ISO 27001

Documentos obligatorios para la auditoría de la ISO 27001 (2ª parte)

Inicio / Documentos obligatorios para la auditoría de la ISO 27001 (2ª parte)
5/5 - (1 voto)

ISO 27001

ISO 27001

Como prometimos, en el artículo que les presentamos hoy, haremos entrega de la segunda parte de las tres publicaciones de nuestro blog destinadas a la norma ISO 27001 y la documentación asociada.

De esta manera, hablaremos de cuáles son todos los documentos obligatorios para dar cumplimiento al sistema de gestión de seguridad de la información en la auditoría interna y, en caso de querer obtener la certificación, para superar la auditoría de certificación.

Descarga gratis e-book: La norma ISO 27001

Pues bien, en esta segunda entrega terminaremos de explicar los documentos obligatorios y, en el tercer y último de los artículos, se comentarán aquellos que no se consideran obligatorios pero que en realidad son frecuentemente utilizados como apoyo en el sistema de gestión de la norma ISO 27001.

Por lo tanto, se recomienda la lectura del artículo “Documentos obligatorios para la auditoría de la ISO 27001 (1ª parte)”, para poder dar continuidad y comprender en su totalidad la carga documental que incluye este sistema de gestión.

De este modo, procederemos a la descripción del resto de documentos necesarios en el sistema de gestión de la ISO 27001 para superar la auditoría interna o la de certificación.

Procedimiento para gestión de incidentes

Siendo uno de los procedimientos de mayor importancia, en él queda definido cómo se tienen que informar, clasificar y manejar cualquier debilidad, evento o incidente de seguridad.

Por consiguiente, son la mejor herramienta para aprender de los incidentes de seguridad que tuvieron lugar, de manera que puedan evitarse en el futuro.

Está vinculado al plan de continuidad de negocio en los casos de un incidente que provoque una interrupción prolongada.

Procedimientos de la continuidad del negocio

Se trata de la inclusión de diferentes planes o procedimientos como:

  • Continuidad de negocio.
  • Respuesta ante incidentes.
  • Recuperación del sector comercial de la organización.
  • Recuperación antes desastres (en infraestructuras TI).

En cuanto a estos procedimientos, cabe señalar que se describen mejor  en la norma ISO 22301 sobre continuidad de negocio.

Requisitos legales, normativos y contractuales

Como muchos de los documentos de la norma ISO 27001 se desarrollan en función a ellos, los requisitos legales, normativos y contractuales tienen que ser desarrollados al inicio del proyecto de implantación de la norma ISO 27001.

En él se tienen que incluir también plazos para el cumplimiento de tales requerimientos regulatorios.

Registros de capacitación, habilidades, experiencia y calificaciones

Generalmente, el departamento encargado es el de Recursos Humanos, no obstante, cualquiera de los empleados que realice esta labor de manera habitual, deberá guardar estos registros, normalmente, en una carpeta o en formato digital.

Resultados de supervisión y medición

Previamente, deben estar definidos los procedimientos para la medición de los controles, indicando cuáles serán los indicadores clave de desempeño (ICD) con los cuales realizar el seguimiento.

Por norma general, se describe al final de cada documento.

Mediante el procedimiento establecido, se procede a la medición de los indicadores, siendo de vital importancia para el sistema de gestión, que los resultados de las mediciones sean reportados a los responsables de evaluar dichos controles.

Programa de auditoría interna

Como en todas las normas, en la ISO 27001 también es preciso elaborar un plan anual de auditorías internas, cuyo número variará en función del tamaño y complejidad de la empresa.

Tiene que definir quién la realiza, los criterios a aplicar, métodos, etc.

Resultados de las auditorías internas

Los auditores internos generarán, como máximo dos días después, los informes de auditoría, en los cuales quedará reflejada cualquier observación a medida correctiva pertinente.

Resultados de la revisión por parte de la dirección

Básicamente, son actas de reunión en las que se incluye el material que haya sido tratado durante la reunión, así como las decisiones que se hayan tomado.

Resultados de acciones correctivas

Aunque, por lo general, están incluidos en los formularios de acciones correctivas, es preferible disponer de algún software que permita agregar directamente estos resultados junto con la lista de acciones correctivas.

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

En este caso, sí es aconsejable disponerlos en formato digital (automático o semiautomático) como registros, aunque también puede hacerse de manera manual.

Procedimiento para control de documentos

Es recomendable redactar este procedimiento como primer documento para que el resto de documentación sea manejada utilizando el mismo método.

Es un procedimiento independiente del resto.

en la #ISO27001 también es preciso elaborar un #plananual #auditoríasinternas…

Click To Tweet

Controles para gestión de registros

Usualmente, se redacta en cada política o procedimiento, al final del documento y en forma de tabla, en la cual se indica dónde archivar el registro, quién puede acceder o cómo protegerlo.

Procedimiento para auditoría interna

También se trata de un procedimiento independiente, redactado antes de la auditoría interna y de no más de 2 o 3 páginas.

Procedimiento para medidas correctivas

Al contrario, este procedimiento puede ser redactado al final de lo que es el proyecto de implementación.

No obstante, es preferible hacerlo con anterioridad, para ponerlo en conocimiento de los empleados.

Equivalencias con los capítulos de la norma

En la siguiente tabla, finalmente, se presenta la correspondencia entre los documentos mínimos necesarios para el sistema de gestión en ISO 27001 y los capítulos de la propia norma:

  • Registros de capacitación, habilidades, experiencia y calificaciones: capítulo 7.2
  • Resultados de supervisión y medición: capítulo 9.1
  • Programa de auditoría interna: capítulo 9.2
  • Los resultados de las auditorías internas: capítulo 9.2
  • Resultados de la revisión porpartede la dirección: capítulo 9.3
  • Resultados de acciones correctivas: capítulo 8.2 – 8.3
  • Definición de funciones y responsabilidades de seguridad: capítulo 10.1
  • Registros sobre actividades de los usuarios, excepciones y eventos de seguridad: capítulo a.12.4.1 – a.12.4.3

Software ISOTools

No se preocupe por la gran cantidad de documentos requeridos por la  norma ISO 27001, porque el Software ISOTools está diseñado para facilitarle la elaboración y gestión de todos y cada uno de ellos, llevando al día los registros y permitiendo la comunicación con los responsables de cada uno de los controles diseñados.

¿Qué aún no lo sabe? Innove con nosotros.

E-book gratis la norma ISO 27001
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Beneficios Ambientales
5 Beneficios Ambientales de Implementar ISO 14001
26 abril, 2024

La ISO 14001 es una norma internacional de gestión ambiental que establece los requisitos...

Ver más
UNE-EN ISO/IEC 23053:2023
UNE-EN ISO/IEC 23053:2023. Marco para sistemas de inteligencia artificial (IA) que utilizan Machine Learning (ML)
25 abril, 2024

La norma UNE-EN ISO/IEC 23053:2023, titulada "Tecnologías de la información - Marco para sistemas...

Ver más
Esquema Nacional De Seguridad (ENS)
Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
24 abril, 2024
En un mundo donde la información es un activo de gran valor, la seguridad cibernética es una prioridad...
Ver más
Lean Six Sigma
Integración de Lean Six Sigma y Normas ISO para la Excelencia Operativa
23 abril, 2024
La búsqueda constante de la excelencia operativa es fundamental para el éxito a largo plazo...
Ver más

Volver arriba