Como todo sistema de gestión la parte de generar o construir la documentación es una parte Sistema documental ISO 27001
¿Qué documentar en ISO 27001 y por qué?
Si tomamos como ejemplo el proceso para la gestión del riesgo visto en el capítulo anterior, el análisis de riesgos conduce a la identificación de los controles de riesgos a aplicar y finalmente hemos llegado a una declaración de aplicabilidad confrontando los activos de información, sus amenazas y los controles del anexo A.
Junto con estos procesos que hemos visto, además hemos de considerar que para llevarlos a cabo hemos tenido que basarnos en una estructura de gestión y de un proceso de toma decisiones, de definición de responsabilidades y de comunicación para aprobar y validar las tareas que hemos realizado
Todo esto hay que documentarlo
El fin de que finalmente todo quede documentado es necesario por dos motivos fundamentales
- Garantizar la repetición en el tiempo de un proceso. La base para garantizar la aplicación sistemática de un proceso es su documentación
- Establecer un proceso de mejora. La documentación de un proceso permite el acceso a información valiosa cuando decidimos evaluar la eficacia de nuestro sistema de gestión y nos permite tomar decisiones para modificar por ejemplo el proceso de toma de decisiones para mejorar nuestro sistema. Este es uno de los principales motivos de un sistema de gestión: LA MEJORA CONTINUA de nuestros procesos
La Mejora continua no se puede conseguir si no documentamos de forma adecuada el mismo Sistema de Gestión
- Como evidencia del cumplimiento con los requisitos de la norma. Mantener información documentada es el medio para justificar el cumplimiento con los requisitos de la norma. NO basta afirmar que realizamos una tarea de una determinada forma. Es necesario que existan registros que dejen constancia de lo que hacemos.
¿Qué información debe publicarse?
La información oficial del sistema SGI debería estar disponible para el personal que tenga derecho a su consulta.
En cuanto al medio de publicación no tenemos ningún requisito específico en la norma sin embargo, resulta conveniente que se publique en soportes electrónicos y que faciliten su difusión tales como intranet o en entornos de red compartidos
Los requisitos de la norma ISO 27001 en este caso nos piden que la documentación:
- Este completa
- Se encuentre actualizada
- Se realice un control de la documentación. Para ello lo más conveniente es tener un control mediante codificación que nos informe de la versión actualizada del documento y de las últimas modificaciones
Los documentos que contienen información importante sobre cómo se gestiona la seguridad de la información deben ser protegidos bajo medidas de seguridad. Nos referimos a documentos como el análisis y evaluación de riesgos de la seguridad, su plan de tratamiento o la declaración de aplicabilidad
Niveles de documentos en ISO 27001
La documentación del SGSI podemos estructurarla en cuatro niveles de información:
1.- Políticas de Seguridad:
Las políticas de seguridad nos proporcionan las líneas maestras de actuación en cada caso. Además de la Política de Seguridad de alto nivel del SGSI podemos apoyarnos en políticas específicas que desarrollan temas particulares y a los cuales podemos hacer referencia en el mismo documento de alto nivel.
Así podemos establecer políticas específicas para:
- Uso aceptable de internet dentro de la empresa
- Uso de dispositivos móviles corporativos
- Política de uso de dispositivos móviles no corporativos (BYOD o Bering Yogur Owen Divise)
- Etc.
Procesos y procedimientos de seguridad
Se trata de procesos definidos específicamente para mejorar la eficacia y la eficiencia de las tareas de la Seguridad de la información. El objetivo es gestionar responsablemente el riesgo que entraña para la seguridad de la información en relación con los tipos de tecnologías que eligen implementar, interpretando tecnología en sentido amplio de la palabra.
2.- Procedimientos administrativos u organizativos:
Ejemplos:• Uso aceptable de procedimientos:
Podríamos establecer un procedimiento donde se explique cómo usar los procedimientos de la seguridad de la información, informar al mismo tiempo de las responsabilidades de cada uno y de aclarar las funciones del responsable o propietario de un activo de información etc.
