Loading documents preview...
Commented [DK1]: Para aprender a completar este documento consulte: 1) Tutorial en vídeo 'Cómo redactar la Declaración de aplicabilidad según ISO 27001' http://www.iso27001standard.com/videotutorials
** VERSIÓN DE MUESTRA GRATIS **
[logo de la organización]
2) Webinar: 'Fundamentos de ISO 27001 - Parte 1: Fase de planificación del SGSI, control de documentación y registros' http://www.iso27001standard.com/webinars
Commented [DK2]: Se deben completar todos los campos de este documento que estén marcados con corchetes [ ].
[nombre de la organización]
DECLARACIÓN DE APLICABILIDAD
Commented [DK3]: El sistema de codificación del documento debe coincidir con el sistema actual de codificación de documentos de la organización. En el caso que no exista ese sistema, se puede eliminar esta línea.
Código Versión: Fecha de la versión: Creado por: Aprobado por: Nivel de confidencialidad:
©2013 Plantilla para clientes de EPPS services Ltd. www.iso27001standard.com, según Contrato de licencia.
[nombre de la organización]
[nivel de confidencialidad]
Historial de modificaciones Fecha
Versión
Creado por
Descripción de la modificación
10/01/2013
0.1
Dejan Kosutic
Descripción básica del documento
Tabla de contenido 1.
OBJETIVO, ALCANCE Y USUARIOS ........................................................................................................3
2.
DOCUMENTOS DE REFERENCIA ...........................................................................................................3
3.
APLICABILIDAD DE LOS CONTROLES .....................................................................................................3
4.
ACEPTACIÓN DE LOS RIESGOS RESIDUALES ........................................ERROR! BOOKMARK NOT DEFINED.
5.
VALIDEZ Y GESTIÓN DE DOCUMENTOS ..............................................ERROR! BOOKMARK NOT DEFINED.
Declaración de aplicabilidad
ver. [versión] del [fecha]
©2013 Plantilla para clientes de EPPS services Ltd. www.iso27001standard.com, según Contrato de licencia.
Página 2 de 5
[nombre de la organización]
[nivel de confidencialidad]
1. Objetivo, alcance y usuarios El objetivo del presente documento es definir qué controles son adecuados para implementar en [nombre de la organización], cuáles son los objetivos de esos controles y cómo se implementan. También tiene como objetivo aprobar riesgos residuales y aprobar formalmente la implementación de los controles mencionados. Este documento incluye todos los controles detallados en el Anexo A de la norma ISO 27001. Los controles se aplican a todo el alcance del Sistema de gestión de seguridad de la información (SGSI). Los usuarios de este documento son todos empleados de [nombre de la organización] que cumplen una función dentro del SGSI.
2. Documentos de referencia
Norma ISO/IEC 27001, capítulo 6.1.3 d) Política de Seguridad de la Información Metodología de evaluación y tratamiento de riesgos Informe de evaluación y tratamiento de riesgos
3. Aplicabilidad de los controles Son aplicables los siguientes controles del Anexo A de la norma ISO 27001: Controles según la norma ISO/IEC 27001 ID
A.5.1
Políticas de seguridad de la información Dirección de la gerencia para la seguridad de la información
A.5.1.1
Políticas para seguridad de la información
A.5
A.5.1.2
A.6 A.6.1
Aplicab ilidad (SÍ/NO)
Justificación de elección/ no elección
Objetivos del control
Método de implementación
Estad o
Commented [DK6]: Método de implementación: especificar documentación, control técnico o describir el proceso. Dejar en blanco si el control está marcado como no aplicable. Este cuadro detalla los documentos de este Paquete que son importantes para cada control; si no hay documentos importantes para el control, se sugiere una descripción del proceso.
