¿Cuáles son los documentos y registros de la norma ISO 27001?
ISO 27001
Las organizaciones deben conocer cuál es la documentación necesaria para que el Sistema de Gestión de Seguridad de la Información cumpla con la norma ISO 27001 y por esto, queremos exponer un listado de verificación para resolver este problema.
La lista de verificación identifica la documentación y los registros que se requiere explícitamente en el cuerpo principal de la norma ISO 27001 como obligatorios. Es posible identificar diferentes formas posibles de documentación, ya que existen varias formas de cumplir con los requisitos formales. Dejamos un listado detallado, para verificar si se cumple con la ISO 27001 de una forma correcta:
- Alcance del Sistema de Gestión de Seguridad de la Información
- Políticas y objetivos de seguridad de la información
- Metodología de evaluación y tratamiento de riesgos
- Declaración de aplicabilidad
- Plan de tratamiento del riesgo
- Informe sobre evaluación y tratamiento de riesgos
- Definición de funciones y responsabilidades de seguridad
- Inventario de activos
- Utilización aceptable de los activos
- Política de control de acceso
- Procedimientos operativos para gestión de TI
- Principios de ingeniería para sistema seguro
- Política de seguridad para proveedores
- Procedimiento para gestión de incidentes
- Procedimientos de la continuidad del negocio
- Requisitos legales, normativos y contractuales
Alcance del SGSI
Suele ser un documento corto y se redacta al inicio de la implementación de ISO 27001. En general, se trata de un documento independiente, aunque puede ser unificado con la política de seguridad de la información.
Políticas y objetivos de seguridad de la información
La política de seguridad de la información es un documento breve y de alto nivel que detalla el principal objetivo del Sistema de Gestión de Seguridad de la Información. Los objetivos se presentan como un documento independiente, pero se pueden unificar en la política de seguridad de la información.
Metodología e informes de evaluación y tratamiento de riesgos
La metodología de evaluación y tratamiento del riesgo suele ser un documento de 4 o 5 páginas y debe ser redactado antes de que se lleve a cabo la evaluación y el tratamiento de riesgos. El informe de evaluación y tratamiento de riesgos se tiene que redactar una vez que realiza la evaluación y el tratamiento de riesgos.
Declaración de aplicabilidad
La Declaración de aplicabilidad se lleva a cabo en base a los resultados del tratamiento del riesgo. Es un documento clave dentro del Sistema de Gestión de Seguridad de la Información ya que no solo se describen los controles del Anexo A, sino que también se implantan. Se deberá considerar la declaración de aplicabilidad como un documento que describe el perfil de seguridad de la organización.
Plan de tratamiento del riesgo
Es básicamente, un plan de acción sobre cómo se tiene que implementar los diferentes controles definidos en la Declaración de aplicabilidad. Dicho documento se utiliza en función de la Declaración de aplicabilidad y se usa de forma activa a lo largo de toda la implantación del Sistema de Gestión de Seguridad de la Información.
Funciones y responsabilidades de seguridad
El mejor método es describir las funciones y responsabilidades en todas las políticas y procedimientos de la manera más precisa posible. Algunas organizaciones prefieren detallar las funciones y responsabilidades de seguridad en las descripciones del trabajo. Las funciones y responsabilidades de seguridad para terceros se definen mediante contratos.
Si no se cuenta con un inventario de este tipo antes del proyecto ISO 27001, la mejor forma de hacerlo es directamente a partir del resultado de la evaluación de los riesgos.
Uso aceptable de los activos
De forma habitual, el documento se confecciona bajo la forma de una política y puede cubrir un amplio rango de temas porque la norma no define muy bien dicho control.
Política de control de acceso
En dicho documento se puede cubrir sólo la parte comercial de la aprobación de acceso que se determina por la información y sistema, además se puede incluir el aspecto técnico del control de acceso. Se puede optar por definir reglas para acceso lógico o para acceso físico. El documento se debe redactar después de finalizar el proceso de evaluación y tratamiento de riesgos.
Procedimientos operativos para gestión de TI
Se puede generar el procedimiento con un único documento o como parte de una serie de políticas y procedimientos.
Principios de ingeniería para sistemas seguros
El nuevo control de ISO 27001 requiere que se documenten los principios de la ingeniería de seguridad bajo la forma de un procedimiento o norma y se define cómo la incorporación de técnicas de seguridad en todas las capas de arquitectura, negocio, datos, aplicaciones y tecnología. Los principios se pueden incluir en la validación de datos de entrada.
Política de seguridad para proveedores
Es un nuevo control en ISO 27001, y una política de este tipo puede abarcar un amplio rango de controles, cómo se lleva a cabo la selección de potenciales contratistas, cómo se realiza la evaluación de riesgos de un proveedor, qué cláusulas se incluyen en el contrato, cómo supervisar el cumplimiento de cláusulas contractuales de seguridad, cómo modificar el contrato, cómo cerrar el acceso una vez cancelado el contrato, etc.
Software ISO 27001
La Plataforma Tecnológica ISOTools agiliza y facilita a las organizaciones el proceso de implementación y mantenimiento de los Sistemas de Gestión de Seguridad de la Información.