ISO 27001

Documentos obligatorios para la auditoría de la ISO 27001 (2ª parte)

Inicio / Documentos obligatorios para la auditoría de la ISO 27001 (2ª parte)
5/5 - (1 voto)

ISO 27001

ISO 27001

Como prometimos, en el artículo que les presentamos hoy, haremos entrega de la segunda parte de las tres publicaciones de nuestro blog destinadas a la norma ISO 27001 y la documentación asociada.

De esta manera, hablaremos de cuáles son todos los documentos obligatorios para dar cumplimiento al sistema de gestión de seguridad de la información en la auditoría interna y, en caso de querer obtener la certificación, para superar la auditoría de certificación.

Descarga gratis e-book: La norma ISO 27001

Pues bien, en esta segunda entrega terminaremos de explicar los documentos obligatorios y, en el tercer y último de los artículos, se comentarán aquellos que no se consideran obligatorios pero que en realidad son frecuentemente utilizados como apoyo en el sistema de gestión de la norma ISO 27001.

Por lo tanto, se recomienda la lectura del artículo “Documentos obligatorios para la auditoría de la ISO 27001 (1ª parte)”, para poder dar continuidad y comprender en su totalidad la carga documental que incluye este sistema de gestión.

De este modo, procederemos a la descripción del resto de documentos necesarios en el sistema de gestión de la ISO 27001 para superar la auditoría interna o la de certificación.

Procedimiento para gestión de incidentes

Siendo uno de los procedimientos de mayor importancia, en él queda definido cómo se tienen que informar, clasificar y manejar cualquier debilidad, evento o incidente de seguridad.

Por consiguiente, son la mejor herramienta para aprender de los incidentes de seguridad que tuvieron lugar, de manera que puedan evitarse en el futuro.

Está vinculado al plan de continuidad de negocio en los casos de un incidente que provoque una interrupción prolongada.

Procedimientos de la continuidad del negocio

Se trata de la inclusión de diferentes planes o procedimientos como:

  • Continuidad de negocio.
  • Respuesta ante incidentes.
  • Recuperación del sector comercial de la organización.
  • Recuperación antes desastres (en infraestructuras TI).

En cuanto a estos procedimientos, cabe señalar que se describen mejor  en la norma ISO 22301 sobre continuidad de negocio.

Requisitos legales, normativos y contractuales

Como muchos de los documentos de la norma ISO 27001 se desarrollan en función a ellos, los requisitos legales, normativos y contractuales tienen que ser desarrollados al inicio del proyecto de implantación de la norma ISO 27001.

En él se tienen que incluir también plazos para el cumplimiento de tales requerimientos regulatorios.

Registros de capacitación, habilidades, experiencia y calificaciones

Generalmente, el departamento encargado es el de Recursos Humanos, no obstante, cualquiera de los empleados que realice esta labor de manera habitual, deberá guardar estos registros, normalmente, en una carpeta o en formato digital.

Resultados de supervisión y medición

Previamente, deben estar definidos los procedimientos para la medición de los controles, indicando cuáles serán los indicadores clave de desempeño (ICD) con los cuales realizar el seguimiento.

Por norma general, se describe al final de cada documento.

Mediante el procedimiento establecido, se procede a la medición de los indicadores, siendo de vital importancia para el sistema de gestión, que los resultados de las mediciones sean reportados a los responsables de evaluar dichos controles.

Programa de auditoría interna

Como en todas las normas, en la ISO 27001 también es preciso elaborar un plan anual de auditorías internas, cuyo número variará en función del tamaño y complejidad de la empresa.

Tiene que definir quién la realiza, los criterios a aplicar, métodos, etc.

Resultados de las auditorías internas

Los auditores internos generarán, como máximo dos días después, los informes de auditoría, en los cuales quedará reflejada cualquier observación a medida correctiva pertinente.

Resultados de la revisión por parte de la dirección

Básicamente, son actas de reunión en las que se incluye el material que haya sido tratado durante la reunión, así como las decisiones que se hayan tomado.

Resultados de acciones correctivas

Aunque, por lo general, están incluidos en los formularios de acciones correctivas, es preferible disponer de algún software que permita agregar directamente estos resultados junto con la lista de acciones correctivas.

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

En este caso, sí es aconsejable disponerlos en formato digital (automático o semiautomático) como registros, aunque también puede hacerse de manera manual.

Procedimiento para control de documentos

Es recomendable redactar este procedimiento como primer documento para que el resto de documentación sea manejada utilizando el mismo método.

Es un procedimiento independiente del resto.

en la #ISO27001 también es preciso elaborar un #plananual #auditoríasinternas…

Click To Tweet

Controles para gestión de registros

Usualmente, se redacta en cada política o procedimiento, al final del documento y en forma de tabla, en la cual se indica dónde archivar el registro, quién puede acceder o cómo protegerlo.

Procedimiento para auditoría interna

También se trata de un procedimiento independiente, redactado antes de la auditoría interna y de no más de 2 o 3 páginas.

Procedimiento para medidas correctivas

Al contrario, este procedimiento puede ser redactado al final de lo que es el proyecto de implementación.

No obstante, es preferible hacerlo con anterioridad, para ponerlo en conocimiento de los empleados.

Equivalencias con los capítulos de la norma

En la siguiente tabla, finalmente, se presenta la correspondencia entre los documentos mínimos necesarios para el sistema de gestión en ISO 27001 y los capítulos de la propia norma:

  • Registros de capacitación, habilidades, experiencia y calificaciones: capítulo 7.2
  • Resultados de supervisión y medición: capítulo 9.1
  • Programa de auditoría interna: capítulo 9.2
  • Los resultados de las auditorías internas: capítulo 9.2
  • Resultados de la revisión porpartede la dirección: capítulo 9.3
  • Resultados de acciones correctivas: capítulo 8.2 – 8.3
  • Definición de funciones y responsabilidades de seguridad: capítulo 10.1
  • Registros sobre actividades de los usuarios, excepciones y eventos de seguridad: capítulo a.12.4.1 – a.12.4.3

Software ISOTools

No se preocupe por la gran cantidad de documentos requeridos por la  norma ISO 27001, porque el Software ISOTools está diseñado para facilitarle la elaboración y gestión de todos y cada uno de ellos, llevando al día los registros y permitiendo la comunicación con los responsables de cada uno de los controles diseñados.

¿Qué aún no lo sabe? Innove con nosotros.

E-book gratis la norma ISO 27001
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

ISO/TS 37008
Beneficios de ISO/TS 37008
22 noviembre, 2024

En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…

Ver más
ISO 37008
¿Qué es la norma ISO 37008 para la gestión de investigaciones internas?
20 noviembre, 2024

La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...

Ver más
ISO 50001
10 ventajas de certificarse en ISO 50001
18 noviembre, 2024
La sostenibilidad y la eficiencia energética son conceptos que resuenan en nuestro día a día por lo relevante que es su gestión...
Ver más
ISO 19011
¿Cuáles son los criterios de auditoría según ISO 19011?
15 noviembre, 2024

La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...

Ver más

Volver arriba