7.5.1 General
Actividad
La organización incluye información documentada en el SGSI según lo requiera directamente ISO / IEC 27001, así como también lo determine la organización como necesaria para la eficacia del SGSI.
Explicación
La información documentada es necesaria para definir y comunicar los objetivos, políticas, directrices, instrucciones, controles, procesos, procedimientos de seguridad de la información y qué personas o grupos de personas se espera que hagan y cómo se espera que se comporten. También se necesita información documentada para las auditorías del SGSI y para mantener un SGSI estable cuando cambian las personas en roles clave. Además, se necesita información documentada para registrar acciones, decisiones y resultados de los procesos del SGSI y los controles de seguridad de la información.
La información documentada puede contener:
- información sobre objetivos, riesgos, requisitos y normas de seguridad de la información;
- información sobre procesos y procedimientos a seguir; y
- registros de los insumos (por ejemplo, para las revisiones de la dirección) y los resultados de los procesos (incluidos los planes y los resultados de las actividades operativas).
Hay muchas actividades dentro del SGSI que producen información documentada que se utiliza, la mayoría de las veces, como entrada para otra actividad.
ISO / IEC 27001 requiere un conjunto de información documentada obligatoria y contiene un requisito general de que se requiere información documentada adicional si es necesario para la efectividad del SGSI.
La cantidad de información documentada necesaria a menudo está relacionada con el tamaño de la organización.
En total, la información documentada obligatoria y adicional contiene información suficiente para permitir que se lleven a cabo los requisitos de evaluación del desempeño especificados en la Cláusula 9.
Guía
La organización debería determinar qué información documentada es necesaria para asegurar la eficacia de su SGSI, además de la información documentada obligatoria requerida por ISO / IEC 27001.
La información documentada debe estar ahí para ajustarse al propósito. Lo que se necesita es información fáctica y “al grano”.
Ejemplos de información documentada que la organización puede determinar cómo necesaria para asegurar la efectividad de su SGSI son:
- los resultados del establecimiento del contexto (ver Cláusula 4);
- los roles, responsabilidades y autoridades (ver Cláusula 5); “
- informes de las diferentes fases de la gestión de riesgos (ver Cláusula 6);
- recursos determinados y proporcionados (ver 7.1);
- la competencia esperada (ver 7.2);
- planes y resultados de las actividades de sensibilización (ver 7.3);
- planes y resultados de las actividades de comunicación (ver 7.4);
- información documentada de origen externo que es necesaria para el SGSI (ver 7.5.3);
- proceso para controlar la información documentada (ver 7.5.3);
- políticas, reglas y directivas para dirigir y operar actividades de seguridad de la información;
- procesos y procedimientos utilizados para implementar, mantener y mejorar el SGSI y el estado general de seguridad de la información (ver Cláusula 9);
- plan de acción; y
- evidencia de los resultados de los procesos del SGSI (por ejemplo, gestión de incidentes, control de acceso, continuidad de la seguridad de la información, mantenimiento de equipos, etc.).
La información documentada puede ser de origen interno o externo.
7.5.2 Creación y actualización
Actividad
Al crear y actualizar la información documentada, la organización asegura su adecuada identificación y descripción, formato y medios, y revisión y aprobación.
Explicación
La organización identifica en detalle cómo se estructura mejor la información documentada y define un enfoque de documentación adecuado.
La revisión y aprobación por parte de la gerencia apropiada asegura que la información documentada sea correcta, adecuada para el propósito y en una forma y detalle adecuados para la audiencia prevista. Las revisiones periódicas aseguran la idoneidad y adecuación continuas de la información documentada.
Guía
La información documentada se puede conservar de cualquier forma, p. Ej documentos tradicionales (tanto en papel como en formato electrónico), páginas web, bases de datos, registros informáticos, informes generados por ordenador, audio y vídeo. Además, la información documentada puede consistir en especificaciones de intención (por ejemplo, la política de seguridad de la información) o registros de desempeño (por ejemplo, los resultados de una auditoría) o una combinación de ambos. La siguiente guía se aplica directamente a los documentos tradicionales y debe interpretarse de manera apropiada cuando se aplica a otras formas de información documentada.
