Prompts para informes y documentación de ISO 27001
Resumen
Accederá a prompts exhaustivos para crear la documentación de ISO 27001 e informes de gestión utilizando ISMS Copilot, desde la documentación obligatoria del SGSI hasta cuadros de mando ejecutivos que demuestran la eficacia del programa de seguridad.
A quién va dirigido
Estos prompts están diseñados para:
Equipos de cumplimiento que construyen bibliotecas de documentación de ISO 27001
Gerentes de seguridad que crean informes ejecutivos y cuadros de mando
Consultores que desarrollan paquetes de documentación para clientes
Organizaciones que preparan evidencias para reuniones de revisión por la dirección
Antes de comenzar
El desarrollo de la documentación es más efectivo cuando se mantiene el contexto en un espacio de trabajo de ISO 27001 dedicado. Cargue su evaluación de riesgos, políticas y detalles de implementación para generar documentación que refleje fielmente su SGSI real.
Consejo profesional: ISO 27001:2022 requiere información documentada específica. Utilice estos prompts para asegurarse de crear toda la documentación obligatoria, evitando al mismo tiempo documentación innecesaria que añade carga de trabajo sin aportar valor.
Prompts para documentación obligatoria del SGSI
Crear declaración de alcance del SGSI (Cláusula 4.3)
"Escribe una declaración de alcance del SGSI para ISO 27001:2022 Cláusula 4.3. Incluye: límites del alcance (unidades de negocio, ubicaciones, sistemas, procesos incluidos), exclusiones específicas con justificación, interfaces y dependencias con áreas excluidas, fundamentos para la definición del alcance alineados con el negocio, cuestiones externas e internas consideradas (del análisis de contexto), partes interesadas y sus requisitos abordados, y aplicabilidad del alcance a la infraestructura física y en la nube. Asegúrate de que el alcance sea específico, medible y auditable para [descripción de la organización]."
Ejemplo: "Escribe una declaración de alcance del SGSI para una empresa fintech con 150 empleados en oficinas de la UE y EE. UU. El alcance incluye: plataforma de pagos de cara al cliente, sistemas internos, infraestructura en la nube (AWS), pero excluye el desarrollo de productos físicos y las asociaciones minoristas."
Documentar el contexto y las partes interesadas (Cláusula 4.1-4.2)
"Crea la documentación del contexto del SGSI para ISO 27001:2022 Cláusulas 4.1-4.2. Documenta: cuestiones externas que afectan a la seguridad de la información (panorama regulatorio, amenazas competitivas, tendencias tecnológicas, riesgos de la cadena de suministro), cuestiones internas (estrategia de negocio, cultura organizacional, limitaciones de recursos, sistemas heredados), partes interesadas (clientes, reguladores, empleados, proveedores, socios, accionistas), requisitos de las partes interesadas (expectativas de seguridad, obligaciones de cumplimiento, compromisos contractuales) y cómo el alcance del SGSI aborda estos contextos. Preséntalo como un informe de análisis de contexto."
Definir roles y responsabilidades (Cláusula 5.3)
"Documenta los roles y responsabilidades organizacionales para el SGSI según ISO 27001:2022 Cláusula 5.3. Crea: estructura de gobernanza del SGSI (líneas de reporte, comités), definiciones de roles con responsabilidades de seguridad (dirección ejecutiva, CISO/equipo de seguridad, operaciones de TI, RR. HH., legal, unidades de negocio, todos los empleados), autoridad y rendición de cuentas para cada rol, matriz RACI para actividades clave del SGSI (evaluación de riesgos, implementación de controles, respuesta a incidentes, auditorías, revisión por la dirección) e integración con la estructura organizacional general. Asegúrate de que la rendición de cuentas de la dirección sea clara."
