ISO/IEC 27001:2022: Apoyo
ISO/IEC 27001:2022: Apoyo
En lo relacionado con los recursos, la ISO/IEC 27001: 2022 establece que la organización debe determinar y proporcionar aquellos que sean necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de seguridad de la información.
Competencia
Cuando se habla de la competencia en base a la ISO/IEC 27001 la empresa deberá:
- Determinar la competencia necesaria de las personas que realizan el trabajo bajo su control y que afecta al desempeño en seguridad de la información.
- Garantizar que estas personas sean competentes sobre la base de una educación, formación o experiencia.
- Para ello también será preciso tomar acciones para adquirir la competencia necesaria y evaluar la efectividad de las acciones tomadas.
- Conservar la información documentada apropiada como evidencia de competencia.
Esta norma incluye una nota en la que se señala que las acciones aplicables pueden incluir, por ejemplo, la provisión de capacitación, tutoría o reasignación de empleados actuales, o la contratación de personas competentes.
Conciencia
Las personas que realicen trabajos bajo el control de la organización deben ser conscientes de la política de seguridad de la información. Además, tendrán que conocer su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluidos los beneficios de un mejor desempeño de la seguridad de la información y las implicaciones de no cumplir con los requisitos del sistema de gestión de seguridad de la información.
Comunicación
La norma ISO/IEC 27001 establece que la organización debe determinar la necesidad de comunicaciones internas y externas relevantes para el sistema de gestión de la seguridad de la información, incluyendo:
- Sobre qué comunicar.
- Cuándo comunicar.
- Con quién comunicarse.
- Cómo comunicarse.
Información documentada
El sistema de gestión de la seguridad de la información de la organización debe incluir la información documentada requerida por la ISO/IEC 27001:2022, así como información documentada determinada por la organización como necesaria para la eficacia del GSSI.
Además, la propia ISO/IEC 27001 incluye una nota en la que se establece que la extensión de la información documentada para un sistema de gestión de seguridad de la información puede diferir de una organización a otra debido al tamaño y su tipo de actividades, procesos, productos y servicios; la complejidad de los procesos y sus interacciones; y la competencia de las personas.
Creación y actualización de la información documentada
Al crear y actualizar la información documentada, la organización debe garantizar lo siguiente, según la ISO/IEC 27001:2022:
- Identificación y descripción, como, por ejemplo, un título, fecha, autor o número de referencia.
- Formato, como por ejemplo el idioma, versión de software o gráficos, y medios, como por ejemplo el papel.
- Revisión y aprobación de la idoneidad y adecuación.
Control de la información documentada
La información documentada requerida por el sistema de gestión de seguridad de la información y por la ISO/IEC 27001 se controlará para garantizar que esté disponible y que sea adecuada para su uso, donde y cuando se necesite. Además, la información documentada debe estar adecuadamente protegida contra la pérdida de confidencialidad, uso indebido o pérdida de integridad.
Para controlar la información documentada, la empresa abordará estas actividades:
- Distribución, acceso, recuperación y uso.
- Almacenamiento y conservación, incluida la conservación de la legibilidad.
- Control de cambios, como, por ejemplo, el control de versiones.
- Retención y disposición.
La información documentada externa que la organización determine que es necesaria para la planificación y operación del SGSI se identificará y controlará.
Plataforma tecnológica para Sistema de Gestión de Seguridad de la Información
La plataforma tecnológica ISOTools para riesgos y seguridad de la información, está capacitada para responder a numerosos controles para el tratamiento de la información. Todo ello, gracias a las aplicaciones que contiene, totalmente configurables según los requerimientos de cada empresa. Además, esta herramienta permite automatizar el Sistema de Gestión de Seguridad de la Información.