Diseño – Documentación del SGSI.
Listado de documentos obligatorios del SGSI.
A continuación un listado de documentos obligatorios para cumplir con los requisitos de la norma ISO 27001 con la observación de que los documentos que solicita el anexo A están sujetos a la declaración de aplicabilidad pues solo serían obligatorios aquellos que correspondan a cláusulas que sean aplicables.
- 4.3 El alcance del SGSI
- 5.2 Política de seguridad de la información
- 6.1.2 Proceso de evaluación de riesgos de seguridad de la información
- 6.1.3 Proceso de tratamiento de riesgos de seguridad de la información
- 6. 1.3 d) La declaración de aplicabilidad
- 6.2 Objetivos de seguridad de la información
- 7.2 c) Prueba de competencia
- 7.5.1 b) Información documentada determinada por la organización como necesaria para la efectividad del SGSI
- 8.1 Planificación y control operacional
- 8.2 Resultados de la evaluación de riesgos de seguridad de la información
- 8.3 Resultados del tratamiento de riesgo de seguridad de la información
- 9.1 Evidencia del monitoreo y medición de resultados
- 9.2 Un proceso de auditoría interna documentado
- 9.2 e) Evidencia de los programas de auditoría y los resultados de la auditoría
- 9.3 Evidencia de los resultados de las revisiones de la administración
- 10.1 Evidencia de los resultados de cualquier acción correctiva tomada
Documentos que solicita el anexo, sujetos a la declaración de aplicabilidad.
Muchos de los controles en el Anexo A también afirman la necesidad de documentación específica, incluidos los siguientes en particular:
- A 7.1.2 y A.13.2.4 Definición de funciones y responsabilidades de seguridad
- A 5.9 Inventario de información y otros activos asociados
- A 5.10 Uso aceptable de la información y otros activos asociados
- A 5.12 Esquema de clasificación de la información
- A 5.15 Política de control de acceso
- A 5.37 Procedimientos operativos
- A 8.15 Registros de actividades del usuario, excepciones y eventos de seguridad
- A 8.27 Principios de ingeniería de sistemas seguros
- A 5.19 Política de seguridad del proveedor
- A 5.26 Procedimiento de gestión de incidentes
- A 5.30 Procedimientos de continuidad del negocio
- A 5.31 Requisitos legales, reglamentarios y contractuales
Registros obligatorios:
- Registros de formación, habilidades, experiencia y calificaciones (cláusula 7.2)
- Seguimiento y resultados de medición (cláusula 9.1)
- Programa de auditoria interna (cláusula 9.2)
- Resultados de auditorías internas (cláusula 9.2)
- Resultados de la Revisión por Dirección (cláusula 9.3)
- Resultados de acciones correctivas (cláusula 10.1)
- Registros de las actividades de usuario, excepciones y eventos de seguridad (inicio de sesión) (cláusulas A.8.15)