2. Procedimientos Técnicos:
Ejemplos:
- Tratamiento de información sensible:
Determinar requisitos para cualquier tipo información que sea propiedad, mantenida, utilizada o transmitida por la Organización. Dependiendo de la naturaleza de la información, se establecerán mayores niveles de seguridad aplicables a la información con mayor nivel de sensibilidad. - Procedimiento para comunicaciones inalámbricas
- Procedimiento para Accesos remotos
- ETC …
3. Procedimientos Físicos:
Ejemplos:
- Pautas y recomendaciones de seguridad de la sala del servidor
- Almacenamiento y destrucción de información sensible
- Etc.
Registros :
Se trata de Documentos que nos proporcionan las evidencias objetivas de la observancia de los requisitos del Sistema de Gestión de la seguridad de la información según la norma ISO 27001.
Los registros están necesariamente ligados o relacionados con documentos de los otros tres niveles.
Ejemplos
- Si tenemos un plan de ejecutar una acción correctiva deberemos tener un documento registro con las acciones que se han implementado, los responsables, los tiempos de implementación etc.
- En el caso de que necesitemos un determinado perfil o capacitación específica para el desempeño de tal o cual función deberíamos tener un registro o documento donde se refleja que el personal autorizado para este desempeño cumple con los requisitos del puesto así como un registro con las capacitaciones del personal
Lista de Documentos obligatorios del SGSI
A continuación les dejamos un listado de documentos obligatorios para cumplir con los requisitos de la norma ISO 27001 con la observación de que los documentos que nos solicita el anexo A están sujetos a la declaración de aplicabilidad pues solo serían obligatorios aquellos que correspondan a cláusulas que sean aplicables
- 4.3 El alcance del SGSI
- 5.2 Política de seguridad de la información
- 6.1.2 Proceso de evaluación de riesgos de seguridad de la información
- 6.1.3 Proceso de tratamiento de riesgos de seguridad de la información
- 6. 1.3 d) La declaración de aplicabilidad
- 6.2 Objetivos de seguridad de la información
- 7.2 d) Prueba de competencia
- 7.5.1 b) Información documentada determinada por la organización como necesaria para la efectividad del SGSI
- 8.1 Planificación y control operacional
- 8.2 Resultados de la evaluación de riesgos de seguridad de la información
- 8.3 Resultados del tratamiento de riesgo de seguridad de la información
- 9.1 Evidencia del monitoreo y medición de resultados
- 9.2 Un proceso de auditoría interna documentado
- 9.2 g) Evidencia de los programas de auditoría y los resultados de la auditoría
- 9.3 Evidencia de los resultados de las revisiones de la administración
- 10.1 f) Evidencia de la naturaleza de las no conformidades y cualquier acción posterior tomada10. 1 g) Evidencia de los resultados de cualquier acción correctiva tomada
Documentos que nos solicita el anexo, sujetos a la declaración de aplicabilidad
Muchos de los controles en el Anexo A también afirman la necesidad de documentación específica, incluidos los siguientes en particular:
- A 7.1.2 y A.13.2.4 Definición de funciones y responsabilidades de seguridad
- A 8.1.1 Un inventario de activos
- A 8.1.3 Reglas para el uso aceptable de los activos
- A.8.2.1 Esquema de clasificación de la información
- A.9.1.1 Política de control de acceso
- A 12.1.1 Procedimientos de operación para la administración de TI
- A 12.4.1 y A.12.4.3 Registros de actividades del usuario, excepciones y eventos de seguridad
- A 14.2.5 Principios de ingeniería de sistemas seguros
- A 15.1.1 Política de seguridad del proveedor
- A 16.1.5 Procedimiento de gestión de incidentes
- A 17.1.2 Procedimientos de continuidad del negocio
- A 18.1.1 Requisitos legales, reglamentarios y contractuales