Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nombre y cargo
Nombre y cargo Nombre y cargo
Contenido
1. Control de Cambios.................................................................................................................................... 3
2. Objetivo....................................................................................................................................................... 3
3. Alcance....................................................................................................................................................... 3
4. Responsabilidades..................................................................................................................................... 3
5. Definiciones................................................................................................................................................ 3
6. Referencias................................................................................................................................................. 4
8. Diagrama de Flujo...................................................................................................................................... 5
9. Descripción................................................................................................................................................. 5
10. Formatos.................................................................................................................................................... 5
1. Control de Cambios
De manera secuencial, registrar todos los cambios realizados al documento. No eliminar las versiones previas.
4. Responsabilidade (Las personas involucradas en hacer los cambios y recibir los cambios), ejemplo:
s Gerencia, áreas o departamentos, Responsable o encargado de administrar el sistema.
5. Definiciones
Es la persona designada por el director general con la autoridad delegada suficiente para
Responsable del SGSI
asegurar el funcionamiento del Sistema de Gestión de Seguridad de la Información.
6. Referencias
6.2. ISO 27001:2013 Sistema de Gestión de Seguridad de la Información.
Entradas Salidas
Creacipon de documentos del SGSI. Información Documentos creados.
Modificación de documentos. Documentada Documentos modificados.
Actualización de registros. Registros modificados/creados.
Indicadores
Evidencias documentales del control documental
Recursos
Todo el personal del SGSI
Responsable del SGSI
Dirección
Documentos de referencia
Control de Documentos (EST-PID-02) y Control de Registros (EST-PID-03).
8. Diagrama de Flujo
9. Descripción
9.1 Elaboración y modificación de documentos.
9.1.1 Para la elaboración y modificación de un documento que forma parte del Sistema de Gestión de
Seguridad de la Informción se requiere tomar en cuenta los siguientes criterios para proceder a
su realización:
9.1.2 Una vez aprobada la justificación para la elaboración o modificación del documento, éste se
desarrolla conteniendo los siguientes puntos:
Control de cambios: Actualización de los cambios indicando número de versión, fecha del
cambio y descripción.
Objetivo: Para qué fin se realiza el procedimiento o instructivo.
Alcance: A qué partes del Sistema de Gestión Seguridad de la Información afecta.
Referencia: En qué parte de la Presentación del Sistema o la Norma de Gestión que
corresponda se menciona dicha actividad o actividades a realizar.
Responsabilidades: Quién o quiénes son responsables del cumplimiento del documento
mencionado.
Definiciones (glosario): Los términos menos comunes usados en el documento.
Entradas y Salidas del Proceso: Sección donde se especifica los datos de entrada para el
producto / servicio / información que detona la operación del documento, así como los
resultados que debe entregar y salidas de este.
Diagrama de Flujo: Sección del procedimiento donde se describen las actividades a realizar
mediante un diagrama de flujo cruzado.
Descripción: Pasos que describen las actividades a realizar para una tarea específica.
Formatos: Todos aquellos formatos, planos y/o documentos que estén relacionados al
desempeño del procedimiento o instructivo.
Nota: Cuando por alguna razón uno de los puntos anteriores no sea aplicable al documento, se deberán
colocar las siglas N/A (no aplica) en el espacio correspondiente.
9.1.3 Para la elaboración de los documentos del Sistema de Gestión de Seguridad de la Información se
establecen los siguientes criterios:
9.1.4 Todos los formatos que son parte del Sistema de Gestión de Seguridad de la Información deben
tener además en su diseño el campo “Fecha” para asegurar la trazabilidad de los registros del
Sistema de Gestión de Seguridad de la Información.
9.1.5 Para realizar modificaciones o mejoras en documentos que son parte del Sistema de Gestión de
Seguridad de la Información se comunicará por correo electrónico la solicitud de cambio y
modificación a documentos del SGSI; la cual es revisada y aprobada por el Responsable del
SGSI.
9.1.6 Dicha modificación deberá ser registrada en el cuadro de Control de Cambios, ubicado en la
página 3 de cada procedimiento en donde se deberá registrar: No. de revisión, modificación
realizada y fecha de revisión.
9.2.1 Para asignar el código a los documentos del Sistema de Gestión de Seguridad de la Información
se dispone de DIEZ caracteres alfanuméricos con lo cual se identifica al área responsable que lo
emite, el tipo de documento y el nivel al que pertenece, quedando de la siguiente forma:
Las tres primeras letras hacen referencia a las iniciales de el nivel de proceso al que
pertenecen:
o Estratégicos: EST.
o Clave: CLA.
o Soporte: SOP.
La quinta letra está dada por el tipo de documento que será elaborado y que puede ser:
P: Procedimiento.
