U2.3 Documentación del SGSI

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos:

  • Alcance del SGSI
  • Política y objetivos de seguridad
  • Procedimientos y mecanismos de control que soportan al SGSI
  • Informe de evaluación de riesgos
  • Plan de tratamiento de riesgos.
  • Procedimientos documentados.
  • Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.
  • Declaración de aplicabilidad: (SOA -Statement of Applicability-, ISO/IEC 27002).