La ISO 27001:2013 define el Sistema de gestión de la seguridad de la información que busca preservar la confidencialidad, la integridad y la disponibilidad de la información.
1) Concepto de información documentada
La ISO 9000:2015 (fundamentos y vocabulario), define:
Documento: Información y el medio en que está contenida.
Registro: Documento que presenta resultados obtenidos o proporciona evidencia de actividades realizadas.
Información documentada: información que una organización tiene que controlar y mantener, y el medio que la contiene.
Nota 1: La información documentada puede estar en cualquier formato y medio, y puede provenir de cualquier fuente.
Nota 2: La información documentada puede hacer referencia a: el sistema de gestión, incluidos los procesos; la información generada para que la organización opere (documentación); la evidencia de los resultados alcanzados (registros)
Nota 3: Este término es uno de los términos comunes y definiciones esenciales para las normas de sistemas de gestión que se proporcional en el Anexo SL.
2) Lista de documentos obligatorios
Mantener Información documentada para la planificación (documentos) obligatoria:
Alcance 4.3
Política 5.2
Planificación y control operacional 8.1
Programa de auditoría 9.2
Conservar Información documentada como evidencia (registros) obligatoria.
Evidencia Valoración de riesgos de la seguridad de la información 6.1.2 (Planificación)
Evidencia de Tratamiento de riesgos de la seguridad de la información 6.1.3 (Planificación)
Evidencia de Objetivos de seguridad de la Información y planes para lograrlos 6.2
Evidencias de competencia. 7.2
Evidencias de Valoración de riesgos de la seguridad de la información 8.2 (Ejecución)
Evidencias del Tratamiento de riesgos de la seguridad de la información 8.3 (Ejecución)
Evidencias seguimiento, medición, análisis y evaluación. 9.1.1
Evidencias de los resultandos de las auditorias. 9.2