Documentar la metodología de evaluación de riesgos (Cláusula 6.1.2)
"Crea la documentación de la metodología de evaluación de riesgos para ISO 27001:2022 Cláusula 6.1.2. Incluye: enfoque y principios de la evaluación de riesgos, metodología de identificación de activos, enfoque de análisis de amenazas y vulnerabilidades, criterios de riesgo (escala de probabilidad con definiciones, escala de impacto en múltiples dimensiones, matriz de evaluación de riesgos y umbrales de aceptación), metodología de cálculo de riesgos (fórmula, cualitativa vs. cuantitativa), frecuencia y disparadores de la evaluación de riesgos, roles y responsabilidades, y cómo la metodología garantiza resultados consistentes, repetibles y comparables. Asegúrate de documentar la metodología antes de realizar la evaluación de riesgos real."
Crear Declaración de Aplicabilidad (Cláusula 6.1.3d)
"Genera una Declaración de Aplicabilidad (SoA) para ISO 27001:2022 que cubra los 93 controles del Anexo A. Para cada control: número y título del control, estado de aplicabilidad (Aplicable, No Aplicable, Parcialmente Aplicable), justificación basada en la evaluación de riesgos (referencia a IDs de riesgo específicos), estado y enfoque de implementación, propietario responsable, evidencia disponible para verificación de auditoría y justificación de exclusión para controles no aplicables. Organízalo por temas del Anexo A (Organizativo, Personas, Físico, Tecnológico). Asegúrate de que cada decisión sobre los controles esté claramente justificada."
Documentar objetivos de seguridad (Cláusula 6.2)
"Define y documenta los objetivos de seguridad de la información para ISO 27001:2022 Cláusula 6.2. Para cada objetivo: resultado de seguridad específico a lograr, alineación con los objetivos de negocio y el tratamiento de riesgos, criterios medibles y valores objetivo (KPIs), recursos requeridos, propietario responsable, cronograma para su consecución, enfoque de seguimiento y medición, y frecuencia de reporte. Asegúrate de que los objetivos sean SMART (Específicos, Medibles, Alcanzables, Relevantes, con Plazo determinado) y aborden áreas de riesgo clave identificadas en la evaluación de riesgos."
Prompts para la documentación del sistema de gestión
Crear manual o resumen del SGSI
"Escribe un Manual del SGSI que proporcione una visión general de nuestro sistema de gestión de seguridad de la información. Incluye: propósito y alcance del SGSI, contexto organizacional y partes interesadas, estructura de gobernanza del SGSI, declaración de alcance, política de seguridad de la información, enfoque de gestión de riesgos, visión general del marco de controles, estructura de documentación y referencias, roles y responsabilidades, y ciclo de vida del SGSI (Planificar-Hacer-Verificar-Actuar). Público objetivo: dirección, auditores y partes interesadas que necesiten una visión general del SGSI. Extensión: 10-15 páginas."
Diseñar sistema de control de documentos (Cláusula 7.5)
"Crea un procedimiento de control de documentos y registros para ISO 27001:2022 Cláusula 7.5. Define: categorías y clasificación de documentos, ciclo de vida del documento (creación, revisión, aprobación, distribución, revisión, archivo, eliminación), control de versiones y seguimiento de cambios, autoridades de aprobación de documentos por tipo de documento, distribución de documentos y controles de acceso, calendarios y disparadores de revisión, períodos de retención de registros por tipo de registro, almacenamiento y protección de registros, y sistema de gestión de documentos o repositorio. Asegúrate de que los documentos controlados sean identificables y estén protegidos contra cambios no autorizados."
Crear registros de competencia y concienciación (Cláusula 7.2-7.3)
"Crea un sistema de documentación para competencia y concienciación según ISO 27001:2022 Cláusulas 7.2-7.3. Documenta: requisitos de competencia para los puestos de trabajo (educación, experiencia, habilidades, formación), registros de evaluación y verificación de competencias, planes de formación y planes de estudio, registros de finalización de formación, evidencia del programa de concienciación sobre seguridad, medición de la efectividad de la concienciación, brechas de competencia y planes de desarrollo, y verificación de la competencia de contratistas/terceros. Asegúrate de poder demostrar la competencia adecuada para todos los roles del SGSI."
