Caja PDF

Comparta fácilmente sus documentos PDF con sus contactos, la web y las redes sociales.

Compartir un archivo PDF Gestor de archivos Caja de instrumento Buscar PDF Ayuda Contáctenos



Checklist of ISO 27001 Mandatory Documentation ES .pdf



Nombre del archivo original: Checklist_of_ISO_27001_Mandatory_Documentation_ES.pdf
Título: Cómo las herramientas en línea están revolucionando la implementación de ISO 27001 e ISO 22301
Autor: Intendo_work

Este documento en formato PDF 1.5 fue generado por Microsoft Word / Unknown, y fue enviado en caja-pdf.es el 01/09/2017 a las 10:00, desde la dirección IP 213.231.x.x. La página de descarga de documentos ha sido vista 947 veces.
Tamaño del archivo: 391 KB (9 páginas).
Privacidad: archivo público




Descargar el documento PDF









Vista previa del documento


Informe: Lista de documentación obligatoria
requerida por ISO/IEC 27001

Informe
septiembre 02, 2014

Copyright ©2014 27001Academy. Todos los derechos reservados.

1. ¿Qué documentos y registros son necesarios?
La siguiente lista detalla la cantidad mínima de documentos y registros requeridos por la Rev isión 2013 de la
norma ISO/IEC 27 001:

Documentos*

Capítulo de ISO 27001:2013

Alcance del SGSI

4.3

Políticas y objetivos de seguridad de la información

5.2, 6.2

Metodología de ev aluación y tratamiento de riesgos

6.1 .2

Declaración de aplicabilidad

6.1 .3 d)

Plan de tratamiento del riesgo

6.1 .3 e), 6.2

Informe sobre evaluación y tratamiento de riesgos

8.2, 8.3

Definición de funciones y responsabilidades de seguridad

A.7 .1.2, A.13.2.4

Inv entario de activos

A.8.1 .1

Uso aceptable de los activos

A.8.1 .3

Política de control de acceso

A.9.1.1

Procedimientos operativos para gestión de TI

A.1 2.1.1

Principios de ingeniería para sistema seguro

A.1 4.2.5

Política de seguridad para proveedores

A.1 5.1.1

Procedimiento para gestión de incidentes

A.1 6.1.5

Procedimientos de la continuidad del negocio

A.17 .1.2

Requisitos legales, normativos y contractuales

A.1 8.1.1

Copyright ©2014 27001Academy. Todos los derechos reservados.

2

Registros*

Capítulo de ISO 27001:2013

Registros de capacitación, habilidades, experiencia y calificaciones

7 .2

Resultados de supervisión y medición

9.1

Programa de auditoría interna

9.2

Resultados de las auditorías internas

9.2

Resultados de la rev isión por parte de la dirección

9.3

Resultados de acciones correctivas

1 0.1

Registros sobre actividades de los usuarios, excepciones y eventos de
seguridad

A.1 2.4.1, A.12.4.3

*Se pueden ex cluir los controles del Anexo A si una organización determina que no ex isten riesgos ni otros
requisitos que podrían demandar la implementación de un control.
Esta no es, de ninguna forma, una lista definitiv a de documentos y registros que se pueden utilizar durante la
implementación de ISO 27 001; la norma permite que se agregue cualquier otro documento que pueda
mejorar el niv el de seguridad de la información.

2. Documentos no obligatorios de uso frecuente
Los siguientes son otros documentos que se utilizan habitualmente:

Do cumentos

Capítulo de ISO 27001:2013

Procedimiento para control de documentos

7 .5

Controles para gestión de registros

7 .5

Procedimiento para auditoría interna

9.2

Procedimiento para medidas correctivas

1 0.1

Política Trae tu propio dispositivo (BY OD)

A.6.2.1

Política sobre dispositivos móviles y tele-trabajo

A.6.2.1

Política de clasificación de la información

A.8.2.1, A.8.2.2, A.8.2.3

Política de claves

A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
A.9.4.3

Política de eliminación y destrucción

A.8.3.2, A.11.2.7

Procedimiento para trabajo en áreas seguras

A.1 1.1.5

Copyright ©2014 27001Academy. Todos los derechos reservados.

