lista de documentos paquete premium de documentos sobre iso 27001 y iso 22301 es
TRANSCRIPT
ver. 2.0, 26/05/2012
Paquete Premium de documentos sobre ISO 27001 y ISO 22301 http://www.iso27001standard.com/es/servicios/Paquete‐Premium‐de‐documentos‐sobre‐ISO‐27001‐y‐BS‐25999‐2
Nota: Se recomienda implementar los documentos en el orden detallado aquí. El orden de
implementación de los documentos relacionados con el Anexo A está definido en el Plan de
tratamiento del riesgo. La documentación para gestión de la continuidad del negocio (N.° 7 A.14 en el
paquete) se implementa en el orden detallado aquí.
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
0. Procedimiento para
control de
documentos y
registros
ISO/IEC 27001
4.3.2, 4.3.3
ISO 22301 7.5
BS 25999‐2 3.4.2,
3.4.3
1. Plan del proyecto
2. Procedimiento para
identificación de
requisitos
ISO/IEC 27001
A.15.1.1
ISO 22301 4.2
2.1 Apéndice: Lista de
requisitos legales,
normativos,
contractuales y de
otra índole
ISO/IEC 27001
A.15.1.1
ISO 22301 4.2 *
3. Documento sobre el
alcance del SGSI
ISO/IEC 27001
4.2.1 a)
4. Política del sistema
de gestión de
seguridad de la
información
ISO/IEC 27001
4.2.1 b), A.5.1.1,
A.5.1.2
5. Metodología de
evaluación y
tratamiento de
riesgos
ISO/IEC 27001
4.2.1 c)
BS 25999‐2
4.1.2.1
5.1. Apéndice 1: Cuadro
de evaluación de
ISO/IEC 27001
4.2.1 d), e)
ver. 2.0, 26/05/2012
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
riesgos BS 25999‐2 4.1.2
5.2. Apéndice 2: Cuadro
de tratamiento de
riesgos
ISO/IEC 27001
4.2.1 f), g)
BS 25999‐2
4.1.3.1
5.3. Apéndice 3: Informe
de evaluación de
riesgos
ISO/IEC 27001
4.3.1 e), A.6.2.1,
A.14.1.2
6. Declaración de
aplicabilidad
ISO/IEC 27001
4.2.1 h), i), j)
7. Plan de tratamiento
del riesgo
ISO/IEC 4.2.2 a)
& b)
BS 25999‐2
4.1.3.2
8. (Anexo A: controles)
8.
A.7
Inventario de activos ISO/IEC 27001
A.7.1.1, A.7.1.2 *
8.
A.7
Política de uso
aceptable de los
activos
ISO/IEC 27001
A.6.1.4, A.7.1.2,
A.7.1.3, A.8.3.2,
A.9.2.5, A.9.2.7,
A.10.4.1,
A.10.4.2,
A.10.8.4,
A.11.3.1,
A.11.3.2,
A.11.3.3,
A.11.5.2,
A.11.7.1,
A.11.7.2,
A.12.4.1,
A.15.1.2
*
ver. 2.0, 26/05/2012
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
8.
A.7
Política para manejo
de información
clasificada
ISO/IEC 27001
A.7.2.1, A.7.2.2,
A.11.6.1,
A.10.7.1
A.10.7.3,
A.10.7.4,
A.10.8.4
8.
A.8
Declaración de
confidencialidad
ISO/IEC 27001
A.8.1.1, A.8.1.3,
A.6.1.5 *
8.
A.8
Declaración de
aceptación de los
documentos del SGSI
ISO/IEC 27001
A.8.1.1, A.8.1.3 *
8.
A.8
Cláusulas de
seguridad para
proveedores y socios
ISO/IEC 27001
A.6.2.3, A.8.1.1,
A.8.1.3, A.10.2.1 *
8.
A.10
Procedimientos
operativos para
tecnología de la
información y de la
comunicación
ISO/IEC 27001
A.6.2.2, A.10,
A.9.2.6, A.12.5.1,
A.12.5.3 *
8.
A.10
Política de gestión de
cambio
ISO/IEC 27001
A.10.1.2,
A.12.5.1,
A.12.5.3
8.
