Los documentos obligatorios en ISO/IEC 27001 ocupan ocupan un lugar privilegiado en la lista de verificación del auditor encargado de evaluar un Sistema de Gestión de Seguridad de la Información basado en este estándar.
Este énfasis en la documentación es una respuesta a la creciente preocupación de las organizaciones por la seguridad de su información. Las brechas de seguridad y las violaciones de privacidad no solo tienen un impacto financiero significativo, sino que también pueden dañar irreparablemente la reputación de una entidad.
En este artículo, exploraremos en detalle no solo cuáles son estos documentos obligatorios en ISO/IEC 27001, sino también por qué desempeñan un papel crítico en la protección de la información y la preservación de la integridad organizacional.
¿Por qué son importantes los documentos obligatorios en ISO/IEC 27001?
Los documentos obligatorios en ISO/IEC 27001 han sido designados así por la Organización Internacional de Normalización, por las funciones esenciales que desempeñan para la Gestión de Seguridad de la Información.
Una de esas funciones es la de comunicar, que es el propósito principal de las políticas, por ejemplo. Otros documentos buscan crear y mantener una memoria histórica sobre los hechos relevantes que marcan la gestión, con el objetivo de mejorar la Gestión de Riesgos en el futuro.
De lo anterior se deduce que los documentos son importantes para alcanzar la conformidad con los requisitos del estándar y obtener la certificación. También son importantes para mantener una uniformidad sobre la forma en que se deben hacer las cosas, eliminando la posibilidad de interpretación por parte de cada uno de los empleados o personas que tienen injerencia en la Seguridad de la Información.
¿Cuáles son los documentos obligatorios en ISO/IEC 27001?
Los documentos obligatorios en ISO/IEC 27001 están definidos como tales en cada una de las cláusulas del estándar. Básicamente se agrupan en seis tipos:
1. Alcance
ISO 27001 solicita documentar las áreas, departamentos ubicaciones y extensión sobre los que tendrá influencia y relevancia el estándar y el Sistema de Seguridad de la Información. El alcance debería incluir los activos de información que protegerá la gestión y su ubicación.
2. Política de Seguridad de la Información
La política de Seguridad de la Información es el documento con el que la Alta Dirección expresa su compromiso con la Gestión, asume el liderazgo y da a conocer lo que espera del Sistema. Es importante comprender que la política no llegará exclusivamente a los empleados: socios, clientes y otras partes interesadas la conocerán, y, con base en ella, evaluarán la solidez y la eficacia del Sistema y la Gestión de Seguridad de la Información.
3. Evaluación de Riesgos
Es uno de los documentos que más demanda investigación e información. Todas las actividades y procedimientos que se desarrollan para identificar, clasificar y evaluar las amenazas se documentarán, de acuerdo con ISO 27001.
4. Tratamiento de Riesgos
La metodología que se adopte para diseñar acciones de prevención o eliminación de riesgos, los mecanismos de inspección y monitoreo, así como los controles que se adopten para minimizar el impacto, conforman el contenido de este documento obligatorio.
Aprende la importancia y la lista de documentos obligatorios en #ISO27001 para garantizar la #SeguridadInformación Clic para tuitear5. Declaración de Aplicabilidad
ISO 27001 pone a disposición de la organización 93 controles, distribuidos en 14 secciones. La norma solicita a la organización elegir los controles que serán aplicables para su Gestión, y explicar las razones por las que los consideran así. También se debe argumentar la exclusión.
6. Objetivos
En la política se documentan los objetivos generales. Los que siempre tendrán vigencia. Los objetivos que se documentan en este apartado son los que se fijan para ser alcanzados en un determinado periodo de tiempo. Se documenta el objetivo específico, pero también se habla de la motivación que lleva a los encargados de la Seguridad de la Información a fijarlo.
7. Evidencia de competencia
ISO 27001 solicita determinar las competencias que necesitará cada una de las personas que asume responsabilidades en la Gestión o que desempeña tareas que pueden afectar la Seguridad de la Información. Este trabajo, al igual que los planes que se diseñan e implementan para completar competencias, se debe documentar.
Los resultados de procesos de monitoreo y medición del desempeño del Sistema, los programas de auditoría y los resultados de estas, así como la evidencia de mejora del Sistema, completan la lista de documentos obligatorios en ISO/IEC 27001
Utilizar una plataforma que ofrezca funcionalidades de Gestión de Documentos, facilita la tarea. La automatización del Sistema de Gestión, y la Transformación Digital, facilita la conformidad con todos los requisitos de documentos, y con los operacionales y de control. Contar con profesionales debidamente capacitados es otro elemento importante.
Diplomado de Seguridad de la Información – ISO/IEC 27001
La norma internacional sobre Seguridad de la Información fue actualizada el año 2022. El Diplomado de Seguridad de la Información ISO/IEC 27001 de la Escuela Europea de Excelencia ha actualizado sus contenidos de acuerdo con la revisión del estándar.
Además de la actualidad de los contenidos, los alumnos encuentran la oportunidad de compartir experiencias y conocimientos con docentes y compañeros en otras latitudes. La titulación como experto en Seguridad de la Información y como auditor de Sistemas de Gestión, se suma a los demás beneficios de este importante programa.
El Diplomado permite a los alumnos, si así lo desean, obtener el Certificado del Registro Europeo de Auditores Certificados ERCA. Compruébalo aquí.
