7.5. Información documentada 2013

7.5. Información documentada

7.5.1 Generalidades

El Sistema de Gestión de Seguridad de la Información de la empresa debe incluir:

a) La información documentada requerida por la norma ISO 27001
b) La información documentada que la empresa debe determinar cómo necesaria para la eficacia del Sistema de Gestión de Seguridad de la Información

7.5.2 Creación y actualización

Cuando se crea y actualiza información documentada, la empresa debe asegurarse de que lo siguiente sea apropiado:

a) Identificar y describir
b) Formato y medio s de soporte
c) Revisión y aprobación con respecto a la identidad y adecuación

7.5.3 Control de la información documentada

La información documentada requerida por el Sistema de Gestión de Seguridad de la Información y por la norma ISO 27001 se debe controlar para asegurarse que:

a) Debe estar disponible y adecuada para su uso, donde y cuando se necesite
b) Tiene que estar protegida de forma adecuada

Para el control de la información documentada, la organización debe tratar las siguientes actividades según se aplique:

a) Distribución, acceso, recuperación y uso
b) Almacenamiento y preservación
c) Control de cambios
d) Retención y disposición

La información documentada de origen externo, que la empresa ha determinado que es necesario para la planificación y la operación del Sistema de Gestión de Seguridad de la Información, se debe identificar y controlar.