7.5. Información documentada
7.5.1 Generalidades
El Sistema de Gestión de Seguridad de la Información de la empresa debe incluir:
a) La información documentada requerida por la norma ISO 27001
b) La información documentada que la empresa debe determinar cómo necesaria para la eficacia del Sistema de Gestión de Seguridad de la Información
7.5.2 Creación y actualización
Cuando se crea y actualiza información documentada, la empresa debe asegurarse de que lo siguiente sea apropiado:
a) Identificar y describir
b) Formato y medio s de soporte
c) Revisión y aprobación con respecto a la identidad y adecuación
7.5.3 Control de la información documentada
La información documentada requerida por el Sistema de Gestión de Seguridad de la Información y por la norma ISO 27001 se debe controlar para asegurarse que:
a) Debe estar disponible y adecuada para su uso, donde y cuando se necesite
b) Tiene que estar protegida de forma adecuada
Para el control de la información documentada, la organización debe tratar las siguientes actividades según se aplique:
a) Distribución, acceso, recuperación y uso
b) Almacenamiento y preservación
c) Control de cambios
d) Retención y disposición
La información documentada de origen externo, que la empresa ha determinado que es necesario para la planificación y la operación del Sistema de Gestión de Seguridad de la Información, se debe identificar y controlar.