Información Documentada.
7.5.1 Consideraciones Generales.
El sistema de gestión de la seguridad de la información de la organización debe incluir:
-
- La información documentada requerida por esta norma internacional.
- La información documentada que la organización ha determinado que es necesaria para la eficacia del sistema de gestión de la seguridad de la información.
NOTA: El alcance de la información documentada para un sistema de gestión de la seguridad de la información puede ser diferente de una organización a otra, debido a:
- El tamaño de la organización y a su tipo de actividades, procesos, productos y servicios.
- La complejidad de los procesos y sus interacciones.
- La competencia de las personas.
7.5.2 Creación y Actualización.
Cuando se crea y actualiza la información documentada, la organización debe asegurarse, en la manera que corresponda, de lo siguiente:
-
- La identificación y descripción (por ejemplo, título, fecha, autor o número de referencia).
- El formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte (por ejemplo, papel, electrónico).
- La revisión y aprobación con respecto a la idoneidad y adecuación.
7.5.3 Control de la Información Documentada.
La información documentada requerida por el sistema de gestión de la seguridad de la información y por esta norma internacional se debe controlar para asegurarse que:
- Esté disponible y preparada para su uso, dónde y cuándo se necesite.
- Esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad).
Para el control de la información documentada, la organización debe tratar las siguientes actividades, según sea aplicable:
-
- Distribución, acceso, recuperación y uso.
- Almacenamiento y preservación, incluida la preservación de la legibilidad.
- Control de cambios (por ejemplo, control de versión).
- Retención y disposición.
La información documentada de origen externo, que la organización ha determinado que es necesaria para la planificación y operación del sistema de gestión de la seguridad de la información se debe identificar y controlar, según sea adecuado.
NOTA: El acceso implica una decisión concerniente al permiso solamente para consultar la información documentada, o el permiso y la autoridad para consultar y modificar la información documentada, etc.