I: Instructivo.
F: Formato.
L: Política.
La sexta y séptima letras se asignan de acuerdo con el área que emite el documento tomando
la siguiente nomenclatura:
Los dos últimos dígitos corresponden al número consecutivo de los documentos emitidos por
el departamento (mismo tipo de documentos).
Para la asignación del código a la Presentación del Sistema Integral se utiliza el mismo criterio
antes mencionado adicionando un caracter más, quedando la quinta, sexta séptima y octava
letra que hacen referencia a “Presentación del Sistema Gestión de Seguridad de la
Información” y que deben ser PSGS (ejemplo: EST-PSGS-01).
9.3 Revisión, aprobación y distribución de documentos del Sistema de Gestión de Seguridad dela
Información.
9.3.1 Todo documento que pretenda formar parte del Sistema de Gestión de Seguridad de la
Información debe estar sometido a una revisión por parte del responsable de área quien lo
solicita; estará aprobado y firmado por el Responsable del SGSI.
9.3.2 Los documentos del Sistema de Gestión de Seguridad de la Información llevan una versión “uno”
(1), cuando son emitidos por primera vez. Dicho número debe estar sustentado en los
documentos aplicables. Cuando el documento sufre alguna modificación, el número de versión
cambia y debe anotarse la fecha en que se modifica de documento (fecha de emisión).
9.3.3 Cuando un documento emitido o modificado es aprobado, se debe pasar en limpio para recabar
las firmas correspondientes y realizar la distribución a las diferentes áreas en que sea aplicable,
apegándose a lo estrictamente establecido en el Procedimiento: Control de Documentos
EST-PID-02.
9.3.5 El Responsable del SGSI, así como los encargados de la elaboración, modificación y distribución
de los documentos, son responsables de vigilar que los procedimientos y cualquier otro
documento del Sistema de Gestión de Seguridad de la Información que sea utilizado por el
personal correspondan a la última revisión.
9.3.2 Se lleva a cabo el Formato: Control de Cambios EST-FID-01 donde se reportan las
modificaciones, el motivo, quién realiza, quién autoriza, fecha y validación.
9.4.1 El documento debe llevar en una etiqueta en pie de página, parte inferior izquierda, letra Arial 11,
con mayúscula y negrita, de acuerdo con la siguiente clasificación:
Interna.
Restringida.
Confidencial.
Pública.
9.4.2 El director general designa al Responsable del SGSI con independencia de otras
responsabilidades, con la finalidad de establecer, implementar y mantener el Sistema de Gestión
de Seguridad de la información. Esta designación se hace por medio de un memorándum firmado
por el director general.
9.5.1 Con la finalidad de que todo el personal involucrado en el Sistema de Gestión de Seguridad de la
Información actúe con mayor eficiencia se constituye un comité de Seguridad, el cual queda
integrado por los responsables de área. El Responsable del SGSI debe generar la evidencia de la
formalización de este comité a través del Formato: Minuta EST-FED-01.
9.5.2 El comité de calidad y seguridad de la información planifica la actividad del Sistema de Gestión
de Seguridad de la Información determinando sus objetivos, de los cuales se derivan indicadores
de desempeño de cada proceso, considerando los compromisos con los clientes, autoridades, el
medio ambiente y la sociedad en general.
Estos compromisos junto con el análisis y la corrección o mejora del desempeño de los
indicadores son revisados por lo menos cada 6 (seis) meses o cuando se presente algún
comportamiento anómalo en los indicadores o un cambio importante que pueda afectar las
actividades y la seguridad de la información.
9.5.3 Los responsables de área elaboran un reporte semestral del comportamiento de los indicadores
de proceso para medir el desempeño de este mediante un método gráfico comparativo con datos
anteriores, los cuales se utilizan en la revisión del Sistema de Gestión de Seguridad de la
Información para la realización del seguimiento, medición, análisis y mejora de los procesos; este
análisis se somete a una comparación con lo planeado.
9.5.4 Las revisiones al Sistema de Gestión de Seguridad de la Información se realizan por lo menos
cada 6 (seis) meses y se planifican de acuerdo con el Formato: Cronograma de Revisión del
Sistema de Gestión de Seguridad de la Información EST-FED-02.
9.5.5 En cada revisión se elabora un Formato: Minuta EST-FED-01 que asienta los compromisos,
responsabilidades, fechas de cumplimiento, acciones a tomar, asignación de recursos, etc.,
quedando estas minutas como evidencia del cumplimiento de las revisiones.
9.5.7 Los resultados de la revisión por el comité de calidad incluyen todas las decisiones y acciones
relacionadas con:
Las oportunidades de mejora.
Cualquier necesidad de cambio en el SGSI.
Necesidades de recursos.
10. Formatos