Indicaciones para políticas y procedimientos de ISO 27001
Descripción general
Accederá a indicaciones listas para usar con el fin de crear políticas y procedimientos de ISO 27001 listos para auditoría utilizando ISMS Copilot, cubriendo desde políticas de seguridad de alto nivel hasta procedimientos operativos detallados que demuestran la implementación de los controles del Anexo A.
A quién va dirigido
Estas indicaciones están diseñadas para:
Equipos de cumplimiento que redactan documentación ISO 27001 desde cero
Profesionales de seguridad que actualizan sus políticas a ISO 27001:2022
Consultores que crean documentación a medida para sus clientes
Organizaciones que preparan su Declaración de Aplicabilidad (SoA)
Antes de comenzar
El desarrollo de políticas y procedimientos funciona mejor en un espacio de trabajo de ISO 27001 dedicado. Cargue sus políticas existentes o los resultados de su evaluación de riesgos para proporcionar contexto y obtener resultados más relevantes y personalizados.
Consejo profesional: Comience primero con las políticas de alto nivel y luego cree los procedimientos de apoyo. Este enfoque de arriba hacia abajo garantiza que los procedimientos se alineen con los objetivos de la política y aclara la trazabilidad de la auditoría.
Indicaciones para la política de seguridad de la información
Crear una política de seguridad integral
"Escribe una Política de Seguridad de la Información integral para una organización del sector [industria] con [número] empleados que cumpla con la cláusula 5.2 de la norma ISO 27001:2022. Incluye secciones para: propósito y alcance, declaración de política y objetivos de seguridad, roles y responsabilidades (dirección, empleados, TI), requisitos de cumplimiento (legales, reglamentarios, contractuales), consecuencias del incumplimiento, proceso de revisión y actualización de la política, y fecha de aprobación/entrada en vigor. Público objetivo: todos los empleados. Tono: claro, autoritario, accesible para lectores no técnicos".
Ejemplo: "Escribe una Política de Seguridad de la Información integral para una organización SaaS del sector fintech con 120 empleados que cumpla con la cláusula 5.2 de la norma ISO 27001:2022. Incluye nuestros requisitos reglamentarios específicos: PCI-DSS, SOC 2, GDPR. Dirígete a nuestro público diverso, que incluye desarrolladores, atención al cliente y ejecutivos".
Definir objetivos de seguridad alineados con el negocio
"Define objetivos de seguridad de la información medibles para ISO 27001:2022 que se alineen con nuestros objetivos de negocio: [enumerar 3-5 objetivos de negocio]. Para cada objetivo, proporciona: resultado de seguridad específico, criterios medibles (KPI), valores objetivo, cronograma, responsable y cómo apoya los objetivos de negocio y la reducción de riesgos".
Crear política de uso aceptable
"Redacta una Política de Uso Aceptable que cubra el uso de los recursos de TI por parte de los empleados, incluyendo: usos permitidos de los sistemas y datos de la empresa, actividades prohibidas (ejemplos específicos), límites del uso personal, pautas de uso de correo electrónico e internet, políticas de redes sociales, requisitos de trabajo remoto, reglas de BYOD (Traiga su propio dispositivo), expectativas de monitoreo y privacidad, y consecuencias de las infracciones. Cumplimiento con el control de ISO 27001:2022 A.5.10 Uso aceptable de la información y otros activos asociados".
Desarrollar política de clasificación de datos
"Crea una Política de Clasificación y Manejo de Datos que defina los niveles de clasificación: [enumera tus niveles, ej., Público, Interno, Confidencial, Restringido]. Para cada nivel: proporciona una definición clara y ejemplos, especifica requisitos de manejo (almacenamiento, transmisión, eliminación), define requisitos de control de acceso, establece requisitos de cifrado, enumera periodos de retención y describe las obligaciones de notificación de brechas. Alineada con el control de ISO 27001:2022 A.5.12 Clasificación de la información".
Indicaciones para la política de control de acceso
Escribir política de control de acceso
"Redacta una Política de Control de Acceso para los controles de ISO 27001:2022 A.5.15-A.5.18. Incluye: principios (mínimo privilegio, necesidad de conocer, separación de funciones), proceso de provisión de acceso de usuarios (solicitud, aprobación, provisión, revisión), requisitos de autenticación (política de contraseñas, mandato de MFA), gestión de acceso privilegiado (cuentas de administrador, procedimientos de elevación), frecuencia y proceso de revisión de acceso, desprovisión de usuarios (terminación, cambio de rol) y seguridad del acceso remoto. Especifica diferentes requisitos para el acceso de empleados, contratistas y terceros".
Crear política de contraseñas y autenticación
"Escribe una Política de Contraseñas y Autenticación que cumpla con el control de ISO 27001:2022 A.5.17. Incluye: requisitos de complejidad de contraseñas (longitud, tipos de caracteres), reglas de expiración e historial de contraseñas, umbrales de bloqueo de cuentas, requisitos de autenticación multifactor por rol de usuario y sensibilidad del sistema, seguridad en el almacenamiento y transmisión de contraseñas, procedimientos de restablecimiento de contraseñas, prácticas prohibidas (compartir, anotar) y excepciones o controles compensatorios para sistemas heredados".
