La evidencia documentada es crucial para demostrar que los procesos dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) se han llevado a cabo según lo planeado. Para el cumplimiento de la norma ISO 27001: 2022, se pueden utilizar los siguientes tipos de pruebas documentadas:

1. Políticas y procedimientos

Política de Seguridad de la Información

Documento que detalla el compromiso de la organización con la seguridad de la información.

Documentos de procedimiento

Instrucciones detalladas paso a paso sobre cómo realizar procesos específicos.

2. Registros de actividades

Registros de auditoría

Registros que capturan los detalles de los eventos de seguridad, las actividades de los usuarios y los cambios del sistema.

Registros de control de acceso

Registros que muestran quién accedió a qué información y cuándo.

3. Documentación de gestión de riesgos

Informes de evaluación de riesgos

Documentos que identifiquen los riesgos potenciales y su impacto.

Planes de tratamiento de riesgos

Planes que detallan las medidas adoptadas para mitigar los riesgos identificados.

4. Registros de capacitación y concientización

Hojas de asistencia a la capacitación

Listas que muestran qué empleados asistieron a las sesiones de capacitación.

Materiales de capacitación

Copias de los materiales utilizados durante las sesiones de capacitación.

Registros de campañas de concienciación

Evidencia de esfuerzos de comunicación (correos electrónicos, carteles, anuncios en la intranet).

5. Registros de implementación

Registros de gestión de cambios

Registros de cambios realizados en sistemas y procesos.

Registros de gestión de configuración

Detalles de las configuraciones y cambios del sistema.

6. Registros de seguimiento y medición

Informes de seguimiento del rendimiento

Informes periódicos que muestran el rendimiento de los controles de seguridad.

Informes de incidentes

Documentación de los incidentes de seguridad y de las acciones de respuesta adoptadas.

7. Documentación de auditoría y revisión

Informes de Auditoría Interna

Hallazgos de auditorías internas.

Informes de Auditoría Externa

Resultados de auditorías externas.

Actas de Revisión por la Dirección

Actas de las reuniones de revisión por la dirección en las que se discute el desempeño del SGSI.

8. Registros de acciones correctivas y preventivas

Informes de acciones correctivas

Documentación de las acciones tomadas para corregir las no conformidades.

Planes de Acción Preventiva

Planes que detallan las medidas preventivas para evitar futuras no conformidades.

9. Registros de gestión de proveedores y terceros

Contratos y acuerdos de nivel de servicio

Acuerdos con proveedores y terceros en los que se detallen los requisitos de seguridad.

Informes de auditoría de proveedores

Informes de auditorías de proveedores de servicios externos.

10. Registros de comunicación

Acta de la reunión

Documentación de reuniones en las que se discuten temas relacionados con el SGSI.

Comunicaciones por correo electrónico

Correos electrónicos relacionados con las actividades, decisiones y actualizaciones del SGSI.

11. Cumplimiento y registros legales

Informes de Cumplimiento Legal y Regulatorio

Documentación que demuestre el cumplimiento de las leyes y reglamentos aplicables.

Evaluaciones de impacto de la protección de datos (EIPD)

Evaluaciones que detallan cómo se gestionan los riesgos de protección de datos.

Ejemplo de evidencia para procesos específicos de SGSI:

A. Proceso de evaluación de riesgos

·        Informe de evaluación de riesgos

·        Detalles de los riesgos identificados, su impacto y probabilidad.

·        Plan de tratamiento de riesgos

·        Acciones planificadas o tomadas para mitigar los riesgos.

·        Acta de la reunión

·        Discusiones sobre los resultados de la evaluación de riesgos y las decisiones tomadas.

B. Proceso de control de acceso

·        Política de control de acceso

·        Directrices para conceder y revocar derechos de acceso.

·        Registros de acceso

·        Registros de quién accedió a qué información y cuándo.

·        Reseñas de acceso de usuarios

·        Revisiones periódicas de los derechos de acceso de los usuarios.

C. Proceso de gestión de incidentes

·        Plan de Respuesta a Incidentes

·        Pasos a seguir en caso de un incidente de seguridad.

·        Informes de incidentes

·        Informes detallados de cada incidente de seguridad y las acciones de respuesta tomadas.

·        Revisión posterior al incidente

·        Análisis del incidente para prevenir futuros incidentes.

D. Programa de Capacitación y Sensibilización

·        Hojas de asistencia a la capacitación

·        Registros de los empleados que asistieron a la capacitación.

·        Materiales de capacitación

·        Diapositivas, folletos y otros materiales utilizados durante las sesiones de capacitación.

·        Formularios de comentarios

·        Comentarios de los empleados sobre las sesiones de formación.

Al mantener pruebas documentadas exhaustivas y precisas de cada proceso, una organización puede demostrar eficazmente que sus procesos de SGSI se han llevado a cabo según lo previsto, garantizando el cumplimiento de las normas ISO 27001: 2022.

¡ESTAMOS AQUÍ PARA AYUDAR!

¡CLIC AQUÍ para una prueba de Dogma C3X en tu compañía totalmente gratis!

Dogma C3X es una Plataforma Inteligente de Consultoría de Negocios inspirada en el modelo de industria de las 3Cs, que ofrece una mirada estratégica a los pilares que toda empresa necesita para el éxito: Clientes – Compañía – Competidores. "Inteligente" porque mediante el uso de inteligencia artificial (IA) y aprendizaje automático (ML) puede recopilar, procesar y analizar el creciente tsunami de datos (estructurados y no estructurados) relacionados con las 3Cs, los cuales son increíblemente valiosos. Solo fortaleciendo, posicionando e integrando estos tres pilares (Clientes – Compañía – Competidores) podrás construir una ventaja competitiva sostenible.