Guía práctica para crear la documentación obligatoria y recomendada del Sistema de Gestión de Seguridad de la Información
Documentar un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma ISO/IEC 27001 es uno de los pasos clave para lograr la implementación exitosa y obtener la certificación. Sin embargo, muchas organizaciones se preguntan qué documentos son obligatorios, cuáles son recomendables y cómo deben organizarse para cumplir los requisitos de la norma.
En este artículo te explicaré qué dice ISO 27001 sobre la documentación, qué debes incluir, cómo organizar la estructura documental, y te daré ejemplos y recomendaciones prácticas para que avances de forma segura en tu implementación.
Política de seguridad de la información: ejemplo práctico
¿Qué significa “documentar un SGSI”?
En el contexto de ISO 27001, documentar un SGSI implica desarrollar, mantener y controlar una serie de documentos que evidencian la planificación, ejecución y mejora del sistema de gestión. Estos documentos permiten:
- Garantizar la coherencia operativa.
- Proveer evidencia para auditorías internas y externas.
- Facilitar la capacitación y concientización del personal.
- Establecer responsabilidades y metodologías claras.
¿Qué tipo de documentos exige ISO 27001?
La norma diferencia entre:
- Información documentada obligatoria: Debes tenerla para cumplir los requisitos.
- Información documentada necesaria para la eficacia del sistema: No es obligatoria, pero sí recomendable.
Documentación obligatoria según ISO/IEC 27001:2022
Aquí tienes una lista de los documentos mínimos requeridos:
| Documento | Cláusula o anexo |
| Alcance del SGSI | Cláusula 4.3 |
| Política de seguridad de la información | Cláusula 5.2 |
| Objetivos de seguridad de la información | Cláusula 6.2 |
| Metodología de evaluación de riesgos | Cláusula 6.1.2 |
| Resultados de la evaluación y tratamiento de riesgos | Cláusula 6.1.2 y 6.1.3 |
| Declaración de aplicabilidad (SoA) | Cláusula 6.1.3 |
| Plan de tratamiento de riesgos | Cláusula 6.1.3 |
| Evidencia de la competencia del personal | Cláusula 7.2 |
| Registros de comunicación relevante | Cláusula 7.4 |
| Documentación del control de documentos y registros | Cláusula 7.5 |
| Resultados de la auditoría interna | Cláusula 9.2 |
| Resultados de la revisión por la dirección | Cláusula 9.3 |
| Resultados de acciones correctivas | Cláusula 10.1 |
Documentación recomendada (según buenas prácticas)
Además de lo obligatorio, se recomienda crear:
- Manual del SGSI (no es obligatorio, pero organiza todo el sistema).
- Mapa de procesos del SGSI.
- Políticas específicas: control de accesos, uso aceptable, backups, BYOD, etc.
- Procedimientos operativos: respuesta a incidentes, clasificación de activos, control de cambios.
- Formatos y plantillas: formularios de evaluación de riesgos, listas de verificación.
- Matriz de riesgos y controles.
- Informe de análisis de brechas (gap analysis).
Estructura sugerida para organizar la documentación
Para facilitar la implementación y el mantenimiento, te recomiendo clasificar los documentos en carpetas o módulos temáticos:
- Documentación general
- Manual SGSI (si aplica)
- Alcance del SGSI
- Mapa de procesos
- Manual SGSI (si aplica)
- Gestión de riesgos
- Metodología
- Resultados
- Plan de tratamiento
- Declaración de aplicabilidad (SoA)
- Metodología
- Políticas y procedimientos
- Política de seguridad
- Políticas específicas
- Procedimientos técnicos
- Política de seguridad
- Operación y control
- Registros de monitoreo
- Control de accesos
- Respuesta a incidentes
- Registros de monitoreo
- Evaluación y mejora
- Auditorías
- Revisiones de la dirección
- Acciones correctivas y no conformidades
- Auditorías
- Recursos y soporte
- Competencias y capacitaciones
- Comunicaciones internas
- Control de documentos y registros
- Competencias y capacitaciones
¿Cómo crear estos documentos?
Paso 1: Define una nomenclatura clara
Ejemplo: POL-SEGINFO-001 para políticas, PRO-SEGINFO-002 para procedimientos, REG-SEGINFO-003 para registros.
Paso 2: Usa plantillas consistentes
Todas deben tener: nombre, código, fecha, versión, autor, revisión, aprobación.
Encuentra plantillas perfectas para implementar tu sistema de gestión aquí.
Paso 3: Usa lenguaje claro y alineado al contexto
Evita tecnicismos innecesarios. Los documentos deben ser comprensibles para todos los involucrados.
Paso 4: Control de versiones
Implementa un registro de cambios y políticas para asegurar que todos usen la última versión disponible.
Ejemplo práctico: Procedimiento de gestión de incidentes
Nombre: Procedimiento para la Gestión de Incidentes de Seguridad
Código: PRO-SEGINFO-004
Versión: 1.1
Responsable: Oficial de Seguridad de la Información
Objetivo: Establecer las etapas de identificación, notificación, análisis y resolución de incidentes de seguridad.
Alcance: Todo el personal, sistemas y activos críticos de la empresa.
Etapas:
1. Detección y reporte
2. Clasificación del incidente
3. Análisis y contención
4. Resolución y recuperación
5. Revisión y lecciones aprendidas
Registros asociados:
-Formulario de incidente
-Registro de respuesta
-Informe de cierre
Aprobado por: Gerencia General
Fecha: 20/05/2025
Consejos finales
- No caigas en la trampa de sobre-documentar. Documenta lo que realmente agregue valor.
- Mantén los documentos vivos y actualizados.
- Usa herramientas digitales para control documental (Drive, SharePoint, software SGSI).
- Capacita al personal en la lectura y aplicación de la documentación.
- Involucra a los responsables de procesos en la redacción.
Documentar un SGSI conforme a ISO 27001 no se trata de generar papeles sin sentido, sino de crear una base sólida para proteger la información crítica de tu organización, cumplir con los requisitos normativos y fomentar una cultura de seguridad.
Con una estructura clara, buenas prácticas de redacción y un control efectivo de los documentos, tu empresa estará lista para avanzar hacia la certificación ISO 27001 con confianza.
