ISO 27001 & BS 25999

 

ISO 27001/BS 25999 documents, presentation decks and implementation guidelines


Free_Downloads
 
Newsletter
 
Sign up to our free Newsletter and as bonus you'll receive my tips on how to launch an information security and business continuity project.
 
 
 
 
 
 
    

UPCOMING WEBINARS

    

 
ISO 27001 & BS 25999-2: Why is it better to implement them together?

    

Wednesday
May 23, 2012

    Register_now_green
     

 
Risk Management Part 1: Risk assessment methodology and risk assessment process

Monday
May 21, 2012

    Register_now_green
 
 
 
 

La importancia de la Declaración de aplicabilidad para la norma ISO 27001

'By 'Dejan Kosutic on April 18, 2011
Share

La importancia de la Declaración de aplicabilidad (a veces conocida como DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cómo usted implementará una gran parte de su sistema de seguridad de la información.

De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información. El objetivo de este documento es definir cuáles de los 133 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementará y, para los controles que correspondan, cómo se realizará su implementación.

Por qué es necesaria

Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos:

  • Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que era necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc.

  • Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada.

  • Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza.

De hecho, si solicita la certificación ISO 27001, el auditor de certificación tomará su Declaración de aplicabilidad y recorrerá su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditoría presencial.

Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.

Por qué es útil

Por experiencia, puedo afirmar que la mayoría de las empresas que implementan el sistema de gestión de seguridad de la información de acuerdo a la norma ISO 27001 dedican mucho más tiempo en redactar este documento que lo que habían previsto. El motivo es que deben pensar cómo implementarán sus controles: ¿Comprarán nuevos equipos? ¿Modificarán el procedimiento? ¿Contratarán un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemática.

Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la información, por qué se debe hacer y cómo se debe hacer.

Haga clic aquí para descargar una plantilla gratuita de la Declaración de aplicabilidad.

0saves
Save
If you enjoyed this post, please consider leaving a comment in a box below or subscribing to the RSS feed to have future articles delivered to your feed reader.

This post is also available in: Inglés, Alemán, Japonés, Croata, Portugués, Brasil


«

This entry was posted on Monday, April 18th, 2011 at 17:33 and is filed under Main. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.

  • Gustavo

    ¡En la declaración de aplicabilidad no deben estar referenciados otros controles adicionales a los de 27001 aún si estos controles son necesarios o afectan directamente la seguridad de la información de la empresa?

  • Dejan Kosutic

    Hi Gustavo,

    Yes, in the Statement of Applicability you may reference to other controls that are not mentioned in Annex A of ISO 27001 – this is often the case if you want to specify some technical controls into more detail.

    Regardless of referencing to other controls, you need to reference to all 133 controls from Annex A.

  • Linda Sanz

    Segun el Analisis Gap 126 controles nos aplican, sin emabargo en mi analisis de riesgo y en mi Plan de tratamiento de riesgos no salen los 133 controles, debido a que algunos ya se encontraban implementados aunque sin documentar.
    Mi pregunta es, como documentar en el SOA los demas y como se pueden implementar si no salieron en el Plan de Tratamiento.
    Gracias.-

  • Dejan Kosutic

    Hi Linda,

    For each control in Statement of Applicability you have to specify how you have implemented it – that can be only few words or 2-3 sentences, so it doesn’t have to be really detailed if that control is not very important for your organization or if it is not too complex.

    If the control is complex or if the risks that are to be decreased with this control are really high, then you should write another document (policy, procedure etc.) which describes this control – in that case, you should reference to that document in your SoA.

    If you already implemented some of the controls, their status should be indicated in SoA, so you don’t have to plan their implementation through Risk Treatment Plan.

  • Sebastian

    Hi Dejan,

    I was wondering if you may know any online resourse to verify which controls of the A Annex could be justified in the SOA with it relationship with 27001 requirements, like in the case of control A.5.1.1 and requirement 4.2.1 since there are several controls that could be justified through a requirement.

    Thanks in advance.

  • Dejan Kosutic

    Hi Sebastian,

    In the Statement of Applicability template that we sell through our webshop those “links” are displayed – for each control it is suggested how to implement it, and for some of them we have ISMS Policy, Corrective and Preventive Actions, Internal Audits etc. Although please be aware that most of the controls you cannot implement with documents from main part of the standard.

    Here is the link: http://www.iso27001standard.com/es/documentacion/Declaracion-de-aplicabilidad

©2010-2012 Dejan Kosutic. Proudly powered by WordPress
Entries (RSS) and Comments (RSS).