7.5.1 Información Documentada.
Requisito.
La organización incluye información documentada en el SGSI según lo exige directamente la norma ISO IEC 27001:2022, así como la determinada por la organización como necesaria para la efectividad del SGSI.
Explicación.
Es necesaria para:
- Definir y comunicar los objetivos, la política, directrices, instrucciones, controles, procesos, procedimientos de seguridad de la información y qué personas o grupos de personas se espera que lo hagan, y cómo se espera que lo lleven a cabo.
- Las auditorías del SGSI y para mantener un SGSI estable cuando se cambian las personas que están en los roles clave.
- Para registrar las acciones, decisiones y resultados de los procesos de SGSI y los controles de seguridad de la información.
Estructura típica de la documentación.
Hay muchas actividades dentro del SGSI que producen información documentada que se utiliza, la mayoría de el tiempo, como insumo para otra actividad.
La norma ISO IEC 27001:2022 requiere un conjunto de información documentada obligatoria y contiene un requisito general que requiere información documentada adicional si es necesaria para la eficacia del SGSI.
La cantidad de información documentada necesaria suele estar relacionada con el tamaño de la organización, la información documentada obligatoria y adicional contiene información suficiente para permitir que se lleven a cabo los requisitos de evaluación de desempeño especificados en la Cláusula 9.
Guía.
Ejemplos de información documentada que la organización puede determinar como necesaria para asegurar la eficacia de su SGSI:
- Los resultados del establecimiento del contexto.
- Los roles, responsabilidades y autoridades.
- Los informes de las diferentes fases de la gestión del riesgo.
- La competencia esperada
- Los planes y resultados de las actividades de toma de conciencia.
- Los planes y resultados de las actividades de comunicación.
- Las políticas, reglas y directivas para dirigir y operar las actividades de seguridad de la información.
- La información documentada de origen externo que es necesaria para el SGSI.
- El proceso para controlar la información documentada.
- Los procesos y procedimientos usados para implementar, mantener y mejorar el SGSI.
- Los planes de acción.
- La evidencia de los resultados de los procesos del SGSI.
7.5.2 Creación y actualización.
Requisitos.
Al crear y actualizar información documentada, la organización garantiza su adecuada identificación y descripción, formato y soporte, y revisión y aprobación.
Explicación.
La organización identifica en detalle cómo se estructura mejor la información documentada y define un enfoque de documentación adecuado.
La revisión y aprobación por parte de la dirección adecuada garantiza que la información documentada sea correcta y adecuada para el propósito en forma y detalle para su objetivo.
Mediante revisiones periódicas garantizar la idoneidad y adecuación continua de la información documentada.
Guía.
La información documentada se puede conservar tanto en papel como formulario electrónico, páginas web, bases de datos, registros informáticos, informes generados por computadora, audio y vídeo.
Además, la información documentada puede consistir en especificaciones de intención como la política de SGSI. La siguiente aplica directamente a los documentos tradicionales y debe interpretarse apropiadamente cuando aplica a otras formas de información documentada. Las organizaciones deben crear una biblioteca de información documentada estructurada, considerando:
- determinar la estructura del marco de información documentada;
- proporcionar plantillas para diferentes tipos de información documentada;
- determinar las responsabilidades de preparar, aprobar, publicar y gestionar la información documentada; y
- determinar y documentar el proceso de revisión y aprobación para garantizar la idoneidad continua y adecuación.
La organización debería definir un enfoque de documentación que incluya atributos comunes de cada documento, que permiten una identificación clara y única.
Estos atributos suelen incluir Tipo (por ejemplo, política, directiva, regla, directriz, plan, forma, proceso o procedimiento), el propósito y alcance ,título, fecha de publicación, clasificación, número de referencia, número de versión e historial de revisiones, autor y responsable(s) del documento, su aplicación y la evolución, así como los aprobadores o la autoridad de aprobación.
Los requisitos de formato pueden incluir la definición de lenguajes de documentación, formatos de archivos y versión de software adecuados para trabajar con ellos y contenido gráfico. Los requisitos de medios de almacenamiento teniendo en cuenta qué información debe estar disponible.
Las declaraciones y el estilo de redacción deben adaptarse a la audiencia y al alcance de la documentación.
Evitar la duplicación de la información en la información documentada, y se deberían usar referencias cruzadas en lugar de repetir la misma información en diferentes documentos.
El enfoque de documentación debe garantizar la revisión oportuna de la información documentada y que todos los cambios en la documentación están sujetos a aprobación. Los criterios de revisión adecuados pueden estar relacionados con el tiempo (p. ej. plazos máximos entre revisiones de documentos) o contenidos relacionados.
Los criterios de aprobación deben ser definidos, lo que garantiza que la información documentada sea correcta, adecuada para el propósito en forma y detalle adecuados para el público objetivo.
7.5.3 Control.
Requisito.
La organización gestiona la información documentada a lo largo de su ciclo de vida y la pone a disposición donde y cuando sea necesario.
Una vez aprobada, la información documentada se comunica a su público objetivo, está disponible dónde y cuándo se necesita, preservando al mismo tiempo su integridad, confidencialidad y relevancia a lo largo de todo el ciclo de vida.
Tenga en cuenta que las actividades descritas en la norma ISO IEC 27001:2022, 7.5.3 deben realizarse y son útiles, considerando las necesidades y expectativas de la organización.
Guía.
Se puede utilizar una biblioteca de información documentada estructurada para facilitar el acceso a información documentada.
Toda la información documentada debe clasificarse de acuerdo con el esquema de clasificación de la organización, protegerse y manipulado de acuerdo con su nivel de clasificación.
Se debe garantizar que sólo personas autorizadas tienen derecho a modificarlo y distribuirlo según sea necesario a través de medios apropiados y predefinidos.
La información documentada debe:
- protegerse para garantizar que mantenga su validez y autenticidad.
- distribuirse y ponerse a disposición de las partes interesadas autorizadas.
- establecer quiénes son las partes interesadas relevantes para cada uno de los casos documentados.
- establecer los medios a utilizar para su distribución, acceso, recuperación y uso
- cumplir con cualquier requisito relacionado con la protección y manejo de información clasificada para su distribución.
La organización debe:
- establecer el período de retención apropiado para la información documentada según su validez prevista y otros requisitos pertinentes.
- garantizar que la información es legible durante todo su período de retención (por ejemplo, utilizando formatos que puedan ser leídos por los usuarios disponibles, software o verificar que el papel no esté dañado).
- establecer qué hacer con la información documentada después de que su período de retención ha expirado.
- gestionar información documentada de origen externo (es decir, de clientes, socios, proveedores, organismos reguladores, etc.).
La información documentada sobre esta actividad y su resultado es obligatoria sólo en la forma y en la medida que la organización considere necesaria para la eficacia de su sistema de gestión.