Checklist ISO 27001:2013
Páginas: 10 (2463 palabras)
Publicado: 30 de septiembre de 2014
Lista de documentación obligatoria requerida por
ISO/IEC 27001 (Revisión 2013)
1) ¿Qué documentos y registros son necesarios?
La siguiente lista detalla la cantidad mínima de documentos y registros requeridos por la
Revisión 2013 de la norma ISO/IEC 27001:
Documentos*
Capítulo de ISO 27001:2013
Alcance del SGSI
4.3
Políticas y objetivos de seguridad de la información
5.2,6.2
Metodología de evaluación y tratamiento de riesgos
6.1.2
Declaración de aplicabilidad
6.1.3 d)
Plan de tratamiento del riesgo
6.1.3 e), 6.2
Informe de evaluación de riesgos
8.2
Definición de funciones y responsabilidades de seguridad
A.7.1.2, A.13.2.4
Inventario de activos
A.8.1.1
Uso aceptable de los activos
A.8.1.3
Política de control de accesoA.9.1.1
Procedimientos operativos para gestión de TI
A.12.1.1
Principios de ingeniería para sistema seguro
A.14.2.5
Política de seguridad para proveedores
A.15.1.1
Procedimiento para gestión de incidentes
A.16.1.5
Procedimientos de la continuidad del negocio
A.17.1.2
Requisitos legales, normativos y contractuales
A.18.1.1
Registros*
Capítulo de ISO27001:2013
Registros de capacitación, habilidades, experiencia y
7.2
calificaciones
Resultados de supervisión y medición
9.1
Programa de auditoría interna
9.2
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Página 1 de 10
Resultados de las auditorías internas
9.2
Resultados de la revisión por parte de la dirección
9.3
Resultados deacciones correctivas
10.1
Registros sobre actividades de los usuarios, excepciones
A.12.4.1, A.12.4.3
y eventos de seguridad
*Se pueden excluir los controles del Anexo A si una organización determina que no existen
riesgos ni otros requisitos que podrían demandar la implementación de un control.
Esta no es, de ninguna forma, una lista definitiva de documentos y registros que sepueden
utilizar durante la implementación de ISO 27001; la norma permite que se agregue cualquier
otro documento que pueda mejorar el nivel de seguridad de la información.
2) Documentos no obligatorios de uso frecuente
Los siguientes son otros documentos que se utilizan habitualmente:
Documentos
Capítulo de ISO 27001:2013
Procedimiento para control de documentos
7.5
Controles paragestión de registros
7.5
Procedimiento para auditoría interna
9.2
Procedimiento para medidas correctivas
10.1
Política Trae tu propio dispositivo (BYOD)
A.6.2.1
Política sobre dispositivos móviles y tele-trabajo
A.6.2.1
Política de clasificación de la información
A.8.2.1, A.8.2.2, A.8.2.3
Política de claves
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
A.9.4.3Política de eliminación y destrucción
A.8.3.2, A.11.2.7
Procedimiento para trabajo en áreas seguras
A.11.1.5
Política de pantalla y escritorio limpio
A.11.2.9
Política de gestión de cambio
A.12.1.2, A.14.2.4
Política de creación de copias de seguridad
A.12.3.1
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Página 2 de 10
Políticade transferencia de la información
A.13.2.1, A.13.2.2, A.13.2.3
Análisis del impacto en el negocio
A.17.1.1
Plan de prueba y verificación
A.17.1.3
Plan de mantenimiento y revisión
A.17.1.3
Estrategia de la continuidad del negocio
A.17.2.1
3) Cómo estructurar los documentos y registros más
comunes
Alcance del SGSI
Este documento es, habitualmente, bastante corto y seredacta al inicio de la
implementación de ISO 27001. En general, se trata de un documento independiente, aunque
puede ser unificado con una política de seguridad de la información.
Leer más en: Problems with defining the scope in ISO 27001.
Políticas y objetivos de seguridad de la información
La política de seguridad de la información generalmente es un documento breve y de alto
nivel...