Las organizaciones deben crear una biblioteca estructurada de información documentada, que vincule diferentes partes de la información documentada mediante:
a) determinar la estructura del marco de información documentado;
b) determinar la estructura estándar de la información documentada;
e) proporcionar plantillas para diferentes tipos de información documentada;
d) determinar las responsabilidades para preparar, aprobar, publicar y gestionar la información documentada; y
e) determinar y documentar el proceso de revisión y aprobación para asegurar la idoneidad y adecuación continuas.
Las organizaciones deben definir un enfoque de documentación que incluya atributos comunes de cada documento, que permitan una identificación clara y única. Estos atributos generalmente incluyen el tipo de documento (p. Ej., Política, directiva, regla, directriz, plan, formulario, proceso o procedimiento), el propósito y el alcance, el título, la fecha de publicación, la clasificación, el número de referencia, el número de versión y un historial de revisión. Se debe incluir la identificación del autor y la (s) persona (s) actualmente responsables del documento, su aplicación y evolución, así como el (los) aprobador (es) o autoridad de aprobación.
Los requisitos de formato pueden incluir la definición de lenguajes de documentación adecuados, formatos de archivo, versión de software para trabajar con ellos y contenido gráfico. Los requisitos de los medios definen en qué medios físicos y electrónicos debe estar disponible la información.
Las declaraciones y el estilo de redacción deben adaptarse a la audiencia y al alcance de la documentación.
Se debe evitar la duplicación de información en la información documentada y se deben usar referencias cruzadas en lugar de replicar la misma información en diferentes documentos.
El enfoque de la documentación debe garantizar la revisión oportuna de la información documentada y que todos los cambios en la documentación estén sujetos a aprobación. Los criterios de revisión adecuados pueden estar relacionados con el tiempo (por ejemplo, períodos de tiempo máximos entre revisiones de documentos) o relacionados con el contenido. Deben definirse los criterios de aprobación, que aseguren que la información documentada sea correcta, adecuada para el propósito y en forma y detalle adecuados para la audiencia destinataria.
7.5.3 Control de la información documentada
Actividad
La organización gestiona la información documentada a lo largo de su ciclo de vida y la pone a disposición donde y cuando sea necesario.
Explicación
Una vez aprobada, la información documentada se comunica a su público objetivo. La información documentada está disponible donde y cuando se necesita, mientras se preserva su integridad, confidencialidad y relevancia durante todo el ciclo de vida.
Tenga en cuenta que las actividades descritas “según corresponda” en ISO / IEC 27001: 2013, 7.5.3 deben realizarse si se pueden realizar y son útiles, considerando las necesidades y expectativas de la organización.
Guía
Se puede utilizar una biblioteca de información documentada estructurada para facilitar el acceso a la información documentada.
Toda la información documentada debe clasificarse (ver ISO / IEC 27001: 2013, A.8.2.1) de acuerdo con el esquema de clasificación de la organización. La información documentada debe protegerse y manejarse de acuerdo con su nivel de clasificación (ver ISO / IEC 27001: 2013, A.8.2.3).
Un proceso de gestión de cambios para la información actualizada debe garantizar que solo las personas autorizadas tengan derecho a modificarla y distribuirla según sea necesario a través de medios adecuados y predefinidos. Los documentos documentados en la nación deben protegerse para garantizar que mantengan su validez y autenticidad.
La información documentada debe distribuirse y ponerse a disposición de las partes interesadas autorizadas. Para ello, la organización debe establecer quiénes son las partes interesadas relevantes para cada información documentada (o grupos de información documentada) y los medios a utilizar para la distribución, acceso, recuperación y uso (por ejemplo, un sitio web con mecanismos de control de acceso adecuados). La distribución debe cumplir con todos los requisitos relacionados con la protección y el manejo de información clasificada.
La organización debería establecer el período de retención apropiado para la información documentada de acuerdo con su validez prevista y otros requisitos relevantes. La organización debe asegurarse de que la información sea legible durante su período de retención (por ejemplo, utilizando formatos que puedan ser leídos por el software disponible o verificando que el papel no esté dañado).
La organización debería establecer qué hacer con la información documentada después de que haya expirado su período de retención.
La organización también debe gestionar información documentada de origen externo (es decir, de clientes, socios, proveedores, organismos reguladores, etc.).
La información documentada sobre esta actividad y su resultado es obligatoria solo en la forma y en la medida en que la organización determine como necesaria para la eficacia de su sistema de gestión (ver ISO / IEC 27001: 2013, 7.5.1b)).