Al redactar las políticas y procedimientos para ISO 27001, es fácil caer en el error de tomar como base el documento de otra organización, o simplemente utilizar puntos comunes que nos lleven a obtener un documento carente de personalidad.
De esta forma, no se reflejarán las necesidades reales de la organización con respecto a esta norma y es posible que el documento termine almacenado en un estante olvidado del archivo.
Para que esto no suceda, podemos seguir 7 pasos para implementar políticas y procedimientos para ISO 27001, que también pueden ser útiles para la redacción del documento sobre política y procedimientos en otros estándares de ISO.
Pasos para implementar políticas y procedimientos para ISO 27001
Los 7 pasos que presentamos hoy para implementar políticas y procedimientos para ISO 27001 resultan igualmente válidos en organizaciones públicas como privadas, grandes o pequeñas, o con fin lucrativo o sin él. Comencemos con ellos:
1. Conocer los requisitos de la norma
El conocimiento de la norma es esencial. De acuerdo con lo que ISO 27001 solicita, debemos establecer si existe alguna legislación que exija documentar algo, o tal vez esta exigencia esté planteada en algún contrato con un cliente o proveedor. También es posible que exista algún tipo de estándar corporativo que deba ser considerado.
2. Tener en cuenta la evaluación de riesgos de la organización
La evaluación de riesgos determina los temas que se abordarán en las políticas y procedimientos para ISO 27001. También nos indica cómo debemos clasificar la información, si se hará de acuerdo con la confidencialidad, y de ser así, cuántos niveles se utilizarán.
3. Determinar el número de documentos a utilizar
Es más fácil gestionar un solo documento, aunque este sea de una extensión amplia, que varios de una sola página. Los beneficios de contar con un único documento se aprecian con mayor claridad cuando consideramos que el número de lectores objetivos va a ser el mismo.
También es importante alinear el documento con la información ya existente. Si uno o varios de los temas tratados en las políticas y procedimientos para ISO 27001 ya fueron examinados en otros documentos, lo mejor es hacer referencia a esa información y no consumir tiempo y espacio en tratarlo nuevamente.
4. La estructura del documento
Antes de iniciar la redacción es preciso verificar si existen normas corporativas sobre el formato y la estructura de los documentos. Esto incluye comprobar los procedimientos sobre aprobación, distribución y revisión de documentos.
5. Redactar el documento
Llegó la hora de escribir el documento sobre políticas y procedimientos para ISO 27001. Por norma general, la extensión del documento será directamente proporcional al tamaño y a la complejidad de la organización. No está de más involucrar a algunos empleados clave en el sistema en este punto. Esto permitirá socializar el documento y facilitar su aceptación, antes de que sea aprobado.
6. La aprobación del documento
Aunque es un paso apenas obvio, no por ello deja de ser importante. Después de todo, si el documento no ha sido redactado por un miembro de la Alta Dirección, (lo cual no suele ocurrir por ejemplo si hay un Director de Seguridad de la Información), sin aprobación será muy difícil que se cumpla lo que se ha plasmado en él.
7. Capacitar y sensibilizar a los empleados
Este es un paso muy importante, que suele ser dejado de lado. A los empleados no les gustan los cambios, y mucho menos cuando no los entienden. Por lo tanto, es preciso identificar las necesidades de formación, especialmente en lo relacionado directamente con la norma ISO 27001. Si los empleados conocen la norma y la comprenden, si se les explican los motivos y las ventajas de la política y los procedimientos establecidos, resultará mucho más fácil que acepten la implementación de nuevas actividades.
Tomado de: https://www.escuelaeuropeaexcelencia.com