A.10
Política de creación
de copias de
seguridad
ISO/IEC 27001
A.10.5.1
8.
A.10
Política de
eliminación y
destrucción
ISO/IEC 27001
A.9.2.6, A.10.7.2
8. Política de
intercambio de
ISO/IEC 27001
A.10.8.1,
ver. 2.0, 26/05/2012
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
A.10 información A.10.8.2,
A.10.8.5
8.
A.11
Política de control de
acceso
ISO/IEC 27001
A.11.1.1, A.11.2,
A.11.4.1,
A.11.4.2,
A.11.5.3, A.6.2.2 ,
A.8.3.3, A.11.6.1
*
8.
A.11
Política de claves ISO/IEC 27001
A.11.2.3,
A.11.3.1,
A.11.5.2,
A.11.5.3
8.
A.11
Política de pantalla y
escritorio limpios
ISO/IEC 27001
A.11.3.2,
A.11.3.3
8.
A.11
Política sobre el uso
de los servicios en
red
ISO/IEC 27001
A.11.4.1,
A.11.4.2
8.
A.11
Política sobre
computación móvil y
tele‐trabajo
ISO/IEC 27001
A.9.2.5, A.11.7
8.
A.12
Especificaciones de
requisitos de los
sistemas de
información
ISO/IEC 27001
A.12.1.1,
A.10.3.2 *
8.
A.12
Política del uso de
controles
criptográficos
ISO/IEC 27001
A.12.3.1,
A.12.3.2,
A.15.1.6
8.
A.13
Procedimiento para
gestión de incidentes
ISO/IEC 27001
4.2.2 h), A.13,
ver. 2.0, 26/05/2012
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
A.8.2.3
8.
A.13
Apéndice 2: Registro
de incidentes
ISO/IEC 27001
A.13.2.2
8.
A.14
1.
Política de la
continuidad del
negocio
ISO 22301 4.1,
4.3, 5.3, 6.2,
9.1.1
BS 25999‐2 3.2.1,
3.2.2, 3.2.3
ISO/IEC 27001
A.14.1.1,
A.14.1.4
8.
A.14
2.
Metodología para el
análisis del impacto
en el negocio
ISO 22301 8.2.1,
8.2.2
BS 25999‐2 4.1.1
ISO/IEC 27001
A.14.1.2
8.
A.14
2.1.
Cuestionario sobre el
análisis del impacto
en el negocio
ISO 22301 8.2.1,
8.2.2
BS 25999‐2 4.1.1
ISO/IEC 27001
A.14.1.2
8.
A.14
3.
Estrategia de
continuidad del
negocio
ISO 22301 8.3,
8.4.2
BS 25999‐2 4.2
ISO/IEC 27001
A.14.1.2
8.
A.14
3.1.
Apéndice 1: Lista de
actividades
ISO 22301 8.2.2
BS 25999‐2
4.1.1.2
ISO/IEC 27001
A.14.1.2
8.
A.14
Apéndice 2:
Prioridades de
ISO 22301 8.2.2
BS 25999‐2
ver. 2.0, 26/05/2012
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
3.2. recuperación para las
actividades
4.1.1.2
ISO/IEC 27001
A.14.1.2
8.
A.14
3.3.
Apéndice 3:
Objetivos de tiempo
de recuperación para
actividades
ISO 22301 8.2.2
BS 25999‐2
4.1.1.2
ISO/IEC 27001
A.14.1.2
8.
A.14
3.4.
Apéndice 4: Ejemplos
de escenarios de
incidentes
disruptivos
ISO 22301 8.5
BS 25999‐2
4.1.2.2
ISO/IEC 27001
A.14.1.2
8.
A.14
3.5.
Apéndice 5: Plan de
preparación para
Continuidad del
negocio
ISO 22301 6.2
BS 25999‐2
3.2.3.1
8.
A.14
3.6.
Apéndice 6:
Estrategia de
recuperación de
actividad
ISO 22301 8.3
BS 25999‐2 4.2
ISO/IEC 27001
A.14.1.2
8.
A.14
4.