3

Política de pantalla y escritorio limpio

A.1 1.2.9

Política de gestión de cambio

A.1 2.1.2, A.14.2.4

Política de creación de copias de seguridad

A.1 2.3.1

Política de transferencia de la información

A.1 3.2.1, A.13.2.2, A.13.2.3

Análisis del impacto en el negocio

A.17 .1.1

Plan de prueba y v erificación

A.17 .1.3

Plan de mantenimiento y revisión

A.17 .1.3

Documentos

Capítulo de ISO 27 001:2013

3. Cómo estructurar los documentos y registros
más comunes
Alcance del SGSI
Este documento es, habitualmente, bastante corto y se redacta al inicio de la implementación de ISO 27 001.
En general, se trata de un documento independiente, aunque puede ser unificado con una política de
seguridad de la información.
Leer más en: Problemas para definir el alcance de la norma ISO 27 001 .

Políticas y objetivos de seguridad de la información
La política de seguridad de la información generalmente es un documento breve y de alto niv el que detalla el
principal objetivo del SGSI. Los objetivos para el SGSI, en general, se presentan como un documento
independiente, pero también pueden ser unificados en la política de seguridad de la información.
Contrariamente a la rev isión 2005 de ISO 27 001, y a no se necesitan ambas políticas (Política del SGSI y
Política de seguridad de la información); solo hace falta u na política de seguridad de la información.
Leer más en: Política de Seguridad de la Información: ¿qué niv el de detalle debería tener?

Metodología e informes de evaluación y tratamiento de riesgos
La metodología de ev aluación y tratamiento del riesgo es, habitualmente, un documento de 4 a 5 pági nas y
debe ser redactado antes que se realice la ev aluación y el tratamiento de riesgos. El informe de ev aluación y
tratamiento de riesgos debe ser redactado una v ez que se realizó la evaluación y el tratamiento de riesgos, y
allí se resumen todos los resultados.
Leer más en: ISO 27 001 risk assessment & treatment – 6 basic steps.

Copyright ©2014 27001Academy. Todos los derechos reservados.

4

Declaración de aplicabilidad
La Declaración de aplicabilidad (o DdA) se redacta en base a los resultados del tratamiento del riesgo; es un
documento clave dentro del SGSI porque describe no sólo qué controles del Anexo A son aplicables, sino
también cómo se implementarán y su estado actual. También debería considerar a la Declaración de
aplicabilidad como un documento que describe el perfil de seguridad de su empresa.
Leer más en: La importancia de la Declaración de aplicabilidad para la norma ISO 27 001 .

Plan de tratamiento del riesgo
Este es, básicamente, un plan de acción sobre cómo implementar los div ersos controles definidos por la DdA.
Este documento se desarrolla en función de la Declaración de aplicabilidad y se utiliza y actualiza
activ amente a lo largo de toda la implementación del SGSI. A v eces se puede fusionar con el Plan del
proy ecto.
Leer más en: Risk Treatment Plan and risk treatment process – What’s the difference?

Funciones y responsabilidades de seguridad
El mejor método es describir estas funciones y responsabilidades en todas las políticas y procedimientos de la
forma más precisa posible. Ev ite expresiones como "debería hacerlo"; en cambio, utilice algo como "el Jefe
de seguridad realizará xyz todos los lunes a las zx y horas". Algunas empresas prefieren detallar las funciones
y responsabilidades de seguridad en sus descripciones de l trabajo; sin embargo, esto puede generar mucho
papelerío.
Las funciones y responsabilidades de seguridad para terceros se definen a trav és de contratos.
Leer más en: What is the job of Chief Information Security Officer (CISO) in ISO 27 001?

Inventario de activos
Si no contaba con un inv entario de este tip o antes del proyecto ISO 27 001, la mejor forma de hacerlo es
directamente a partir del resultado de la ev aluación de riesgos y a que allí, de todos modos, se tienen que
identificar todos los activos y sus propietarios; entonces, simplemente puede copiar el resultado desde ese
instrumento.
Leer más en: How to handle Asset register (Asset inventory) according to ISO 27 001 .

Uso aceptable de los activos
Habitualmente, este documento se confecciona bajo la forma de una política y puede cubrir un amplio rango
de temas porque la norma no define muy bien este control. Pro bablemente, la mejor forma de encararlo es la
siguiente: (1 ) déjelo para el final de la implementación de su SGSI y (2) todas las áreas y controles que no
hay a cubierto con otros documentos y que involucran a todos los empleados, inclúyalos en esta polític a.