ISO/IEC 27001 (Revisión 2013)
1) ¿Qué documentos y registros son necesarios?
La siguiente lista detalla la cantidad mínima de documentos y registros requeridos por la
Revisión 2013 de la norma ISO/IEC 27001:
Documentos*
Capítulo de ISO 27001:2013
Alcance del SGSI
4.3
Políticas y objetivos de seguridad de la información
5.2,6.2
Metodología de evaluación y tratamiento de riesgos
6.1.2
Declaración de aplicabilidad
6.1.3 d)
Plan de tratamiento del riesgo
6.1.3 e), 6.2
Informe de evaluación de riesgos
8.2
Definición de funciones y responsabilidades de seguridad
A.7.1.2, A.13.2.4
Inventario de activos
A.8.1.1
Uso aceptable de los activos
A.8.1.3
Política de control de accesoA.9.1.1
Procedimientos operativos para gestión de TI
A.12.1.1
Principios de ingeniería para sistema seguro
A.14.2.5
Política de seguridad para proveedores
A.15.1.1
Procedimiento para gestión de incidentes
A.16.1.5
Procedimientos de la continuidad del negocio
A.17.1.2
Requisitos legales, normativos y contractuales
A.18.1.1
Registros*
Capítulo de ISO27001:2013
Registros de capacitación, habilidades, experiencia y
7.2
calificaciones
Resultados de supervisión y medición
9.1
Programa de auditoría interna
9.2
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Página 1 de 10
Resultados de las auditorías internas
9.2
Resultados de la revisión por parte de la dirección
9.3
Resultados deacciones correctivas
10.1
Registros sobre actividades de los usuarios, excepciones
A.12.4.1, A.12.4.3
y eventos de seguridad
*Se pueden excluir los controles del Anexo A si una organización determina que no existen
riesgos ni otros requisitos que podrían demandar la implementación de un control.
Esta no es, de ninguna forma, una lista definitiva de documentos y registros que sepueden
utilizar durante la implementación de ISO 27001; la norma permite que se agregue cualquier
otro documento que pueda mejorar el nivel de seguridad de la información.
2) Documentos no obligatorios de uso frecuente
Los siguientes son otros documentos que se utilizan habitualmente:
Documentos
Capítulo de ISO 27001:2013
Procedimiento para control de documentos
7.5
Controles paragestión de registros
7.5
Procedimiento para auditoría interna
9.2
Procedimiento para medidas correctivas
10.1
Política Trae tu propio dispositivo (BYOD)
A.6.2.1
Política sobre dispositivos móviles y tele-trabajo
A.6.2.1
Política de clasificación de la información
A.8.2.1, A.8.2.2, A.8.2.3
Política de claves
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
A.9.4.3Política de eliminación y destrucción
A.8.3.2, A.11.2.7
Procedimiento para trabajo en áreas seguras
A.11.1.5
Política de pantalla y escritorio limpio
A.11.2.9
Política de gestión de cambio
A.12.1.2, A.14.2.4
Política de creación de copias de seguridad
A.12.3.1
©2013 Information Security & Business Continuity Academy www.iso27001standard.com
Página 2 de 10
Políticade transferencia de la información
A.13.2.1, A.13.2.2, A.13.2.3
Análisis del impacto en el negocio
A.17.1.1
Plan de prueba y verificación
A.17.1.3
Plan de mantenimiento y revisión
A.17.1.3
Estrategia de la continuidad del negocio
A.17.2.1
3) Cómo estructurar los documentos y registros más
comunes
Alcance del SGSI
Este documento es, habitualmente, bastante corto y seredacta al inicio de la
implementación de ISO 27001. En general, se trata de un documento independiente, aunque
puede ser unificado con una política de seguridad de la información.
Leer más en: Problems with defining the scope in ISO 27001.
Políticas y objetivos de seguridad de la información
La política de seguridad de la información generalmente es un documento breve y de alto
nivel...
Leer documento completo
Regístrate para leer el documento completo.