Prompts para documentación operativa
Crear documentos de planificación operativa (Cláusula 8.1)
"Desarrolla la documentación de planificación y control operacional para ISO 27001:2022 Cláusula 8.1. Crea: plan de proyecto de implementación del SGSI (fases, hitos, recursos), hoja de ruta de implementación de controles, plan de tratamiento de riesgos con plazos y propietarios, asignación de recursos (presupuesto, personal, herramientas), integración con los procesos de negocio, criterios de desempeño y aceptación, y enfoque de gestión de cambios para el despliegue del SGSI. Asegúrate de que los planes aborden cómo alcanzar los objetivos de seguridad e implementar el tratamiento de riesgos."
Documentar la implementación de controles
"Crea una plantilla estandarizada de documentación para la implementación de controles. Para cada control del Anexo A implementado, documenta: objetivo y requisito del control, enfoque de implementación (cómo cumplimos el requisito), detalles técnicos y operativos, sistemas y herramientas involucrados, roles y responsabilidades, procedimientos operativos, seguimiento y medición, artefactos de evidencia, fecha de implementación y limitaciones o desviaciones conocidas con controles compensatorios. Utiliza esta plantilla para documentar los 93 controles del Anexo A de forma consistente."
Construir biblioteca de guías operativas (runbooks)
"Crea runbooks operativos para operaciones de seguridad que cubran los controles de ISO 27001. Para el proceso [ej. 'aprovisionamiento de acceso de usuario', 'respuesta ante incidentes', 'restauración de copias de seguridad'], incluye: resumen del proceso y disparador, instrucciones paso a paso con puntos de decisión, roles y responsabilidades, herramientas y acceso al sistema requeridos, plazos esperados y SLAs, comprobaciones de calidad y verificación, procedimientos de escalada, guía de resolución de problemas, procesos relacionados y traspasos, y documentos/registros a mantener. Formato para que los equipos operativos los ejecuten de forma consistente."
Prompts para documentación de gestión de riesgos
Crear registro de riesgos
"Genera un registro de riesgos exhaustivo para ISO 27001:2022. Incluye columnas para: ID del Riesgo, Activo Afectado, Propietario del Activo, Descripción de la Amenaza, Vulnerabilidad, Controles Existentes, Probabilidad (1-5 con justificación), Impacto (1-5 con justificación), Puntuación de Riesgo Inherente, Opción de Tratamiento (mitigar/evitar/transferir/aceptar), Controles Seleccionados (referencias del Anexo A), Estado de Implementación, Puntuación de Riesgo Residual, Propietario del Riesgo, Fecha de Revisión y Estado de Aprobación. Rellénalo con los riesgos identificados en nuestra evaluación de riesgos para [organización/alcance]. Incluye estadísticas resumidas y aspectos destacados de alto riesgo."
Documentar plan de tratamiento de riesgos
"Crea un plan de tratamiento de riesgos que documente cómo abordaremos los riesgos identificados según ISO 27001:2022 Cláusula 6.1.3. Para cada riesgo que requiera tratamiento: descripción del riesgo y puntuación actual, opción de tratamiento seleccionada con justificación, controles específicos a implementar (referencia a controles del Anexo A), enfoque de implementación e hitos, propietario responsable y recursos necesarios, fecha prevista de finalización, riesgo residual esperado, criterios de éxito y firmas de aprobación. Organízalo por prioridad, situando primero los riesgos críticos y altos. Incluye un resumen ejecutivo de la estrategia de tratamiento y los requisitos de recursos."
