Sus políticas y procedimientos son el qué y el cómo del ISMS de su organización. Su documentación es la evidencia que utilizará para probar la solidez de sus controles de seguridad ante su auditor.
¿Qué tipo de documentación de cumplimiento de ISO/IEC 27001 se requiere para su auditoría?
Lista de documentación del Sistema de Gestión de Seguridad de la Información (ISMS)
Una auditoría típica de certificación ISO 27001 requerirá documentación para:
- Cláusula 4.3: Alcance del ISMS
- Cláusula 5.2: Política de seguridad de la información
- Cláusula 5.5.1: Cualquier información documentada que la organización considere necesaria para apoyar el ISMS
- Cláusula 6.1.2: Proceso/metodología de evaluación de riesgos de seguridad de la información
- Cláusula 6.1.3: Plan de tratamiento de riesgos de seguridad de la información y Declaración de Aplicabilidad (SoA)
- Cláusula 6.2: Objetivos de seguridad de la información
- Cláusulas 7.1.2 y 13.2.4: Roles y responsabilidades de seguridad definidos
- Cláusula 7.2: Evidencia de competencia
- Cláusula 8.1: Inventario de activos, uso aceptable de activos y planificación operativa
- Cláusulas 8.2 y 8.3: Resultados de la evaluación de riesgos de seguridad de la información y tratamiento de riesgos de seguridad de la información
- Cláusula 9.1: Política de control de acceso, evidencia del monitoreo del ISMS y métricas de seguimiento
- Cláusula 9.2: Un proceso de auditoría interna documentado e informes de auditoría interna completados
- Cláusula 9.3: Resultados de revisiones de la dirección
- Cláusula 10.1: Evidencia de cualquier no conformidad y acciones correctivas tomadas
- Cláusula 12.4: Actividad del usuario, excepciones y registros de incidentes de seguridad
Lista de documentación del Anexo A
Todas las cláusulas del Anexo A son necesarias para el cumplimiento de ISO 27001 y pueden implicar una cantidad sustancial de documentación. A continuación, se muestran algunos ejemplos de documentos que generalmente se crean para la certificación ISO 27001:
- Cláusula 6.2.1: Políticas de dispositivos móviles, BYOD y trabajo remoto
- Cláusula 7.5: Proceso de control de documentos y controles para la gestión de registros
- Cláusula 8.2.1: Política de clasificación de la información
- Cláusulas 8.3 y 11.2: Política de retención y eliminación de datos
- Cláusulas 9.2, 9.3, 9.4: Política de contraseñas
- Cláusula 11.1.5: Procedimientos para trabajar en áreas seguras
- Cláusula 11.2: Políticas de escritorio limpio y pantalla limpia
- Cláusulas 12.1 y 14.2: Política de gestión de cambios
- Cláusula 12.3: Política de respaldo de datos
- Cláusula 13.2: Política de transferencia de datos
- Cláusula 14.2.5: Principios de desarrollo/ingeniería de software seguro
- Cláusula 15.1.1: Política de seguridad del proveedor
- Cláusula 16.1.5: Procedimiento de gestión de incidentes
- Cláusula 17.1: Procedimientos de continuidad del negocio
- Cláusula 18.1.1: Requisitos legales, normativos y contractuales
Preparación de la documentación para su auditor
Organizar su documentación ahorrará dolores de cabeza y le ayudará a completar su auditoría de la Etapa 1 a tiempo. Revisar la documentación permite a su auditor obtener una mejor comprensión de sus sistemas antes de comenzar una auditoría de Etapa 2.
Al recopilar documentación para su auditoría, considere un formato de informe estándar que incluya:
- La razón por la cual se creó la política o procedimiento
- El departamento responsable de aprobar, implementar y actualizar la política
- Las fechas de aprobación e implementación
- Los sistemas, procesos o aplicaciones afectados por la política
- Seguimiento de la aceptación de la política por parte del usuario
Una forma más sencilla de crear los documentos obligatorios de ISO 27001
Uno de los aspectos más tediosos del cumplimiento de la norma ISO 27001 es crear políticas y recopilar la documentación requerida. A medida que se prepara para su auditoría de certificación, probablemente tendrá cientos de documentos que crear, recopilar, organizar con los controles adecuados y mantener actualizados.
Secureframe simplifica y agiliza todo el proceso de preparación y mantenimiento de su certificación ISO 27001. Le ayudamos a construir un SGSI conforme, monitorear su pila tecnológica en busca de vulnerabilidades y gestionar riesgos. Programe una demostración hoy para obtener más información.