Requisito 27001 de ISO 7.5: información documentada

¿Qué implica la Cláusula 7.5?

Por lo tanto, uno de los principales requisitos de la norma ISO 27001 es describir su sistema de gestión de seguridad de la información y luego demostrar cómo se logran los resultados previstos para la organización. Es increíblemente importante que todo lo relacionado con el SGSI esté documentado, bien mantenido y fácil de encontrar si la organización quiere lograr una certificación ISO 27001 independiente de un organismo como UKAS.

La cláusula 27001 de ISO 7.5 se desglosa de la siguiente manera:

Cláusula 7.5.1 – Documentación general para ISO 27001

El SGSI debe incluir claramente:

• Una descripción de cómo aborda los puntos 4.1 a 10.2 de los requisitos básicos, incluida la evaluación y el tratamiento de riesgos que conducen a la selección de los controles del Anexo A.
• Los controles pertinentes del Anexo A que forman parte de la declaración de aplicabilidad, lo que efectivamente significa que es necesario tener todos los controles enumerados. Incluso si una organización decide que un control no es relevante, debe documentar que, por ejemplo, si no necesita áreas de entrega y carga en el Anexo A 11.1.6 porque es un negocio puramente digital, entonces debe demostrarle al auditor que sí lo tiene. considera que no existe ningún riesgo ni necesidad de dicho control.

Cláusula 7.5.2 – Creación y actualización de información documentada para ISO 27001

ISO 27001 quiere claridad en la documentación, buscando identificación y descripción, formato, revisión y aprobación para determinar su idoneidad y adecuación para cumplir su propósito. Es fácil pasar por alto los matices de estos requisitos, pero en la práctica esto significa considerar el autor, la fecha, el título, la referencia, etc., y ese proceso de aprobación también es muy importante para encajar con el Anexo A 5.1.2 como se describe a continuación.

Cláusula 7.5.3 – Control de la información documentada para ISO 27001

En el corazón del SGSI se encuentra el principio de Confidencialidad, Integridad y Disponibilidad de la información. Lo mismo ocurre con el SGSI en sí: debe estar disponible cuando sea necesario y protegido adecuadamente contra la pérdida de confidencialidad, el uso no autorizado o un posible compromiso de integridad.

Simplemente descargar el contenido del ISMS en la unidad compartida del equipo y tenerlo sin control o con permisos de acceso ineficaces casi con seguridad generaría problemas para la organización en una auditoría. De manera similar, dejarlo en un disco personal inaccesible para quienes necesitan conocer el SGSI también sería un problema, por lo que se deben considerar numerosas áreas para un control efectivo. ISO busca una organización que aborde los siguientes aspectos:

• claridad en el intercambio y la distribución, controles sobre el acceso a algunos o todos los SGSI, teniendo en cuenta que los permisos de acceso para leer, actualizar, aprobar, eliminar, etc., pueden necesitar diferir según el rol de la parte interesada.
• almacenamiento y preservación, incluido el control de cambios (mostrando versiones anteriores, aprobaciones históricas, etc.)
• La retención y eliminación también requieren consideración.

Este requisito también se alinea con la revisión periódica de las políticas destacadas en el Anexo A.5.1.2, que también se aborda a continuación.

¿Cuánto hay que escribir para que un auditor considere aceptable la documentación del SGSI?

Una pregunta que se hace a menudo sobre la documentación de gestión de seguridad de la información es "¿cuánto es suficiente?". La respuesta corta es que se trata de calidad, no de cantidad. Siempre que la organización cumpla con los requisitos que se resumen a continuación y pueda demostrar que no necesita documentación extensa y detallada, el auditor sin duda lo tendrá en cuenta durante una auditoría (por ejemplo, porque es una organización pequeña con pocos participantes en torno al SGSI). , estable, claro, bien mantenido y de funcionamiento sencillo.

¿La documentación para el sistema de gestión de seguridad de la información es 'documentos de estilo Word' o se permiten otras formas de contenido?

Las consultas sobre qué tipo de documentación se espera es una de las otras preguntas frecuentes sobre la documentación de la cláusula 7.5 para el sistema de gestión de seguridad de la información. De hecho, ISO 27001 establece claramente en su nota al margen de la cláusula 7.5.1:

"El alcance de la información documentada para un sistema de gestión de seguridad de la información puede diferir de una organización a otra debido a:"

• el tamaño de la organización y su tipo de actividades, procesos, productos y servicios;
• la complejidad de los procesos y sus interacciones; y
• la competencia de las personas.

Varios proveedores de 'kits de herramientas' de documentación de seguridad de la información ISO 27001 han perpetuado el mito de que la información documentada para un SGSI debe ser documentos de Word y hojas de cálculo de Excel. Claramente, estos documentos pueden tener un lugar en un SGSI (por ejemplo, donde también es necesario comunicar imágenes o procesos complejos), pero deben usarse con moderación dada la llegada de mejores herramientas en línea.