Política de control de acceso
En este documento usted puede cubrir sólo la parte comercial de la aprobación de acceso a determinada
información y sistemas, o también puede incluir el aspecto técnico del control de acceso. Además, puede
optar por definir reglas para acceso lógico únicamente o también para acceso físico. Debería redactar este
documento solamente después de finalizado su proceso de ev aluación y tratamiento de riesgos.

Copyright ©2014 27001Academy. Todos los derechos reservados.

5

Procedimientos operativos para gestión de TI
Puede crear este procedimiento como un único documento o como una serie de políticas y procedimientos; si
se trata de una empresa pequeña, debería tener menor cantidad de documentos. Normalmente, aquí puede
abarcar todas las áreas de las secciones A.12 y A.13: gestión de cambi os, servicios de terceros, copias de
seguridad, seguridad de red, códigos maliciosos, eliminación y destrucción, transferencia de información,
superv isión del sistema, etc. Este documento se debería redactar solamente una v ez que finalice su proceso
de ev aluación y tratamiento de riesgos.
Leer más sobre gestión de TI aquí: ITIL & ISO 20000 Blog.

Principios de ingeniería para sistema seguro
Este es un nuev o control en ISO 27 001:2013 y requiere que se documenten los principios de ingeniería de
seguridad bajo la forma de un procedimiento o norma y que se defina cómo incorporar técnicas de seguridad
en todas las capas de arquitectura: negocio, datos, aplicaciones y tecnología. Estos principios pueden incluir
v alidación de datos de entrada, depuración, técnicas para autenticación, controles de sesión segura, etc.

Política de seguridad para proveedores
Este también es un control nuevo en ISO 27 001:2013, y una política de este tipo puede abarcar un amplio
rango de controles: cómo se realiza la selección de potenciales contratistas, cómo se ejecuta la ev aluación de
riesgos de un prov eedor, qué cláusulas incluir en el contrato, cómo supervisar el c umplimiento de cláusulas
contractuales de seguridad, cómo modificar el contrato, cómo cerrar el acceso una v ez cancelado el contrato,
etc.
Leer más en: 6-step process for handling supplier security according to ISO 27 001.

Procedimiento para gestión de incidentes
Este es un procedimiento importante que define cómo se informan, clasifican y manejan las debilidades,
ev entos e incidentes de seguridad. Este procedimiento también define cómo aprender de los incidentes de
seguridad de la información para que se puedan evitar en el futuro. Un procedimiento de esta clase también
puede inv ocar al plan de continuidad del negocio si un incidente ha ocasionado una interrupción prolongada.

Procedimientos de la continuidad del negocio
Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de
recuperación para el sector comercial de la organización y planes de recuperación ante desastres (planes de
recuperación para infraestructura de TI). Estos procedimientos se describen con mayor detalle en la norma
ISO 22301, la principal norma internacional para continuidad del negocio.
Para conocer más, haga clic aquí: Business continuity plan: How to structure it according to ISO 22301 .

Requisitos legales, normativos y contractuales
Este listado debe confeccionarse en la etapa más temprana posible del proyecto porque muchos documentos
tendrán que ser desarrollados de acuerdo a estos datos. Este listado debe incluir no sólo las
responsabilidades para el cumplimiento de determinados requerimientos, sino también los plazos.

Registros de capacitación, habilidades, experiencia y calificaciones
Es el departamento de recursos humanos el que generalmente se encarga de llevar estos registros. Si usted no
tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los

Copyright ©2014 27001Academy. Todos los derechos reservados.

6

empleados debería ser quien realice este trabajo. Básicamente, sería suficiente una carpeta en la que se
encuentren todos los documentos.
Leer más en: How to perform training & awareness for ISO 27 001 and ISO 22301 .

Resultados de supervisión y medición
La forma más sencilla de describir cómo se miden los controles es a trav és de políticas y procedimientos que
definan a cada control. En general, esta descripción puede ser realizada al final de cada documento, y cada
descripción tiene que definir los tipos de ICD (indicad ores clave de desempeño) que es necesario medir para
cada control o grupo de controles.
Una v ez que se estableció este método de control, usted debe realizar la medición en función de dicho
método. Es importante reportar los resultados de esta medición en forma regular a las personas que están a
cargo su ev aluación.
Leer más aquí: ISO 27 001 control objectives – Why are they important?