Construir registro de aceptación de riesgos
"Crea un registro de aceptación de riesgos para aquellos que decidamos aceptar en lugar de tratar. Para cada riesgo aceptado: descripción y puntuación del riesgo, justificación de negocio para la aceptación (por qué no se realiza el tratamiento), confirmación de que el riesgo está dentro del umbral de apetito de riesgo, controles compensatorios o seguimiento establecido, condiciones que activarían una reevaluación, aprobación de la aceptación (qué directivos aprobaron y cuándo), período de validez de la aceptación (cuándo revisar) y posibles consecuencias aceptadas. Asegúrate de que todas las aceptaciones tengan la autorización correspondiente de la dirección."
Prompts para documentación de desempeño y seguimiento
Definir métricas de desempeño del SGSI (Cláusula 9.1)
"Diseña un marco de seguimiento y medición del SGSI para ISO 27001:2022 Cláusula 9.1. Define: qué medir (objetivos de seguridad, eficacia de los controles, desempeño de los procesos), cómo medir (métricas, KPIs, métodos de medición), cuándo medir (frecuencia, momento), quién mide (roles responsables), cómo analizar (tendencias, umbrales, comparativas), cómo reportar (cuadros de mando, informes, revisión por la dirección) y disparadores de acciones correctivas. Crea una biblioteca de métricas que cubra: tendencias de riesgo, métricas de incidentes, gestión de vulnerabilidades, control de acceso, éxito de copias de seguridad, finalización de formación, hallazgos de auditoría y eficacia de los controles."
Crear cuadro de mando de KPIs
"Diseña un cuadro de mando de KPIs de seguridad para informes ejecutivos. Incluye categorías de métricas: Postura de Seguridad (tendencias de puntuación de riesgo, estado de implementación de controles, hallazgos de auditoría), Desempeño Operativo (tiempo de respuesta a incidentes, tiempo de remediación de vulnerabilidades, tasa de éxito de copias de seguridad, cumplimiento de parches), Estado de Cumplimiento (finalización de formación, aceptación de políticas, revisiones de acceso completadas), Gestión de Amenazas (eventos de seguridad, detecciones de amenazas, ataques bloqueados) e Impacto en el Negocio (incidentes de seguridad que causan tiempo de inactividad, riesgo de violación de datos, estado de cumplimiento regulatorio). Para cada métrica: valor actual, objetivo, tendencia e indicador de estado (rojo/amarillo/verde)."
Documentar programa de auditoría interna (Cláusula 9.2)
"Crea la documentación del programa de auditoría interna para ISO 27001:2022 Cláusula 9.2. Incluye: objetivos y alcance de la auditoría (todas las áreas del SGSI a lo largo del ciclo de auditoría), calendario anual de auditorías, criterios de auditoría (requisitos de ISO 27001:2022), requisitos de selección e independencia del auditor, metodología de auditoría (entrevistas, revisión de documentos, pruebas técnicas, muestreo), proceso de planificación de la auditoría, procedimientos de ejecución de la auditoría, calificación de no conformidades (mayor, menor, observación), formato y distribución de informes de auditoría, seguimiento de acciones correctivas, procedimientos de auditoría de seguimiento y requisitos de competencia del auditor."
Crear plantilla de informe de auditoría
"Diseña una plantilla de informe de auditoría interna para auditorías de cumplimiento de ISO 27001. Incluye secciones para: resumen ejecutivo (evaluación general, hallazgos clave, conclusión), detalles de la auditoría (alcance, criterios, fecha, auditores, auditados), metodología de auditoría, áreas revisadas con hallazgos, conformidades y buenas prácticas observadas, no conformidades por gravedad con evidencia, observaciones y recomendaciones, requisitos de acciones correctivas, conclusión y opinión sobre la eficacia del SGSI y lista de distribución. Asegúrate de que los informes comuniquen claramente el estado de cumplimiento y las acciones requeridas."
