registros en cada política o procedimiento (u otro documento) que
requiera la creación de un registro. Estos controles normalmente se escriben hacia el final de cada documento y
generalmente tienen la forma de una tabla que describe dónde se archiva el registro, quién tiene acceso, cómo se
protege, por cuánto tiempo se archiva, etc.

Procedimiento de auditoría interna

Este es normalmente un procedimiento independiente que puede tener de 2 a 3 páginas y debe escribirse antes de que comience la auditoría

interna. Al igual que ocurre con el Procedimiento de control de documentos, un Procedimiento de auditoría interna puede utilizarse para

cualquier sistema de gestión.

Leer más aquí:Dilemas con los auditores internos ISO 27001 y BS 25999-2.

Puede encontrar más información sobre auditoría interna en esta capacitación en línea gratuita:Curso de Auditor Interno ISO 27001.

Procedimientos para la acción correctiva

Este procedimiento no debe tener más de 2 o 3 páginas y se puede escribir al final del proyecto de
implementación, aunque es mejor escribirlo antes para que los empleados se acostumbren.

Para obtener más información, consulte este útil manual:Gestión de la documentación ISO: una guía en un lenguaje
sencillo.

4. Consulte el software de cumplimiento de la norma

ISO 27001

Para obtener las plantillas para todos los documentos obligatorios y los documentos no obligatorios más comunes, junto con el
asistente que lo ayuda a completar esas plantillas,Regístrese para una prueba gratuita de 30 díasde Conformio, el software líder en
cumplimiento de la norma ISO 27001.

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
11
 Advisera Expert Solutions Ltda.
para comercio electrónico y consultoría empresarial
Zavizanska 12, 10000 Zagreb
Croacia, Unión Europea
Correo electrónico: support@advisera.com EE. UU.
(internacional): +1 (646) 759 9933 Reino Unido
(internacional): +44 1502 449001 Número gratuito (EE. UU.
y Canadá): 1-888-553-2256 Número gratuito (Estados
Unidos Unido): 0800 808 5485 Australia: +61 3 4000 0020

Copyright © 2021 Advisera Expert Solutions Ltd. Todos los derechos reservados.
12