Los 10 Documentos Obligatorios para la Certificación ISO 27001
Documentos Obligatorios para la Certificación ISO 27001
Uno de los mayores temores de los líderes empresariales respecto a la ISO 27001 es la "montaña de papeleo". Si bien es cierto que necesita una base sólida de documentación, no necesita escribir un manual de 500 páginas.
ISO 27001 trata sobre la "Información Documentada". Esto significa que necesita políticas (lo que pretende hacer) y registros (pruebas de que lo hizo). Aquí tiene la lista ajustada de lo que realmente se requiere para la certificación.
Documentos principales del SGSI
Estos son los "Cuatro Grandes" que definen su sistema. Sin ellos, no puede ser certificado:
1. El Alcance del SGSI
Una definición clara de qué partes de su negocio están cubiertas. ¿Es toda la empresa? ¿Solo la plataforma SaaS? ¿Solo la oficina de Madrid?
2. Política de Seguridad de la Información
Un documento de alto nivel, aprobado por el CEO, que resume el compromiso de la empresa con la seguridad.
3. Metodología e Informe de Evaluación de Riesgos
El "Cómo" y el "Qué" de su gestión de riesgos. Debe demostrar que tiene una forma sistemática de identificar amenazas.
4. Declaración de Aplicabilidad (SoA)
La lista maestra de qué controles del Anexo A ha elegido implementar y por qué.
Políticas y procedimientos obligatorios
Los Pilares de su SGSI
Aunque el estándar requiere docenas de registros, estos 10 documentos forman la columna vertebral de su implementación.
Más allá del sistema central, necesita políticas específicas para las operaciones diarias.
- Política de Control de Acceso: ¿Quién tiene acceso a qué y cómo se revoca?
- Clasificación de la Información: ¿Cómo etiqueta los datos (Público, Interno, Confidencial)?
- Política de Seguridad con Proveedores: ¿Cómo asegura que sus proveedores no son un eslabón débil?
- Procedimiento de Gestión de Incidentes: ¿Qué sucede cuando algo sale mal?
- Plan de Continuidad de Negocio: ¿Cómo sobrevive la empresa a un desastre?
Las "Evidencias" (Registros)
Las políticas son solo promesas. Los auditores buscan Registros para demostrar que las promesas se cumplieron. Los registros obligatorios incluyen:
- Inventario de Activos: Una lista de su hardware, software y datos.
- Registros de Formación: Prueba de que el personal asistió a las sesiones de concienciación.
- Informe de Auditoría Interna: Los resultados de su propio "auto-chequeo".
- Actas de Revisión por la Dirección: Prueba de que el equipo directivo discute la seguridad al menos una vez al año.
- Registros de Acciones Correctivas: Un historial de los errores encontrados y cómo se solucionaron.
Consejo experto: Calidad sobre cantidad
Muchas empresas caen en la trampa de usar "plantillas estándar" de 30 páginas. No lo haga. Si una política es demasiado larga, nadie la leerá y no se seguirá.
- Mantenga las políticas en 2-3 páginas.
- Use un lenguaje sencillo.
- Use herramientas como Confluence, Notion o un software de GRC para que los documentos estén vivos y accesibles.
FAQ: Preguntas Frecuentes
¿Cada política tiene que ser un PDF?
No. La información documentada puede ser una página de Wiki, un README de GitHub o incluso un vídeo. Siempre que esté controlada (es decir, sepa quién la editó y qué versión es la actual), es válida.
¿Podemos combinar varias políticas en una sola?
¡Sí! De hecho, la mayoría de los auditores prefieren un único "Manual de Seguridad del Empleado" en lugar de 15 pequeños archivos PDF separados.
¿Qué pasa si falta un documento durante la auditoría?
Si es un documento obligatorio, será una "No Conformidad Mayor". Sin embargo, si tiene el proceso en marcha pero simplemente olvidó escribirlo, el auditor podría darle unos días para solucionarlo.
Conclusión: Documentar para guiar, no para agobiar
La documentación debe ser una hoja de ruta para sus empleados, no un peso sobre sus hombros. Al centrarse primero en los requisitos obligatorios, puede construir un sistema ágil y eficaz que asegure su negocio y supere la auditoría con éxito.
¿Confundido sobre qué escribir? Ofrecemos plantillas probadas en auditorías que puede personalizar en horas, no en semanas.