Lista de documentacin obligatoria requerida por ISO/IEC

27001 (Revisin 2013)

1) Qu documentos y registros son necesariosinformacin

documentada es necesaria?
La siguiente lista detalla la cantidad mnima de informacin documentada (documentos y
registros) requeridos por la Revisin 2013 de la norma ISO/IEC 27001:2013 o NTP ISO/IEC
27001:2014:

Documentos*Informacin documentada Captulo de ISO/IEC

Alcance del SGSI 27001:2013
4.3
Polticas y objetivos de seguridad de la informacin 5.2, 6.2
Metodologa de evaluacin y tratamiento de 6.1.2
riesgosProceso del riesgo de la seguridad de la
informacin
Declaracin de aplicabilidad 6.1.3 d)
Plan de tratamiento del riesgo de seguridad de la 6.1.3 e), 6.2
informacin
Objetivos de seguridad de la informacin y planificacin 6.2
para lograrlos
Registros de capacitacinEvidencia de Competencia 7.2
(basados en una Educacin, capacitacin o ,
habilidades, experiencia y
calificacionesadecuada
Informacin documentada hasta que sea necesario y 8.1
tener la certeza que los procesos se llevaron a cabo
segn lo planificado
Resultados Informe de evaluacin de riesgoslas 8.2
evaluaciones de riesgo de seguridad de la informacin
(6.1.3 e)
Resultados del tratamiento del riesgo de seguridad de 8.3
la informacin (6.1.3 e)

Resultados de supervisinmonitoreo y medicin 9.1

Programa de auditora y resultados de la 9.2
auditorainterna
Resultados de la Revisin por la Direccin 9.3
Definicin de funciones y responsabilidades de A.7.1.2, A.13.2.4
seguridad
Pgina 1 de 9
Inventario de activos A.8.1.1
Uso aceptable de los activos A.8.1.3
Poltica de control de acceso A.9.1.1
Procedimientos operativos para gestin de TI A.12.1.1
Principios de ingeniera para sistema seguro A.14.2.5
Poltica de seguridad para proveedores A.15.1.1
Procedimiento para gestin de incidentes A.16.1.5
Procedimientos de la continuidad del negocio A.17.1.2
Requisitos legales, normativos y contractuales A.18.1.1

Registros* Captulo de ISO 27001:2013

Registros de capacitacin, habilidades, experiencia y 7.2
calificaciones
Resultados de supervisin y medicin 9.1
Programa de auditora interna 9.2

Pgina 2 de 9
Resultados de las auditoras internas 9.2
Resultados de la revisin por parte de la direccin 9.3
No conformidades, acciones implementadas y 10.1
Resultados los resultados de cualquier accin
correctivade acciones
Registros sobre correctivas
actividades de los usuarios, A.12.4.1, A.12.4.3
excepciones
y eventos de seguridad
*Se pueden excluir los controles del Anexo A si una organizacin determina que no existen
riesgos ni otros requisitos que podran demandar la implementacin de un control.
Esta no es, de ninguna forma, una lista definitiva de documentos y registros que se pueden
utilizar durante la implementacin de ISO 27001; la norma permite que se agregue cualquier
otro documento que pueda mejorar el nivel de seguridad de la informacin.

2) Documentos no obligatorios de uso frecuente

Los siguientes son otros documentos que se utilizan habitualmente:

Documentos Captulo de ISO 27001:2013

Procedimiento para control de documentos 7.5
Controles para gestin de registros 7.5
Procedimiento para auditora interna 9.2
Procedimiento para medidas correctivas 10.1
Poltica Trae tu propio dispositivo (BYOD) A.6.2.1
Poltica sobre dispositivos mviles y tele-trabajo A.6.2.1
Poltica de clasificacin de la informacin A.8.2.1, A.8.2.2, A.8.2.3
Poltica de claves A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
A.9.4.3
Poltica de eliminacin y destruccin A.8.3.2, A.11.2.7
Procedimiento para trabajo en reas seguras A.11.1.5
Poltica de pantalla y escritorio limpio A.11.2.9
Poltica de gestin de cambio A.12.1.2, A.14.2.4
Poltica de creacin de copias de seguridad A.12.3.1
Poltica de transferencia de la informacin A.13.2.1, A.13.2.2, A.13.2.3
Anlisis del impacto en el negocio A.17.1.1
Plan de prueba y verificacin A.17.1.3
Plan de mantenimiento y revisin A.17.1.3

Pgina 3 de 6
 Estrategia de la continuidad del negocio A.17.2.1

Cmo estructurar los documentos y registros ms

comunes
Alcance del SGSI

Este documento es, habitualmente, bastante corto y

se redacta al inicio de la implementacin de ISO
27001. En general, se trata de un documento
independiente, aunque puede ser unificado con una
poltica de seguridad de la informacin.

Polticas y objetivos de seguridad de la informacin

La poltica de seguridad de la informacin

generalmente es un documento breve y de alto nivel
que detalla el principal objetivo del SGSI. Los
objetivos para el SGSI, en general, se presentan
como un documento independiente, pero tambin
pueden ser unificados en la poltica de seguridad de
la informacin. Contrariamente a la revisin 2005 de
ISO 27001, ya no se necesitan ambas polticas
(Poltica del SGSI y Poltica de seguridad de la
informacin); solo hace falta una poltica de
seguridad de la informacin.

Metodologa e informes de evaluacin y tratamiento

de riesgos

La metodologa de evaluacin y tratamiento del riesgo

es, habitualmente, un documento de 4 a 5 pginas y
debe ser redactado antes que se realice la evaluacin
y el tratamiento de riesgos. El informe de evaluacin y

Pgina 4 de 6
tratamiento de riesgos debe ser redactado una vez
que se realiz la evaluacin y el tratamiento de
riesgos, y all se resumen todos los resultados.

Declaracin de aplicabilidad (SOA)

La Declaracin de aplicabilidad (o DdA) se redacta en

base a los resultados del tratamiento del riesgo; es
un documento clave dentro del SGSI porque describe
no slo qu controles del Anexo A son aplicables,
sino tambin cmo se implementarn y su estado
actual.

Tambin debera considerar a la Declaracin de

aplicabilidad como un documento que describe el
perfil de seguridad de su empresa.

Plan de tratamiento del riesgo (PTR)

Este es, bsicamente, un plan de accin sobre cmo

implementar los diversos controles definidos por la
DdA. Este documento se desarrolla en funcin de la
Declaracin de aplicabilidad y se utiliza y actualiza
activamente a lo largo de toda la implementacin del
SGSI. A veces se puede fusionar con el Plan del
proyecto.

Funciones y responsabilidades de seguridad

El mejor mtodo es describir estas funciones y

responsabilidades en todas las polticas y
procedimientos de la forma ms precisa posible.

Pgina 5 de 6
Evite expresiones como "debera hacerlo"; en
cambio, utilice algo como "el Oficial de Seguridad de
Informacin realizar XYZ todos los lunes a las
HH:MM horas". Algunas empresas prefieren detallar
las funciones y responsabilidades de seguridad en
sus descripciones del trabajo; sin embargo, esto
puede generar mucho papelero.

Las funciones y responsabilidades de seguridad para

terceros se definen a travs de contratos.

Inventario de activos

Si no contaba con un inventario de este tipo antes del

proyecto ISO 27001, la mejor forma de hacerlo es
directamente a partir del resultado de la evaluacin de
riesgos ya que all, de todos modos, se tienen que
identificar todos los activos y sus propietarios;
entonces, simplemente puede copiar el resultado
desde ese instrumento.

Uso aceptable de los activos

Habitualmente, este documento se confecciona bajo

la forma de una poltica y puede cubrir un amplio
rango de temas porque la norma no define muy bien
este control. Probablemente, la mejor forma de
encararlo es la siguiente: (1) djelo para el final de la
implementacin de su SGSI y (2) todas las reas y
controles que no haya cubierto con otros documentos
y que involucran a todos los empleados, inclyalos
en esta poltica.

Poltica de control de acceso

Pgina 6 de 6
En este documento usted puede cubrir slo la parte
comercial de la aprobacin de acceso a determinada
informacin y sistemas, o tambin puede incluir el
aspecto tcnico del control de acceso. Adems,
puede optar por definir reglas para acceso lgico
nicamente o tambin para acceso fsico. Debera
redactar este documento solamente despus de
finalizado su proceso de evaluacin y tratamiento de
riesgos.

Procedimientos operativos para gestin de TI

Puede crear este procedimiento como un nico

documento o como una serie de polticas y
procedimientos; si se trata de una empresa pequea,
debera tener menor cantidad de documentos.
Normalmente, aqu puede abarcar todas las reas de
las secciones A.12 y A.13: gestin de cambios,
servicios de terceros, copias de seguridad, seguridad
de red, cdigos maliciosos, eliminacin y
destruccin, transferencia de informacin,
supervisin del sistema, etc. Este documento se
debera redactar solamente una vez que finalice su
proceso de evaluacin y tratamiento de riesgos.

Principios de ingeniera para sistema seguro

Este es un nuevo control en ISO 27001:2013 y

requiere que se documenten los principios de
ingeniera de seguridad bajo la forma de un
procedimiento o norma y que se defina cmo
incorporar tcnicas de seguridad en todas las capas
de arquitectura: negocio, datos, aplicaciones y
Pgina 7 de 6
tecnologa. Estos principios pueden incluir validacin
de datos de entrada, depuracin, tcnicas para
autenticacin, controles de sesin segura, etc.

Poltica de seguridad para proveedores

Este tambin es un control nuevo en ISO 27001:2013,

y una poltica de este tipo puede abarcar un amplio
rango de controles: cmo se realiza la seleccin de
potenciales contratistas, cmo se ejecuta la
evaluacin de riesgos de un proveedor, qu clusulas
incluir en el contrato, cmo supervisar el
cumplimiento de clusulas contractuales de
seguridad, cmo modificar el contrato, cmo cerrar el
acceso una vez cancelado el contrato, etc.

Procedimiento para gestin de incidentes

Este es un procedimiento importante que define cmo

se informan, clasifican y manejan las debilidades,
eventos e incidentes de seguridad. Este
procedimiento tambin define cmo aprender de los
incidentes de seguridad de la informacin para que se
puedan evitar en el futuro. Un procedimiento de esta
clase tambin puede invocar al plan de continuidad
del negocio si un incidente ha ocasionado una
interrupcin prolongada.

Procedimientos de la continuidad del negocio

Generalmente se trata de planes de continuidad del

negocio, planes de respuesta ante incidentes, planes

Pgina 8 de 6
de recuperacin para el sector comercial de la
organizacin y planes de recuperacin ante
desastres (planes de recuperacin para
infraestructura de TI). Estos procedimientos se
describen con mayor detalle en la norma ISO 22301, la
principal norma internacional para continuidad del
negocio.

Requisitos legales, normativos y contractuales

Este listado debe confeccionarse en la etapa ms

temprana posible del proyecto porque muchos
documentos tendrn que ser desarrollados de
acuerdo a estos datos. Este listado debe incluir no
slo las responsabilidades para el cumplimiento de
determinados requerimientos, sino tambin los
plazos.

Registros de capacitacin, habilidades, experiencia y

calificaciones

Es el departamento de recursos humanos el que

generalmente se encarga de llevar estos registros. Si
usted no tiene un sector de este tipo, cualquier
persona que habitualmente se encargue de los
registros de los empleados debera ser quien realice
este trabajo.
Bsicamente, sera suficiente una carpeta en la que se
encuentren todos los documentos.

Resultados de supervisin y medicin

Pgina 9 de 6
La forma ms sencilla de describir cmo se miden los
controles es a travs de polticas y procedimientos
que definan a cada control. En general, esta
descripcin puede ser realizada al final de cada
documento, y cada descripcin tiene que definir los
tipos de ICD (indicadores clave de desempeo) que es
necesario medir para cada control o grupo de
controles.

Una vez que se estableci este mtodo de control,

usted debe realizar la medicin en funcin de dicho
mtodo. Es importante reportar los resultados de esta
medicin en forma regular a las personas que estn a
cargo su evaluacin.

Programa de auditora interna

El programa de auditora interna no es ms que un

plan anual para realizar las auditoras; para las
empresas ms pequeas, puede tratarse solamente
de una auditora, mientras que para las
organizaciones ms grandes puede ser una serie de,
por ejemplo, 20 auditoras internas. Este programa
debe definir quin realizar las auditoras, los
mtodos que se utilizarn, los criterios que se
aplicarn, etc.

Resultados de las auditoras internas

Un auditor interno debe generar un informe de

auditora, que incluye los resultados de la auditora
(observaciones y medidas correctivas). Este informe
debe ser confeccionado dentro de un par de das

Pgina 10 de
6
luego de realizada la auditora interna. En algunos
casos, el auditor interno tendr que verificar si todas
las medidas correctivas se aplicaron segn lo
esperado.

Resultados de la revisin por parte de la direccin

Estos registros se presentan, normalmente, bajo la

forma de actas de reunin y deben incluir todo el
material tratado durante la reunin de la direccin,
como tambin todas las decisiones que se tomaron.
Estas actas pueden ser en papel o en formato digital.

Resultados de acciones correctivas

Generalmente, estos son incluidos en los formularios

para medidas correctivas (FMC). Sin embargo, es
mucho mejor agregar estos registros en alguna
aplicacin que ya est en uso en la organizacin; por
ejemplo, la Mesa de ayuda, porque las medidas
correctivas no son ms que listas de actividades a
realizar con responsabilidades, tareas y plazos bien
definidos.

Registros sobre actividades de los usuarios,

excepciones y eventos de seguridad

Habitualmente se llevan de dos formas: (1) en formato

digital, generados en forma automtica o
semiautomtica como registros de diversas TI y de
otros sistemas, y (2) en papel, donde cada registro se
hace manualmente.

Procedimiento para control de documentos

Pgina 11 de
6
En general, este es un procedimiento independiente,
de 2 o 3 pginas de extensin. Si usted ya
implement alguna otra norma como ISO 9001, ISO
14001, ISO 22301 o similar, puede utilizar el mismo
procedimiento para todos estos sistemas de gestin.
A veces es mejor redactar este procedimiento como el
primer documento de un proyecto.

Controles para gestin de registros

La forma ms sencilla es redactar el control de

registros en cada poltica o procedimiento (u otro
documento) que requiera la generacin de un
registro. Estos controles, normalmente son incluidos
hacia el final de cada documento y se confeccionan
bajo el formato de una tabla que detalla dnde se
archiva el registro, quin tiene acceso, cmo se
protege, por cunto tiempo se archiva, etc.

Procedimiento para auditora interna

Habitualmente este es un procedimiento

independiente que puede tener entre 2 y 3 pginas y
que tiene que ser redactado antes que comience la
auditora interna. En cuanto al procedimiento para
control de documentos, un procedimiento para
auditora interna puede ser utilizado para cualquier
sistema de gestin.

Procedimiento para medidas correctivas

Este procedimiento no debera exceder las 2 o 3

pginas y puede ser confeccionado al final del

Pgina 12 de
6
proyecto de implementacin, aunque es mejor hacerlo
antes para que los empleados puedan familiarizarse
con l.

Pgina 13 de
6