Prompts para documentación de revisión por la dirección
Crear agenda de revisión por la dirección (Cláusula 9.3)
"Diseña una agenda de reunión de revisión por la dirección para ISO 27001:2022 Cláusula 9.3 que cubra todas las entradas y salidas requeridas. Puntos de la agenda: estado de las acciones de revisiones por la dirección anteriores, cambios en cuestiones externas e internas, comentarios sobre el desempeño del SGSI (métricas, KPIs), logro de los objetivos de seguridad de la información, resultados del tratamiento y evaluación de riesgos, resultados de auditorías (internas y externas), no conformidades y acciones correctivas, resultados de seguimiento y medición, comentarios de las partes interesadas, oportunidades de mejora, adecuación de los recursos y cambios necesarios en el SGSI. Asigna tiempo para cada punto y especifica los presentadores y materiales requeridos."
Preparar paquete de revisión por la dirección
"Crea un paquete de presentación para la revisión por la dirección del [trimestre/período]. Incluye: resumen ejecutivo del estado del SGSI, cuadro de mando de métricas de seguridad (tendencias de los últimos 12 meses), hitos y éxitos clave, resumen de auditorías internas y estado de hallazgos, resultados de auditorías externas (si procede), cambios en la evaluación de riesgos (nuevos riesgos, cambios en la puntuación de riesgo), resumen de incidentes de seguridad y lecciones aprendidas, estado de implementación de controles, progreso de los objetivos de seguridad, estado de cumplimiento (regulatorio, contractual), necesidades de recursos y presupuesto, iniciativas de mejora propuestas y decisiones requeridas por parte de la dirección. Objetivo: presentación de 30-45 minutos."
Documentar resultados de la revisión por la dirección
"Crea el acta de la reunión de revisión por la dirección documentando los resultados según ISO 27001:2022 Cláusula 9.3. Registra: fecha de la reunión y asistentes, puntos de la agenda revisados, discusiones clave y preocupaciones planteadas, decisiones de la dirección sobre la mejora del SGSI, decisiones sobre la adecuación de los recursos, decisiones sobre cambios en los objetivos de seguridad, decisiones sobre cambios en el alcance o la política del SGSI, oportunidades de mejora aprobadas, elementos de acción asignados con propietarios y plazos, y firmas de aprobación. Asegúrate de que el acta demuestre el compromiso de la dirección y la mejora continua."
Prompts para documentación de incidentes y problemas
Crear plantilla de registro de incidentes
"Diseña una plantilla de registro de incidentes de seguridad para los controles de ISO 27001:2022 A.5.24-A.5.28. Incluye campos para: ID del incidente y clasificación, fecha/hora y fuente de detección, descripción del incidente y sistemas/datos afectados, nivel de gravedad y evaluación de impacto, equipo de respuesta a incidentes y roles, acciones de contención tomadas, pasos de erradicación, acciones de recuperación, evidencia recolectada, análisis de causa raíz, lecciones aprendidas, medidas preventivas, registro de comunicaciones (a quién se notificó y cuándo), reporte regulatorio (si es necesario), fecha de cierre del incidente y aprobación, y finalización de la revisión post-incidente. Asegúrate de que la plantilla soporte el cumplimiento de los requisitos de notificación de brechas."
Construir registro de gestión de problemas
"Crea un registro de gestión de problemas para rastrear problemas recurrentes y debilidades sistémicas. Para cada problema: ID y descripción del problema, incidentes relacionados (IDs de incidentes), análisis de causa raíz, sistemas y procesos afectados, soluciones temporales o alternativas, solución permanente propuesta, prioridad e impacto, propietario y estado, fecha de resolución prevista y enfoque de verificación. Utiliza la gestión de problemas para identificar patrones que requieran mejoras sistémicas en lugar de solucionar repetidamente los síntomas."
Prompts para documentación de cambios y lanzamientos
Documentar registros de control de cambios
"Crea una plantilla de registro de cambios para el control A.8.32 de ISO 27001:2022. Incluye: ID del cambio y solicitante, descripción y justificación del cambio, sistemas afectados, categoría del cambio (estándar, normal, emergencia), evaluación de riesgos (impacto, probabilidad, mitigación), flujo de aprobación y aprobadores, plan e itinerario de implementación, requisitos de prueba, plan de reversión, resultados de la implementación, revisión post-implementación y cambios relacionados o dependencias. Asegúrate de que los registros de cambios proporcionen una pista de auditoría de todos los cambios que afecten al SGSI."
