viernes, 25 de mayo de 2018

Pasos para implementar la norma ISO 27001: Paso 2 - Procedimiento para control de documentos y registros



En el artículo anterior comentamos sobre lo importante que es al inicio contar con el apoyo al proyecto de la Alta Gerencia, a continuación se debe implementar un procedimiento muy importante para mantener un orden en la documentación que será clave para el Sistema de Gestión de Seguridad de la Información (SGSI). Este documento es el procedimiento para control de documentos y registros.



Para la implementación del SGSI es necesario un procedimiento inicial o base para la elaboración, modificación, anulación y aprobación de los documentos que integran el Sistema de Gestión de Seguridad de la Información.

El procedimiento de control de documentos y registros debe aplicar a todos los documentos del SGSI desde el requerimiento o necesidad, cuando se requiera modificarlo, hasta la publicación, mantenimiento y posible anulación.

Mediante este procedimiento, se debe establecer los controles a los registros que integran el Sistema de Gestión de Seguridad de la Información para la identificación de los registros, su almacenamiento, tiempo de vida y la disponibilidad.

Cuando implemente el procedimiento para control de documentos y registros, debe tener en cuenta lo siguiente:

·        Mantener identificada la información.
·        Considerar el formato más adecuado, ya sea en papel o electrónico.
·        Como se va a considerar el lanzamiento del documento, quiénes y cómo se revisarán y aprobarán, así como el flujo a seguir.
·         Cómo asegurará la disponibilidad del documento, es decir, el lugar, el acceso, la alta disponibilidad, la confidencialidad y el respaldo. Esta disponibilidad debe ser para todos los interesados: personal interno y externo a la Organización
·        Identificación de los cambios realizados a los documentos, ya sea el texto cambiado, la persona que lo cambió, la frecuencia de cambios, el responsable de validar los cambios y la posibilidad de restaurar una copia anterior.

Es necesario señalar que elaborar el Procedimiento para control de documentos y registros no es obligatorio según la ISO 27001, pero teniendo en cuenta lo especificado líneas arriba, es aconsejable que se tome el tiempo para realizarlo.


Publicadas por a la/s
Etiquetas: , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)