ISO 27001:2013 Información documentada
Sistemas de Gestión de Seguridad de la Información
ISO 27001 es una norma aplicable en toda organización que lo desee sin importar su tamaño o sector de su actividad, pueden implantarla y trabajar con ella desde una empresa del sector turístico hasta un centro educativo, solo importa el compromiso con la protección de la seguridad de la información con la que trabajan.
Si es cierto que según el tipo de organización ésta manejará más o menos cantidad de información pero igualmente será muy relevante para su funcionamiento.
ISO-27001 para poder acometer su función se compone de 10 cláusulas que forman un Sistema de Gestión de Seguridad de la Información o SGSI. En post anteriores hemos hablado de diferentes cláusulas, pero en este toca tratar:
7.5 Información documentada
7.5.1 Generalidades
Para ISO27001, el SGSI debe incluir:
- Información documentada requerida por este estándar.
- Información documentada que la organización estime como relevante para el Sistema de Gestión de Seguridad de la Información.
Aunque el alcance de la información documentada para un SGSI puede variar en función de del tipo de organización por motivos como:
- El tamaño, tipo de actividades, procesos, productos y servicios.
- La complejidad de los procesos e interacciones.
- La competencia del personal.
7.5.2 Creación y actualización
A la hora de crear información documentada o actualizarla, la organización debe asegurarse que queda adecuadamente:
- Identificada y descrita, incluyendo título, fecha, autor o número de referencia.
- El formato indicando idioma, versión del software, gráficos… y sus medios de soporte como puede ser el papel o el soporte electrónico.
- Revisada y aprobada con respecto a su idoneidad y adecuación.
7.5.3 Control de la información documentada
ISO 27001:2013 y el Sistema de Gestión de Seguridad de la Información que conforma requiere de una información documentada que se debe controlar para garantizar que:
- Esté adecuada y disponible para usarla cuando y donde se la necesite.
- Esté convenientemente protegida contra pérdida de confidencialidad, uso inadecuado o pérdida de integridad entre otras amenazas.
Para el control de esta información documentada, la organización debería tratar actividades como:
- La distribución, recuperación, acceso y uso.
- – El almacenamiento y preservación.
- – El control de cambios.
- – La retención y disposición.
Existirá una información documentada que será de origen externo y que la organización estima que es necesaria para ella y para la planificación y operación del Sistema de Gestión de Seguridad de la Información, por tanto se debe identificar y controlar, según sea conveniente.
Cuando hablamos de acceso a la información documentada, el responsable de la misma, según la organización, deberá determinar si el permiso es solamente para consulta de dicha información o si se extiende un poco más y se le concede autoridad para consultar y modificarla.
Software para ISO 27001
La Plataforma Tecnológica ISOTools hace de un SGSI un sistema sencillo de implantar, automatizar y mantener actualizado y adecuado para su correcto funcionamiento, dando cumplimiento a cada uno de los requisitos que plantea la norma ISO 27001:2013. Además si una organización tiene implantados otros Sistemas de Gestión, tales como los relativos a las normas ISO 9001, ISO 14001 u OHSAS 18001, con este software se podrán integrar para facilitar el trabajo.