Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Cláusula 7: Planificación - ISO 27001

iso27001

La Cláusula 7 asegura que el SGSI cuente con lo necesario para funcionar: recursos, personas competentes, conciencia, comunicación y información documentada bien gestionada. Sin estos elementos, el sistema no se sostiene en la operación diaria.

7.1 Recursos

La organización determina y proporciona los recursos necesarios para establecer, implementar, mantener y mejorar el SGSI.

Incluye personas, tiempo, presupuesto, infraestructura, herramientas, servicios externos y soporte de gestión.

7.2 Competencia

Se determina la competencia necesaria de quienes realizan trabajos bajo control de la organización que afectan la seguridad de la información; se asegura que son competentes por educación, formación o experiencia; se toman acciones para adquirir competencia cuando corresponda y se evalúa la eficacia de dichas acciones.

Se mantiene información documentada como evidencia de competencia.

7.3 Conciencia

Las personas bajo control de la organización deben ser conscientes de:
a) la política de seguridad de la información,
b) su contribución a la eficacia del SGSI (y los beneficios de mejorar el desempeño), y
c) las implicaciones de no conformarse con los requisitos del SGSI.
La conciencia convierte la seguridad en un asunto cotidiano, no solo del equipo de TI.

7.4 Comunicación

Se determinan las comunicaciones internas y externas relevantes para el SGSI, incluyendo:

a) sobre qué comunicar,
b) cuándo comunicar,
c) con quién comunicar, y
d) cómo comunicar.

Una comunicación clara evita ambigüedades y alinea a las áreas involucradas.

7.5 Información documentada

7.5.1 Generalidades

El SGSI incluye:
a) la información documentada requerida por la norma, y
b) la que la organización considere necesaria para la eficacia del SGSI.
La extensión puede variar según tamaño, complejidad y competencia del personal.

7.5.2 Creación y actualización

Al crear/actualizar información documentada se asegura la identificación y descripción (título, fecha, autor, referencia), el formato/medio (idioma, software, papel o electrónico) y la revisión y aprobación para su idoneidad.

7.5.3 Control de la información documentada

La información documentada requerida por el SGSI y por la norma se controla para asegurar que:
a) esté disponible y sea adecuada donde y cuando se necesite, y
b) esté protegida adecuadamente (confidencialidad, uso indebido, integridad).

Para su control se abordan, según corresponda:

  • Distribución, acceso, recuperación y uso.

  • Almacenamiento y preservación, incluyendo legibilidad.

  • Control de cambios (versionado).

  • Retención y disposición.

La información documentada de origen externo, necesaria para planificar/operar el SGSI, se identifica y controla.

Ejemplo breve (integrando 7.1–7.5)

  • 7.1 Recursos: se asigna presupuesto para una plataforma de gestión documental y para formación anual.

  • 7.2 Competencia: el equipo de soporte completa un curso de manejo seguro de datos; se evalúa con práctica guiada.

  • 7.3 Conciencia: campaña trimestral sobre política de seguridad y reporte de incidentes.

  • 7.4 Comunicación: calendario de avisos para cambios de procedimientos y notificaciones de incidentes.

  • 7.5 Información documentada: políticas y procedimientos versionados en repositorio central con control de acceso y retención definida.

Preguntas tipo examen

1. la Clausula 7.2 Competencia requiere que la organización:

A. Contrate siempre personal externo
B. No mantenga registros para evitar burocracia
C. Dependa solo de la experiencia previa
D. Determine competencias necesarias, asegure competencia, tome acciones formativas y evalúe su eficacia

Explicación: 7.2 pide definir competencia, asegurarla y evaluar la eficacia; además, conservar evidencia.
Respuesta: D

2. En 7.5.3 Control de la información documentada, la organización debe:

A. Publicar documentos sin control de cambios
B. Asegurar disponibilidad y protección; gestionar acceso, almacenamiento, control de versiones y retención/disposición
C. Evitar formatos electrónicos
D. Mantener documentos solo en papel

Explicación: 7.5.3 exige control integral del ciclo de vida documental.

Respuesta: B

Cierre

La Cláusula 7 pone el soporte operativo del SGSI: asegura recursos, personas preparadas, cultura de conciencia, comunicación efectiva y documentos controlados. Con este andamiaje, el sistema puede funcionar y mejorar de forma sostenida.

Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 malware osint owasp phishing