La ISO/IEC 27001 es una norma internacional publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
Define los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI).
En otras palabras, es marco de referencia para proteger la información frente a amenazas como accesos no autorizados, pérdidas, ciberataques o desastres en cualquier organización.
Documentación obligatoria para la certificación en ISO 27001
La norma ISO 27001 no exige un manual de calidad como tal, pero sí requiere cierta documentación mínima que demuestre la implementación del sistema:
- Alcance del SGSI
- Definición clara de los límites y aplicabilidad del Sistema de Gestión de Seguridad de la Información.
- Política de Seguridad de la Información
- Documento de alto nivel que establece el compromiso de la organización con la seguridad.
- Evaluación de Riesgos y Metodología de Tratamiento
- Identificación, análisis y evaluación de riesgos.
- Definición de planes de acción para su tratamiento.
- Declaración de Aplicabilidad (SoA – Statement of Applicability)
- Documento fundamental donde se relacionan los controles del Anexo A de la norma.
- Justifica cuáles se aplican y cuáles no, y explica su implementación.
- Plan de Tratamiento de Riesgos
- Estrategia y acciones específicas para mitigar o gestionar riesgos identificados.
- Objetivos de Seguridad de la Información
- Metas alineadas con la política y con la estrategia de la empresa.
- Procedimientos y Controles Documentados
- En la medida en que sean necesarios para la operatividad propia de la empresa.
- Evidencias de la Implementación y Registros
- Auditorías internas.
- Revisión por la dirección.
- Resultados del seguimiento y medición que pueden ser a través de KPIs.
- Registro de incidentes y acciones correctivas. Muy importante para la mejora continua.
Documentación recomendada (no siempre obligatoria)
- Manual del SGSI.
- Procedimiento de gestión de proveedores.
- Procedimiento de continuidad de negocio.
- Procedimientos de comunicación y concienciación en seguridad.
A continuación te dejamos un check list práctico en formato tabla que te puede ayudar como guía en tu preparación hacia la certificación ISO/IEC 27001.
Checklist ISO 27001 – Documentación y Evidencias
| Nº | Documento / Evidencia | Obligatorio (ISO 27001) | Estado (✓ / ✗ / En progreso) |
|---|---|---|---|
| 1 | Alcance del SGSI | ✅ Sí | |
| 2 | Política de Seguridad de la Información | ✅ Sí | |
| 3 | Metodología de Evaluación de Riesgos | ✅ Sí | |
| 4 | Informe de Evaluación de Riesgos | ✅ Sí | |
| 5 | Plan de Tratamiento de Riesgos | ✅ Sí | |
| 6 | Declaración de Aplicabilidad (SoA) | ✅ Sí | |
| 7 | Objetivos de Seguridad de la Información | ✅ Sí | |
| 8 | Procedimientos operativos clave (accesos, backups, gestión de incidentes, etc.) | ⚠ Según necesidad | |
| 9 | Registros de formación y concienciación | ⚠ Recomendado | |
| 10 | Registros de auditoría interna | ✅ Sí | |
| 11 | Actas de revisión por la dirección | ✅ Sí | |
| 12 | Evidencias de acciones correctivas | ✅ Sí | |
| 13 | Procedimientos de continuidad de negocio | ⚠ Recomendado | |
| 14 | Gestión de proveedores y contratos | ⚠ Recomendado |
Si estás interesado en recibir más información sobre la certificación en ISO 27001 o ya estás certificado y quieres automatizar tu sistema, no dudes en ponerte en contacto con nosotros.