Documentos de Nivel 1
Manual de seguridad: por analogía
con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento
que inspira y dirige todo el sistema, el
que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y
directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el
nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y
control de los procesos de seguridad de la
información.
Documentos de Nivel 3
Instrucciones, checklists y
formularios: documentos que describen cómo se realizan las tareas y las actividades específicas
relacionadas con la seguridad de la información.
Documentos de Nivel 4
Registros: documentos que
proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a
documentos de los otros tres niveles como
output que demuestra que se ha cumplido lo indicado en los mismos. De manera específica, ISO 27001 indica que un
SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio):
• Alcance del SGSI: ámbito
de la organización que queda sometido al SGSI,
incluyendo una identificación clara de las dependencias, relaciones y
límites que existen entre el alcance y
aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de
influencia del SGSI considere un subconjunto
de la organización como delegaciones, divisiones, áreas, procesos,
sistemas o tareas concretas).
• Política y objetivos de
seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la
organización en la gestión de la seguridad
de la información.
• Procedimientos y mecanismos
de control que soportan al SGSI: aquellos
procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de
riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas,
vulnerabilidades, probabilidades de ocurrencia
e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de
criterios de aceptación de riesgo y fijación de
niveles de riesgo aceptables .
• Informe de evaluación de
riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los
activos de información de la organización.
• Plan de tratamiento de
riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las
prioridades para gestionar los riesgos de seguridad de la información, en función de las
conclusiones obtenidas de la evaluación
de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.
• Procedimientos documentados:
todos los necesarios para asegurar la planificación, operación y control de los procesos de
seguridad de la información, así como para la
medida de la eficacia de los controles implantados.
• Registros: documentos
que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del
SGSI.
• Declaración de
aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos
de control y los controles contemplados
por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando
inclusiones y exclusiones.
No hay comentarios:
Publicar un comentario