ISO 27001

ISO 27001 es una norma internacional de implantación voluntaria que, en este caso se ocupa de la Seguridad de la Información en las organizaciones en que esta sea implantada.

En el texto de la norma podemos encontrar una cláusula en la que se especifican los documentos que requiere para ser implantada con éxito.

Resumiendo, un SGSI requerirá los siguientes documentos:

• Alcance del SGSI.
• Política del SGSI.
• Procedimientos para el control de documentación, auditorías internas y para tomar medidas correctivas y preventivas.
• Metodología de evaluación de riesgos.
• Informe de evaluación de riesgos.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Registros.

Según el tamaño y exigencias de la organización, la cantidad y exactitud de la documentación variará de una a otra. Así una organización pequeña necesitará apenas una docena de documentos, mientras que las más grandes o complejas requerirán varios cientos de documentos para su SGSI.

No solo depende del tamaño, la extensión de la documentación de un SGSI también varía según el sector o actividad que desarrolla y según las necesidades generadas por el alcance y complejidad de los requisitos de seguridad del SGSI.

A la hora de pasar la auditoría estos documentos deben estar bien conservados y actualizados, para que el auditor compruebe que todo está conforme a ISO-27001. El auditor obtendrá registros que avalen el cumplimiento de los requisitos de la norma y revisará los procedimientos, verificando que son consonantes con el estándar, que se están ejecutando correctamente y dan los resultados previstos.

La Plataforma Tecnológica ISOTools permite salvaguardar adecuadamente la información de cada organización mediante la automatización del SGSI de ISO27001, y facilita su actualización de un modo sencillo para ahorrar tiempo y costes.