Construir documentación de lanzamiento
"Crea un paquete de documentación de lanzamiento para cambios significativos en el sistema. Incluye: resumen y objetivos del lanzamiento, funciones y cambios incluidos, evaluación de implicaciones de seguridad, pruebas realizadas (funcionales, de seguridad, de desempeño), plan y cronograma de despliegue, procedimientos de reversión, problemas y limitaciones conocidos, comunicación y formación a usuarios, plan de soporte y criterios de éxito. Asegura las pruebas de seguridad y la aprobación antes del lanzamiento a producción."
Prompts para documentación legal y de cumplimiento
Crear registro de obligaciones de cumplimiento
"Construye un inventario de obligaciones de cumplimiento para el control A.5.31 de ISO 27001:2022. Documenta: requisitos legales (leyes de protección de datos, notificación de brechas, regulaciones sectoriales), requisitos regulatorios (GDPR, HIPAA, PCI DSS, SOX), obligaciones contractuales (requisitos de seguridad del cliente, SLAs), compromisos organizacionales (certificaciones, declaraciones públicas); para cada uno: descripción y fuente, aplicabilidad (qué sistemas/procesos), propietario responsable, método de verificación del cumplimiento, evidencia de cumplimiento, fecha y resultado de la última evaluación, y fecha de la próxima revisión. Asegúrate de cubrir exhaustivamente todas las obligaciones."
Documentar actividades de procesamiento de datos (GDPR Artículo 30)
"Crea un Registro de Actividades de Tratamiento (RoPA) según el Artículo 30 del GDPR y el control A.5.33 de ISO 27001:2022. Para cada actividad de tratamiento: fin del tratamiento, categorías de datos tratados (tipos de datos personales), categorías de interesados, destinatarios o categorías de destinatarios, transferencias internacionales (mecanismo, países), plazos de conservación, medidas de seguridad técnicas y organizativas, y base legal del tratamiento. Mantén actualizado el RoPA como documentación requerida que demuestre el cumplimiento del GDPR y la privacidad desde el diseño."
Construir registro de brechas de datos
"Crea un registro de brechas de datos para el cumplimiento del GDPR y el control A.5.26 de ISO 27001:2022. Para cada brecha o sospecha de brecha: ID de la brecha y fecha de descubrimiento, descripción de la brecha y datos afectados, número de interesados afectados, evaluación de la brecha (¿se debe informar a la autoridad?, ¿notificar a los interesados?), cronograma de notificación (a la autoridad en 72 horas, a los individuos sin dilación indebida), notificaciones enviadas y fechas, acciones de respuesta a la brecha, causa raíz, medidas preventivas, número de caso de la autoridad de control y retención del registro de la brecha (mínimo 3 años bajo el GDPR). Incluso las brechas que no requieren notificación deben documentarse."
Prompts para documentación de contratos y proveedores
Crear inventario de proveedores
"Construye un inventario de proveedores y terceros para los controles A.5.19-A.5.23 de ISO 27001:2022. Para cada proveedor: nombre y contacto del proveedor, servicios prestados, nivel de acceso a datos (ninguno, limitado, extenso), acceso al sistema proporcionado, clasificación de riesgo (alto/medio/bajo), detalles del contrato (fecha de inicio, fecha de renovación, términos), fecha y resultados de la evaluación de seguridad, certificaciones (ISO 27001, SOC 2), cobertura de seguro, fecha de la última revisión, estado de cumplimiento y contactos de escalada. Mantén el inventario actualizado para la gestión de riesgos de terceros."
