Documentos no obligatorios para la auditoría de la ISO 27001 (3ª parte)

Inicio / Documentos no obligatorios para la auditoría de la ISO 27001 (3ª parte)

5/5 - (1 voto)

ISO 27001

Tal y como prometimos, esta semana traemos el tercer artículo de la norma ISO 27001, en los que hemos estado hablando sobre los documentos obligatorios para la auditoría de la norma ISO 27001.

Pues bien, en el artículo de hoy, se van a exponer aquellos documentos del sistema de gestión de seguridad de la información basado en la norma ISO 27001 que, aun no siendo obligatorios para superar la auditoría, sí es cierto que son recomendables.

Obviamente, se recomienda que, antes de proceder con la lectura del esta publicación, se revisen los dos anteriores, que los podrán encontrar haciendo clic sobre el nombre: Documentos obligatorios para la auditoría de la ISO 27001 (1ª parte) y Documentos obligatorios para la auditoría de la ISO 27001 (2ª parte).

Así, esta serie de documentos que se van a presentar a continuación, no son obligatorios, pero sí recomendables especialmente para empresas más grandes y complejas.

Procedimiento para control de documentos y el documento de controles para gestión de registros

Estos documentos, son confeccionados con objeto de poder controlar la creación, aprobación, distribución, utilización y actualización de cualquier documento o registro utilizado en el Sistema de Gestión de la norma ISO 27001 (información documentada), tanto internos como externos.

Este procedimiento abarca a todos los documentos y registros almacenados de cualquier de las formas posibles, ya sea papel, audio, vídeo, etc.

Los usuarios de este documento son todos empleados de la organización incluidos dentro del alcance del sistema de gestión basado en la norma ISO 27001.

Procedimiento para auditoría interna

Este procedimiento, tiene como objeto describir todas las actividades que tengan relación con la auditoría.

Es decir, la redacción del propio programa de auditoría, elección del auditor o auditores, la ejecución de las auditorías individuales y los informes.

Este procedimiento se aplica a todas las actividades realizadas dentro del SGSI.

Procedimiento para medidas correctivas

Así, en este documento de la ISO 27001, se dejan descritas aquellas actividades vinculadas a la iniciación, implementación y mantenimiento de registros de correcciones y medidas correctivas.

También se aplica a todas las actividades realizadas dentro del SGSI, siendo usuarios del mismo, todos los empleados.

Política Trae tu propio dispositivo (BY OD)

Con este documento, se procura dejar definido el control de la información perteneciente a la organización al acceder desde otro dispositivo que no es de la empresa.

Política sobre dispositivos móviles y teletrabajo

Se trata de establecer la forma de evitar el acceso no autorizado a equipos y datos que estén fuera de las propias instalaciones de la empresa.

Política de clasificación de la información

El objetivo de esta política, no es más que dar garantía de que la información será protegida en un nivel adecuado.

Política de claves

La meta de este documento es que las claves se gestionen y utilicen de manera segura, mediante una serie de reglas definidas. También puede ser implementada como parte de la Política de control de acceso.

Política de eliminación y destrucción

Tiene como único fin, garantizar la destrucción o eliminación de información de manera segura.

Procedimiento para trabajo en áreas seguras

También son conocidos como Instrucciones de Seguridad. Establece la metodología a seguir para llevar a cabo determinados trabajos, operaciones o tareas que puedan entrañar riesgo si no se realizan de manera adecuada.

Política de pantalla y escritorio limpio

Tiene como meta, la definición de las reglas necesarias para evitar que accedan sin permiso a la información en los puestos de trabajo, instalaciones o equipos compartidos.

Política de gestión de cambio

La política de gestión de cambio no es un documento exclusivo de la ISO 27001.

Se trata de una política para establecer el control de los cambios que tengan lugar en los sistemas de información.

Es decir, para controlar cualquier cambio en la organización, procesos, instalaciones o sistemas que afectan a la seguridad de la información.

Política de creación de copias de seguridad

Con este documento, se deja descrito el tipo de copia seguridad y la frecuencia con la que se realizan. Además de los soportes en los que hacerlas y la ubicación en la que guardarlas.

Política de transferencia de la información

Mediante este instrumento de la ISO 27001, queda establecida la seguridad de la información y del software cuando estos son intercambiados dentro o fuera de la empresa.

La #política de #gestióncambio no es un documento exclusivo de la #ISO27001…

Click To Tweet

Análisis del impacto en el negocio

En él queda establecida la manera en la que cualquier impacto generado por la interrupción de las actividades, sería evaluada, asignando prioridades y objetivos de continuidad y de recuperación.

Plan de prueba y verificación

Así, este plan tiene como objetivo determinar la frecuencia y los métodos de verificación para evaluar la factibilidad de las medidas y las acciones correctivas correspondientes.

Plan de mantenimiento y revisión

Relacionado con la ISO 22301 de continuidad de negocio, este plan determina la periodicidad para la revisión y mantenimiento del sistema de gestión.

Correspondencia de los documentos con los capítulos de la norma

Como hicimos en el artículo segundo de esta trilogía, se presentan las correspondencias de los documentos con los capítulos de la norma ISO 27001: