Pgina 2 de 9
Resultados de las auditoras internas 9.2
Resultados de la revisin por parte de la direccin 9.3
No conformidades, acciones implementadas y 10.1
Resultados los resultados de cualquier accin
correctivade acciones
Registros sobre correctivas
actividades de los usuarios, A.12.4.1, A.12.4.3
excepciones
y eventos de seguridad
*Se pueden excluir los controles del Anexo A si una organizacin determina que no existen
riesgos ni otros requisitos que podran demandar la implementacin de un control.
Esta no es, de ninguna forma, una lista definitiva de documentos y registros que se pueden
utilizar durante la implementacin de ISO 27001; la norma permite que se agregue cualquier
otro documento que pueda mejorar el nivel de seguridad de la informacin.
Pgina 3 de 6
Estrategia de la continuidad del negocio A.17.2.1
Pgina 4 de 6
tratamiento de riesgos debe ser redactado una vez
que se realiz la evaluacin y el tratamiento de
riesgos, y all se resumen todos los resultados.
Pgina 5 de 6
Evite expresiones como "debera hacerlo"; en
cambio, utilice algo como "el Oficial de Seguridad de
Informacin realizar XYZ todos los lunes a las
HH:MM horas". Algunas empresas prefieren detallar
las funciones y responsabilidades de seguridad en
sus descripciones del trabajo; sin embargo, esto
puede generar mucho papelero.
Inventario de activos
Pgina 6 de 6
En este documento usted puede cubrir slo la parte
comercial de la aprobacin de acceso a determinada
informacin y sistemas, o tambin puede incluir el
aspecto tcnico del control de acceso. Adems,
puede optar por definir reglas para acceso lgico
nicamente o tambin para acceso fsico. Debera
redactar este documento solamente despus de
finalizado su proceso de evaluacin y tratamiento de
riesgos.
Pgina 8 de 6
de recuperacin para el sector comercial de la
organizacin y planes de recuperacin ante
desastres (planes de recuperacin para
infraestructura de TI). Estos procedimientos se
describen con mayor detalle en la norma ISO 22301, la
principal norma internacional para continuidad del
negocio.
Pgina 9 de 6
La forma ms sencilla de describir cmo se miden los
controles es a travs de polticas y procedimientos
que definan a cada control. En general, esta
descripcin puede ser realizada al final de cada
documento, y cada descripcin tiene que definir los
tipos de ICD (indicadores clave de desempeo) que es
necesario medir para cada control o grupo de
controles.
Pgina 10 de
6
luego de realizada la auditora interna. En algunos
casos, el auditor interno tendr que verificar si todas
las medidas correctivas se aplicaron segn lo
esperado.
Pgina 11 de
6
En general, este es un procedimiento independiente,
de 2 o 3 pginas de extensin. Si usted ya
implement alguna otra norma como ISO 9001, ISO
14001, ISO 22301 o similar, puede utilizar el mismo
procedimiento para todos estos sistemas de gestin.
A veces es mejor redactar este procedimiento como el
primer documento de un proyecto.
Pgina 12 de
6
proyecto de implementacin, aunque es mejor hacerlo
antes para que los empleados puedan familiarizarse
con l.
Pgina 13 de
6