7.5. Información documentada

7.5.1 Generalidades
El SGSI de la empresa incluirá:

1. 1. Información documentada requerida por este documento.
   2. Información documentada que la empresa considere necesaria para la eficacia del SGSI.

7.5.2 Creación y actualización
Al crear y actualizar la información documentada, la organización debe garantizar lo siguiente:

1. 1. Identificar y describir.
   2. El formato y los medios.
   3. Revisar y aprobar de la idoneidad y adecuación.

7.5.3 Control de la información documentada
La información documentada requerida por el sistema de gestión de seguridad de la información y por este documento se controlará para garantizar:

1. 1. Que esté disponible y sea adecuada para su uso, donde y cuando se necesite.
   2. Que esté adecuadamente protegido (por ejemplo, contra la pérdida de confidencialidad, uso indebido o pérdida de integridad).

Para controlar la información documentada, la empresa abordará estas actividades:

1. 3. Distribución, acceso, recuperación y uso.
   4. Almacenar y conservar.
   5. Controlar los cambios.
   6. Retención y disposición.

La información documentada de origen externo, determinada por la organización como necesaria para la planificación y operación del sistema de gestión de seguridad de la información, debe identificarse según corresponda y controlarse.