Todas las políticas indicadas bajo esta columna Cada política tiene un propietario designado que debe revisar el documento según un intervalo planificado
Revisión de políticas para seguridad de la información Organización de la seguridad de la información Organización interna
Si se indican dos documentos con el símbolo de barra ("/") significa que usted debe escoger el primer o segundo documento. Si se indican dos documentos con coma (",") significa que usted debe implementar ambos documentos para un determinado control. El documento denominado "Lista de documentos" detalla todos los documentos del Paquete junto con una observación sobre si ese documento es obligatorio o no según la norma . Commented [DK7]: Indica el estado de la implementación; por ejemplo, "Planificado", "Parcialmente implementado", "Totalmente implementado". Dejar en blanco si los controles están marcados como no aplicable. Commented [D4]: Según los resultados de la evaluación de riesgos, obligaciones contractuales y legales Commented [D5]: Deberían ser definidos para cada uno de sus controles y deberían ser cuantificables; sin embargo, también puede copiar objetivos detallados en categorías de cláusulas del Anexo A. Dejar en blanco si el control está marcado como no aplicable.
Declaración de aplicabilidad
ver. [versión] del [fecha]
©2013 Plantilla para clientes de EPPS services Ltd. www.iso27001standard.com, según Contrato de licencia.
Página 3 de 5
[nombre de la organización]
Controles según la norma ISO/IEC 27001 ID
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5 A.6.2
[nivel de confidencialidad]
Aplicab ilidad (SÍ/NO)
Justificación de elección/ no elección
Objetivos del control
Segregación de deberes
Contacto con autoridades
Contacto con grupos de interés especial
Seguridad de la información en gestión de proyectos Dispositivos móviles y tele-trabajo
Política sobre dispositivos móviles
A.6.2.2
Tele-trabajo
Declaración de aplicabilidad
Estad o
Las responsabilidades sobre seguridad de la información se detallan en varios documentos del SGSI Si es necesario, el [cargo] define responsabilidades adicionales Cualquier actividad que incluya información sensible es aprobada por una persona e implementada por otra [Estrategia de continuidad del negocio], [Plan de respuesta a los incidentes] El [cargo] es el responsable de supervisar [detallar los nombres de grupos de interés y foros de seguridad] El gerente de proyecto debe incluir las reglas correspondientes sobre seguridad de la información en cada proyecto
Roles y responsabilidades sobre seguridad de la información
A.6.2.1
Método de implementación
[Política de uso aceptable] / [Política sobre computación móvil y tele-trabajo], [Política Trae tu propio dispositivo (BYOD)] [Política de uso aceptable] / [Política sobre computación móvil y tele-trabajo]
ver. [versión] del [fecha]
©2013 Plantilla para clientes de EPPS services Ltd. www.iso27001standard.com, según Contrato de licencia.
Página 4 de 5
Commented [DK6]: Método de implementación: especificar documentación, control técnico o describir el proceso. Dejar en blanco si el control está marcado como no aplicable. Este cuadro detalla los documentos de este Paquete que son importantes para cada control; si no hay documentos importantes para el control, se sugiere una descripción del proceso. Si se indican dos documentos con el símbolo de barra ("/") significa que usted debe escoger el primer o segundo documento. Si se indican dos documentos con coma (",") significa que usted debe implementar ambos documentos para un determinado control. El documento denominado "Lista de documentos" detalla todos los documentos del Paquete junto con una observación sobre si ese documento es obligatorio o no según la norma . Commented [DK7]: Indica el estado de la implementación; por ejemplo, "Planificado", "Parcialmente implementado", "Totalmente implementado". Dejar en blanco si los controles están marcados como no aplicable. Commented [D4]: Según los resultados de la evaluación de riesgos, obligaciones contractuales y legales Commented [D5]: Deberían ser definidos para cada uno de sus controles y deberían ser cuantificables; sin embargo, también puede copiar objetivos detallados en categorías de cláusulas del Anexo A. Dejar en blanco si el control está marcado como no aplicable. Commented [DK8]: Si no se incluye la continuidad del negocio en el proyecto ISO 27001, reemplazar este texto indicando quién es el responsable del contacto con la policía, los bomberos, etc.
Commented [DK9]: Es posible asignar diferentes grupos de interés a diferentes cargos, según la especialización del trabajo.
[nombre de la organización]
[nivel de confidencialidad]
** FIN DE MUESTRA GRATIS ** Para descargar la versión completa de este documento haga clic aquí: http://www.iso27001standard.com/es/documentacion/Declaracion-de-aplicabilidad
Declaración de aplicabilidad
ver. [versión] del [fecha]
©2013 Plantilla para clientes de EPPS services Ltd. www.iso27001standard.com, según Contrato de licencia.
Página 5 de 5