ALISO27001_T012 Diseño – Documentación del SGSI

Plataformas de Aprendizaje Autodirigido

Diseño – Documentación del SGSI.

Listado de documentos obligatorios del SGSI.

A continuación  un listado de documentos obligatorios para cumplir con los requisitos de la norma ISO 27001 con la observación de que los documentos que solicita el anexo A están sujetos a la declaración de aplicabilidad pues solo serían obligatorios aquellos que correspondan a cláusulas que sean aplicables.

  • 4.3 El alcance del SGSI
  • 5.2 Política de seguridad de la información
  • 6.1.2 Proceso de evaluación de riesgos de seguridad de la información
  • 6.1.3 Proceso de tratamiento de riesgos de seguridad de la información
  • 6. 1.3 d) La declaración de aplicabilidad
  • 6.2 Objetivos de seguridad de la información
  • 7.2 c) Prueba de competencia
  • 7.5.1 b) Información documentada determinada por la organización como necesaria para la efectividad del SGSI
  • 8.1 Planificación y control operacional
  • 8.2 Resultados de la evaluación de riesgos de seguridad de la información
  • 8.3 Resultados del tratamiento de riesgo de seguridad de la información
  • 9.1 Evidencia del monitoreo y medición de resultados
  • 9.2 Un proceso de auditoría interna documentado
  • 9.2 e) Evidencia de los programas de auditoría y los resultados de la auditoría
  • 9.3 Evidencia de los resultados de las revisiones de la administración
  • 10.1 Evidencia de los resultados de cualquier acción correctiva tomada

Documentos que solicita el anexo, sujetos a la declaración de aplicabilidad.

Muchos de los controles en el Anexo A también afirman la necesidad de documentación específica, incluidos los siguientes en particular:

  • A 7.1.2 y A.13.2.4 Definición de funciones y responsabilidades de seguridad
  • A 5.9 Inventario de información y otros activos asociados
  • A 5.10 Uso aceptable de la información y otros activos asociados
  • A 5.12 Esquema de clasificación de la información
  • A 5.15 Política de control de acceso
  • A 5.37 Procedimientos operativos
  • A 8.15 Registros de actividades del usuario, excepciones y eventos de seguridad
  • A 8.27 Principios de ingeniería de sistemas seguros
  • A 5.19 Política de seguridad del proveedor
  • A 5.26 Procedimiento de gestión de incidentes
  • A 5.30 Procedimientos de continuidad del negocio
  • A 5.31 Requisitos legales, reglamentarios y contractuales

Registros obligatorios:

  • Registros de formación, habilidades, experiencia y calificaciones (cláusula 7.2)
  • Seguimiento y resultados de medición (cláusula 9.1)
  • Programa de auditoria interna (cláusula 9.2)
  • Resultados de auditorías internas (cláusula 9.2)
  • Resultados de la Revisión por Dirección (cláusula 9.3)
  • Resultados de acciones correctivas (cláusula 10.1)
  • Registros de las actividades de usuario, excepciones y eventos de seguridad (inicio de sesión) (cláusulas A.8.15)