| 25 años generando CONFIANZA
Cada día más, se hace necesario en las organizaciones el contar con un sistema de protección de la información, que nos ayude a identificar las amenazas a las que estamos expuestos y poder controlarlas.
La implantación de un SGSI (Sistema de Gestión de Seguridad de la Información) nos va a permitir asegurar la continuidad de nuestro negocio, mediante la reducción de riesgos y costos y maximización de las oportunidades de negocio.
Uno de los requerimientos que exige un SGSI es el Control de la Documentación, de forma que se garantice la confidencialidad, integridad y disponibilidad de la información asociada a dicho SGSI.
Este requisito supone una correcta recopilación y elaboración de dichos documentos y registros. Para ello se deberán establecer los procedimientos necesarios para controlar y proteger dicha información, mediante el desarrollo de documentos, control de cambios y versiones, disponibilidad, aprobación, control de la distribución, entre otros.
Pero la duda de muchas organizaciones a la hora de establecer un SGSI es: ¿Cuáles son los documentos obligatorios de un SGSI?
Se trata de los siguientes:
- Alcance del SGSI:
Se trata de la aclaración de “hasta dónde” se aplica el SGSI, es decir, qué áreas, divisiones, procesos, etc. abarca el SGSI.
- Política del SGSI:
Es un documento en el que se establece el compromiso de la dirección y el enfoque de la organización en cuanto a la seguridad de la información.
Se trata de definir de qué manera se va a evaluar el riesgo (evaluación de amenazas, vulnerabilidad y probabilidad de ocurrencia, impactos que generan en nuestros activos, definición de criterios de aceptación de riesgo, etc.)
- Informe de Evaluación del Riesgo:
Es el resultado de cruzar la Metodología de Evaluación del riesgo con los Activos de Información.
- Plan de Tratamiento del Riesgo:
Es un documento en el que a partir de la evaluación del riesgo y los objetivos de control establecidos; se plasman las acciones que se van a tomar para gestionar el riesgo, identificando dichas acciones, los responsables, los recursos que se van a emplear, etc.
- Declaración de Aplicabilidad:
Es un documento en el que se listan los objetivos y controles que se van a implementar en la organización, así como la justificación de aquellos controles que no van a ser implementados.
- Procedimientos para el control de la documentación:
Son los procedimientos que aseguran la planificación, operación y control de los procesos de seguridad del SGSI.
- Registros:
Son documentos que evidencien el constante y correcto funcionamiento de SGSI.
- Autorización y compromiso de la Dirección con el SGSI
Toda documentación generada por el SGSI debe pasar por distintas fases propias del Ciclo de Vida de los documentos del SGSI, tal y como comentamos al inicio y antes de ser distribuida a la organización debe ser revisada y aprobada por la dirección.
ISOTools es una herramienta de gestión integral de los SGSI, que permite gestionar el Ciclo de Vida de la documentación propia del sistema, con la posibilidad de gestionar las alertas que avisen a los responsables, distribución de la documentación, control de versiones y responsabilidades, etc.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...