Programa de auditoría interna
El programa de auditoría interna no es más que un plan anual para realizar las auditorías; para las empresas
más pequeñas, puede tratarse solamente de una auditoría , mientras que para las organizaciones más grandes
puede ser una serie de, por ejemplo, 20 auditorías internas. Este programa debe definir quién realizará las
auditorías, los métodos que se utilizarán, los criterios que se aplicarán, etc.
Leer más en: How to make an Internal Audit checklist for ISO 27 001 / ISO 22301 .

Resultados de las auditorías internas
Un auditor interno debe generar un informe de auditoría, que incluye los resultados de la auditoría
(observaciones y medidas correctivas). Este informe debe ser confeccionado dentro de un par de días luego
de realizada la auditoría interna. En algunos caso s, el auditor interno tendrá que v erificar si todas las
medidas correctivas se aplicaron según lo esperado.

Resultados de la revisión por parte de la dirección
Estos registros se presentan, normalmente, bajo la forma de actas de reunión y deben incluir to do el material
tratado durante la reunión de la dirección, como también todas las decisiones que se tomaron. Estas actas
pueden ser en papel o en formato digital.
Leer más en: Why is management review important for ISO 27 001 and ISO 22301?

Resultados de acciones correctivas
Generalmente, estos son incluidos en los fo rmularios para medidas correctivas (FMC). Sin embargo, es
mucho mejor agregar estos registros en alguna aplicación que y a esté en uso en la organización; por ejemplo,
la Mesa de ay uda, porque las medidas correctivas no son más que listas de actividades a r ealizar con
responsabilidades, tareas y plazos bien definidos.
Leer más en: Practical use of corrective actions for ISO 27 001 and ISO 22301 .

Copyright ©2014 27001Academy. Todos los derechos reservados.

7

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
Habitualmente se llevan de dos formas: (1 ) en formato digital, generados en forma automática o
semiautomática como registros de div ersas TI y de otros sistemas, y (2) en papel, donde cada registro se hace
manualmente.

Procedimiento para control de documentos
En general, este es un procedimiento independiente, de 2 o 3 páginas de ex tensión. Si uste d y a implementó
alguna otra norma como ISO 9001, ISO 1 4001, ISO 22301 o similar, puede utilizar el mismo procedimiento
para todos estos sistemas de gestión. A v eces es mejor redactar este procedimiento como el primer
documento de un proyecto.
Leer más aquí: Gestión de documentación en las normas ISO 27 001 y BS 25999-2.

Controles para gestión de registros
La forma más sencilla es redactar el control de registros en cada política o procedimiento (u otro documento)
que requiera la generación de un registro. Estos controles, normalmente son incluidos hacia el final de cada
documento y se confeccionan bajo el formato de una tabla que detalla dónde se archiva el registro, quién
tiene acceso, cómo se protege, por cuánto tiempo se archiva, etc.

Procedimiento para auditoría interna
Habitualmente este es un procedimiento independiente que puede tener entre 2 y 3 páginas y que tiene que
ser redactado antes que comience la auditoría interna. En cuanto al procedimiento para control de
documentos, un procedimiento para auditoría interna puede ser utilizado para cualquier sistema de gestión.
Leer más aquí: Dilemas con los auditores internos de las normas ISO 27 001 y BS 25999 -2.

Procedimiento para medidas correctivas
Este procedimiento no debería exceder las 2 o 3 páginas y puede ser confeccionado al final del proyecto de
implementación, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con él.

4. Plantillas de documentación de muestra
Aquí usted puede descargar una muestra gratis del Paquete de documentos sobre ISO 27 001 e ISO 22301 : en
esta muestra gratis podrá ver la Tabla de contenidos de cada una de las políticas y procedimientos
mencionados, como también algunas partes de cada documento.

Copyright ©2014 27001Academy. Todos los derechos reservados.

8

EPPS Serv ices Ltd.
por negocios electrónicos y consultoría comercial
UI. V ladimira Nazora 59, 1 0000 Zagreb
Croacia, Unión Europea

Email: support@iso27 001standard.com
Teléfono: +385 1 48 34 1 20
Teléfono (para clientes de U.S.A.): +1 (646) 7 97 27 44
Fax : +385 1 556 07 11

Copyright ©2014 27001Academy. Todos los derechos reservados.

9


Documentos relacionados


Documento PDF checklist of iso 27001 mandatory documentation es
Documento PDF presentaci n
Documento PDF capitulo 8
Documento PDF dictamen 2014b
Documento PDF programa del curso smsh 2015
Documento PDF leyprevencionderiesgoslaborales


Palabras claves relacionadas