La ISO 27001:2013 define el Sistema de gestión de la seguridad de la información que busca preservar la confidencialidad, la integridad y la disponibilidad de la información.
1) Concepto de información documentada
La ISO 9000:2015 (fundamentos y vocabulario), define:
- Documento: Información y el medio en que está contenida.
- Registro: Documento que presenta resultados obtenidos o proporciona evidencia de actividades realizadas.
- Información documentada: información que una organización tiene que controlar y mantener, y el medio que la contiene.
- Nota 1: La información documentada puede estar en cualquier formato y medio, y puede provenir de cualquier fuente.
- Nota 2: La información documentada puede hacer referencia a: el sistema de gestión, incluidos los procesos; la información generada para que la organización opere (documentación); la evidencia de los resultados alcanzados (registros)
- Nota 3: Este término es uno de los términos comunes y definiciones esenciales para las normas de sistemas de gestión que se proporcional en el Anexo SL.
2) Lista de documentos obligatorios
Mantener Información documentada para la planificación (documentos) obligatoria:
- Alcance 4.3
- Política 5.2
- Planificación y control operacional 8.1
- Programa de auditoría 9.2
Conservar Información documentada como evidencia (registros) obligatoria.
- Evidencia Valoración de riesgos de la seguridad de la información 6.1.2 (Planificación)
- Evidencia de Tratamiento de riesgos de la seguridad de la información 6.1.3 (Planificación)
- Evidencia de Objetivos de seguridad de la Información y planes para lograrlos 6.2
- Evidencias de competencia. 7.2
- Evidencias de Valoración de riesgos de la seguridad de la información 8.2 (Ejecución)
- Evidencias del Tratamiento de riesgos de la seguridad de la información 8.3 (Ejecución)
- Evidencias seguimiento, medición, análisis y evaluación. 9.1.1
- Evidencias de los resultandos de las auditorias. 9.2
- Evidencias de revisión por la dirección. 9.3
- Evidencias de acciones correctivas. 10.1
Otros artículos relacionados:
EN56-V3 Diferencias entre ISO 9001, ISO 14001 e ISO 45001.