Documentar evaluaciones de proveedores
"Crea documentación de evaluación de seguridad de proveedores. Para el proveedor [nombre], documenta: fecha y metodología de evaluación, respuestas al cuestionario, evidencia revisada (políticas, informe SOC 2, certificado ISO, resultados de pruebas de penetración), evaluación de controles de seguridad por categoría (control de acceso, cifrado, respuesta a incidentes, continuidad de negocio), riesgos y brechas identificados, acciones de remediación requeridas, controles compensatorios si se aceptan brechas, calificación de riesgo general, conclusión de la evaluación (aprobar/aprobar con condiciones/rechazar), firmas de aprobación y fecha de la próxima evaluación. Consérvalo como evidencia de auditoría."
Prompts para documentación de formación y concienciación
Crear plan de formación
"Diseña un plan de formación de concienciación sobre seguridad para el control A.6.3 de ISO 27001:2022. Incluye: formación base de concienciación sobre seguridad (temas: seguridad de contraseñas, phishing, ingeniería social, uso aceptable, reporte de incidentes, seguridad física, clasificación de datos, seguridad en el trabajo remoto), itinerarios de formación basados en roles (desarrolladores: codificación segura; administradores: acceso privilegiado; gerentes: liderazgo en seguridad; todo el personal: concienciación), métodos de impartición de la formación (e-learning, dirigida por instructor, vídeos), duración y frecuencia de la formación, métodos de evaluación (cuestionarios, certificaciones) y medición de la eficacia de la formación."
Construir sistema de registros de formación
"Crea un sistema de gestión de registros de formación. Realiza el seguimiento para cada empleado de: ID y nombre del empleado, puesto de trabajo, formación requerida (basada en el rol), formación completada (nombre del curso, fecha, puntuación), estado de la formación (al día, vencida, próxima), fechas de vencimiento de las certificaciones, asignaciones de formación correctiva (por pruebas de phishing fallidas, violaciones de políticas) y confirmaciones de formación recibida. Genera informes sobre: cumplimiento de formación por departamento, formación vencida, próximas renovaciones y métricas de eficacia (puntuaciones previas/posteriores a la prueba, resiliencia al phishing)."
Prompts para informes ejecutivos y comunicación
Crear informe de seguridad mensual
"Diseña un informe de seguridad mensual para el liderazgo ejecutivo. Incluye secciones: resumen ejecutivo (aspectos destacados del mes, preocupaciones clave, acciones necesarias), cuadro de mando de métricas de seguridad (incidentes, vulnerabilidades, cumplimiento), actualizaciones de riesgos (nuevos riesgos, cambios en puntuación de riesgo, progreso del tratamiento de riesgos), incidentes de seguridad y respuesta, aspectos destacados de inteligencia de amenazas, estado de implementación de controles, estado de cumplimiento (certificaciones, auditorías, regulaciones), iniciativas y proyectos de seguridad, estado de presupuesto y recursos, y áreas de enfoque futuras. Mantén una extensión de 3-5 páginas con visualizaciones."
Generar sesión informativa de seguridad para la junta directiva
"Crea una sesión informativa de seguridad trimestral para la junta directiva. Incluye: panorama de ciberriesgos para nuestra industria, evaluación de la postura de seguridad organizacional, inversiones clave en seguridad y ROI, incidentes importantes y lecciones aprendidas, estado regulatorio y de cumplimiento, riesgos de terceros y de la cadena de suministro, estrategia y hoja de ruta de seguridad, requisitos de recursos y presupuesto, amenazas emergentes y preparación, y recomendaciones estratégicas que requieran la opinión o aprobación de la junta. Céntrate en el riesgo de negocio y las decisiones estratégicas, minimizando la jerga técnica. Objetivo: presentación de 15-20 minutos."