Plan de continuidad
del negocio
ISO 22301 8.4
BS 25999‐2 4.3
ISO/IEC 27001
A.14.1.3
8.
A.14
4.1.
Apéndice 1: Plan de
respuesta a los
incidentes
ISO 22301 8.4.3,
8.4.4
BS 25999‐2 4.3.2
ISO/IEC 27001
A.14.1.3
8.
A.14
4.2.
Apéndice 2: Registro
de incidentes
ISO 22301 8.4.3
BS 25999‐2 4.3.2
ISO/IEC 27001
ver. 2.0, 26/05/2012
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
A.13.2.2
8.
A.14
4.3.
Apéndice 3: Lista de
ubicaciones para
continuidad del
negocio
ISO 22301 8.4.4
BS 25999‐2 4.3.3
ISO/IEC 27001
A.14.1.3
8.
A.14
4.4.
Apéndice 4: Plan de
transporte
ISO 22301 8.3.2
BS 25999‐2 4.3.3
ISO/IEC 27001
A.14.1.3
8.
A.14
4.5.
Apéndice 5:
Contactos clave
ISO 22301 8.4.3
BS 25999‐2 4.3.3
ISO/IEC 27001
A.14.1.3
8.
A.14
4.6.
Apéndice 6: Plan de
recuperación de
actividad
ISO 22301 8.4.5
BS 25999‐2 4.3.3
ISO/IEC 27001
A.14.1.3
8.
A.14
5.1.
Plan de prueba y
verificación
ISO 22301 8.5
BS 25999‐2 4.4.2
ISO/IEC 27001
A.14.1.5
8.
A.14
5.2.
Apéndice: Formulario
‐ Informe de prueba
y verificación
ISO 22301 8.5
BS 25999‐2
4.4.2.2
ISO/IEC 27001
A.14.1.5
8.
A.14
5.3.
Plan de
mantenimiento y
revisión del SGCN
ISO 22301 9.1.2
BS 25999‐2 4.4.3
ISO/IEC 27001
A.14.1.5
8.
A.14
Formulario de
revisión
ISO 22301 9.1.2
BS 25999‐2
4.4.3.4
ver. 2.0, 26/05/2012
Número
en el
paquete
Nombre del
documento
Puntos
importantes de
la norma
El documento
es obligatorio
según ISO
27001
El documento
es obligatorio
según ISO
22301
El documento
es obligatorio
según BS
25999‐2
5.4. postincidente ISO/IEC 27001
8.
A.14
5.5.
Plan de capacitación
y concienciación
ISO 22301 7.2
BS 25999‐2 3.2.4,
3.3
ISO/IEC 27001
5.2.2, A.8.2.2
9. Procedimiento para
auditoría interna
ISO/IEC 27001
clause 6, A.6.1.8
ISO 22301 9.2
BS 25999‐2 5.1
9.1. Apéndice 1:
Programa anual de
auditoría interna
ISO/IEC 27001
clause 6
ISO 22301 9.2
BS 25999‐2 5.1
9.2. Apéndice 2: Informe
de auditoría interna
ISO/IEC 27001
clause 6
ISO 22301 9.2
BS 25999‐2 5.1
10. Minutas de Revisión
por parte de la
dirección
ISO/IEC 27001
clause 7
ISO 22301 9.3
BS 25999‐2 5.2
11. Procedimiento para
acciones correctivas
y preventivas
ISO/IEC 27001
clause 8
ISO 22301 10.1
BS 25999‐2 6.1
11.1. Apéndice: Formulario
para acciones
correctivas y
preventivas
ISO/IEC 27001
clause 8
ISO 22301 6.1,
9.1.1, 10.1
BS 25999‐2 6.1
ver. 2.0, 26/05/2012
*Los documentos detallados solamente son obligatorios si los controles correspondientes están
señalado como aplicables en la Declaración de aplicabilidad.
Para aprender a completar estos documentos consulte:
1) Tutoriales en vídeo http://www.iso27001standard.com/tutoriales‐en‐video
2) Cursos de capacitación en vivo por Internet http://www.iso27001standard.com/seminario‐
web