Los servicios en línea como ISMS.online facilitan los documentos de la manera más tradicional y también ofrecen formas más efectivas de gestionar la documentación que pueden mostrar un mejor control y coordinación, mejores formas de compartir y publicar para las audiencias y hacer que todo el proceso de gestión de la documentación cumpla con los requisitos de la cláusula 7.5 siguiente es mucho más fácil. ¡También significa que los viejos tiempos de perder el tiempo con portadas de documentos que mostraban todos los cambios de versión y aprobaciones por correo electrónico quedaron atrás!

Uniendo 7.5 con controles del Anexo A

Cuando se considera que los requisitos de la cláusula 7.5 también encajan con los objetivos de control de los Anexos, tiene aún más sentido pensar en un sistema de gestión bien coordinado en lugar de documentos anticuados y unidades de almacenamiento compartidas. Ejemplos de dónde unir la cláusula 7.5 con los controles del Anexo A incluyen:

Anexo A 5.1.1

Además de estar definidas, las políticas de seguridad de la información deben ser aprobadas por la dirección, publicadas y comunicadas a los empleados y partes externas relevantes. No es fácil demostrar la aprobación de los documentos per se, y es poco probable que las partes interesadas digieran o entiendan la publicación de documentos pesados, incluso si han sido comunicados (dejando a la organización en riesgo de incumplimiento y amenaza de pérdida por ignorancia).

Anexo A 5.1.2

Revisión de las políticas de seguridad de la información. ISO 27001 dice que las políticas deben revisarse periódicamente a intervalos planificados (o si se producen cambios significativos) para garantizar su idoneidad continua. Los auditores independientes de ISO esperarán que esa revisión se realice al menos una vez al año para cada política.

Anexo A 18.2

Este control del Anexo A trata sobre revisiones de seguridad de la información y, si se hace bien, se integra perfectamente con la cláusula 7.5 para la gestión de la documentación de un SGSI, incluidas revisiones independientes, verificaciones de cumplimiento y, cuando corresponda, también cumplimiento técnico. Revisión, control de versiones, visualización de actualizaciones y luego aprobación de versiones antiguas. Los documentos modelados que no necesitan ser documentos per se pueden realmente ralentizar a los administradores del SGSI. También puede retrasar o hacer perder la participación del personal y provocar incumplimiento.

¿Cómo gestionar la documentación en tu SGSI?

Es fácil malinterpretar la cláusula 7.5 y alterarla, lo que lleva a una falla en la auditoría, o quizás a diseñar demasiado una solución y dedicar demasiado tiempo a construir una estructura de sistema de gestión que es demasiado difícil de mantener en el primer cambio. El planificador de casos de negocio de ISMS.online analiza las opciones de construcción versus compra, así que compruébelo si está pensando en crear su propia solución.

Es realmente difícil hacerlo bien y cumplir todos los requisitos de la cláusula 7.5 y también los controles relacionados del Anexo A. Es por eso que muchas organizaciones buscan una solución de software ISMS especialmente diseñada y quieren algo con las características de ISMS.online.

Después de todo, no perdería el tiempo construyendo su propio CRM o sistema financiero cuando otros ya han dedicado tiempo a desarrollar la solución adecuada que se puede entregar directamente por una fracción del costo de una solución de bricolaje. no forma parte de las competencias básicas de la organización.

ISMS.online proporciona una estructura fácil de seguir para toda la documentación requerida. Sigue exactamente la misma estructura que el estándar mismo para que usted y un auditor puedan navegar fácil y rápidamente hasta la documentación requerida. Tiene funciones y permisos integrados para acceder, editar, aprobar y compartir. También hay control automático de versiones y recordatorios de revisiones. Incluso hemos ido un paso más allá e incluimos documentación de políticas y control que usted puede adoptar, adaptar y agregar de inmediato.

El uso de la solución de software ISMS.online le permitirá centrarse en sus objetivos ISMS. ISMS.online facilita el trabajo de administración, por lo que puede crear, controlar, coordinar, gestionar y compartir fácilmente su documentación con las partes interesadas, incluso a través de paquetes de políticas que aumentan la confianza de principio a fin para el cumplimiento. También le brindará todas las herramientas para realizar los numerosos procesos de trabajo requeridos por el estándar. También es por eso que decimos que los documentos que proporcionamos son "procesables". Son más que simples plantillas de documentos que le permiten interpretar y encontrar una manera de demostrar sus procesos... ISMS.online es una solución ISMS completa, todo en un solo lugar.

Obtenga la certificación hasta 5 veces más rápido con ISMS.online

El cumplimiento no tiene por qué ser complicado: ISMS.online está diseñado para ayudarle a obtener la certificación ISO 27001 de forma rápida y asequible sin necesidad de formación.
Hemos optimizado el proceso ISO 27001 con nuestro Método de Resultados Garantizados, un 80% de Headstart, su propio Entrenador Virtual 24 horas al día, 7 días a la semana, fácil incorporación y soporte de expertos.

Reserve una demostración de la plataforma para ver cómo ISMS.online puede ayudar a su empresa