Diseñar comunicación con las partes interesadas
"Crea un plan de comunicación de seguridad para diferentes grupos de partes interesadas. Para los interesados (liderazgo ejecutivo, empleados, clientes, socios, reguladores), define: objetivos de comunicación, mensajes clave, frecuencia de comunicación, canales de comunicación, información a compartir frente a información a reservar, disparadores de escalada para comunicaciones urgentes y plantillas de comunicación (boletines de seguridad, notificaciones de incidentes, actualizaciones de políticas, campañas de concienciación). Asegura mensajes consistentes y apropiados para cada audiencia."
Prompts para documentación de mejora continua
Crear registro de mejoras (Cláusula 10)
"Construye un registro de mejora continua para la Cláusula 10 de ISO 27001:2022. Rastrea: descripción y fuente de la oportunidad de mejora (hallazgo de auditoría, lección de incidente, evaluación de riesgos, comentarios de empleados, análisis de métricas), caso de negocio y beneficios esperados, prioridad y estimación de esfuerzo, propietario asignado, plan de implementación, estado, fecha de finalización, verificación de eficacia y lecciones aprendidas. Utiliza el registro para demostrar un enfoque sistemático para la mejora del SGSI y rastrear desde la identificación hasta la implementación y verificación."
Documentar el proceso de acciones correctivas
"Crea un procedimiento de acción correctiva y un sistema de seguimiento para la Cláusula 10.1 de ISO 27001:2022. Para cada no conformidad: descripción y evidencia de la no conformidad, fuente (auditoría, incidente, revisión), requisito ISO no cumplido, impacto y riesgo, análisis de causa raíz (5 porqués, espina de pescado), corrección inmediata (solucionar el síntoma), acción correctiva (abordar la causa raíz), plan de implementación y propietario, fecha prevista de finalización, método de verificación de eficacia, seguimiento del estado y aprobación del cierre. Asegúrate de que las acciones correctivas eviten la recurrencia, no solo que solucionen los síntomas."
Consejos para usar estos prompts eficazmente
Documente lo que hace, haga lo que documenta: Asegúrese de que la documentación refleje las prácticas reales. Los auditores verifican que la implementación coincida con la documentación. Documente primero la realidad, luego mejore y actualice la documentación para que coincida.
Cree plantillas, no documentos individuales: Utilice los prompts para crear plantillas reutilizables (registro de riesgos, registro de incidentes, informe de auditoría) y luego complete las plantillas con datos reales. Esto garantiza la coherencia y ahorra tiempo.
Construya la documentación gradualmente: No intente crear toda la documentación a la vez. Comience con los elementos obligatorios (alcance, evaluación de riesgos, SoA) y luego amplíe a la documentación operativa a medida que se implementen los controles.
Evite la sobrecarga de documentación: ISO 27001:2022 requiere menos documentación que la versión de 2013. Céntrese en lo que es obligatorio y en lo que es necesario para el funcionamiento de los controles. El exceso de documentación crea una carga de mantenimiento sin aportar valor de cumplimiento.
Realice versiones y apruebe adecuadamente: No todos los documentos necesitan una aprobación formal. El alcance, las políticas y la SoA requieren la aprobación de la dirección. Los procedimientos operativos pueden requerir la aprobación del propietario técnico. Es posible que las plantillas y los formularios no necesiten aprobación en absoluto.
Bibliotecas de prompts relacionadas
Complete su implementación de ISO 27001 con estas colecciones de prompts relacionadas:
Obtener ayuda
Para obtener ayuda con la documentación y los informes:
Comprender los requisitos: Revise Cómo realizar una evaluación de riesgos de ISO 27001 mediante IA para ver qué documentación surge de la evaluación de riesgos.
Crear contenido consistente: Utilice los prompts de políticas y procedimientos para obtener una documentación alineada.
Usar la IA de forma responsable: Lea Cómo usar ISMS Copilot de forma responsable para el desarrollo de documentación.
¿Listo para crear su documentación? Abra su espacio de trabajo de ISO 27001 en chat.ismscopilot.com y comience con la documentación obligatoria utilizando los prompts anteriores.