Definir política de gestión de acceso privilegiado
"Crea una Política de Gestión de Acceso Privilegiado para el control de ISO 27001:2022 A.5.18 que cubra: definición de acceso privilegiado (admin, root, superusuario), proceso de justificación y aprobación para otorgar acceso privilegiado, gestión de sesiones de acceso elevado, monitoreo y registro de cuentas privilegiadas, gestión de contraseñas administrativas (almacén, rotación), procedimientos de acceso de emergencia (escenarios de 'break-glass') y requisitos de recertificación periódica de acceso".
Indicaciones para la política de gestión de activos
Desarrollar política de gestión de activos
"Escribe una Política de Gestión de Activos para el control de ISO 27001:2022 A.5.9. Incluye: requisitos de inventario de activos (qué rastrear, frecuencia de actualización), clasificación de activos y asignación de propiedad, uso aceptable de activos, gestión del ciclo de vida de los activos (adquisición, despliegue, mantenimiento, eliminación), controles de activos físicos (etiquetado, seguimiento, devolución), gestión de activos de software (licencias, software aprobado) y procedimientos de eliminación/desinfección de activos para prevenir fugas de datos".
Crear política de manejo de soportes
"Redacta una Política de Manejo y Eliminación de Soportes que cubra los controles de ISO 27001:2022 A.7.10 y A.7.14. Aborda: tipos de soportes incluidos (papel, unidades USB, discos duros, copias de seguridad, dispositivos móviles), etiquetado y clasificación de soportes, requisitos de almacenamiento seguro, procedimientos de transporte y envío de soportes, métodos de eliminación y desinfección de soportes (trituración, desmagnetización, borrado criptográfico), verificación y documentación de la eliminación, y requisitos de proveedores para servicios de eliminación".
Indicaciones para criptografía y protección de datos
Escribir política de controles criptográficos
"Crea una Política de Criptografía para el control de ISO 27001:2022 A.8.24. Incluye: requisitos de cifrado para datos en reposo por nivel de clasificación, requisitos de cifrado para datos en tránsito (versiones de TLS, conjuntos de cifrado), algoritmos criptográficos y longitudes de clave aprobados, procedimientos de gestión de claves (generación, almacenamiento, rotación, destrucción), requisitos de firma digital y certificados, cifrado para dispositivos móviles y soportes extraíbles, requisitos de cifrado en la nube y excepciones de control criptográfico junto con medidas compensatorias".
Desarrollar política de protección de datos y privacidad
"Redacta una Política de Protección de Datos y Privacidad que aborde el cumplimiento del GDPR y los controles de ISO 27001:2022 A.5.33-A.5.34. Cubre: base legal para el tratamiento de datos personales, derechos de los interesados (acceso, rectificación, supresión, portabilidad), minimización de datos y limitación de la finalidad, periodos de retención por tipo de dato, principios de privacidad desde el diseño, procedimientos de notificación de brechas de datos (cronograma, autoridades, interesados), mecanismos de transferencia transfronteriza de datos y activadores de la evaluación de impacto de la privacidad".
Indicaciones para operaciones e infraestructura
Crear política de gestión de cambios
"Escribe una Política de Gestión de Cambios para el control de ISO 27001:2022 A.8.32. Incluye: alcance (qué cambios requieren un proceso formal), clasificación de cambios (estándar, normal, de emergencia), flujo de trabajo de solicitud y aprobación de cambios, requisitos de evaluación de riesgos para los cambios, procedimientos de prueba y reversión (rollback), ventanas de implementación de cambios, revisión post-implementación, procedimientos de cambio de emergencia con controles reducidos y requisitos de documentación para el rastro de auditoría".
Desarrollar política de copia de seguridad y recuperación
"Redacta una Política de Copia de Seguridad y Recuperación para el control de ISO 27001:2022 A.8.13. Especifica: qué sistemas y datos requieren copia de seguridad, frecuencia de las copias según la criticidad del sistema (cada hora, diaria, semanal), periodos de retención de las copias, ubicación y seguridad del almacenamiento de las copias (local, externa, nube), requisitos de cifrado de las copias, frecuencia y procedimientos de prueba de las copias, objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) por sistema, cronograma de pruebas de restauración y monitoreo y alertas de las copias de seguridad".
Escribir política de gestión de vulnerabilidades
"Crea una Política de Gestión de Vulnerabilidades para el control de ISO 27001:2022 A.8.8. Incluye: frecuencia y cobertura del escaneo de vulnerabilidades, cronograma de respuesta a vulnerabilidades críticas (24 horas, 7 días, 30 días según la gravedad), proceso de gestión de parches y requisitos de prueba, divulgación y comunicación de vulnerabilidades, controles compensatorios cuando no sea factible aplicar parches, notificación de vulnerabilidades de terceros, métricas e informes de vulnerabilidades a la dirección y proceso de excepción para sistemas críticos del negocio".
Indicaciones para la seguridad de los recursos humanos
Crear política de selección de empleados
"Escribe una Política de Selección y Verificación de Empleados para el control de ISO 27001:2022 A.6.1. Incluye: requisitos de verificación previa al empleo (antecedentes, verificación de referencias, historial laboral, verificación de educación, verificaciones de crédito para roles financieros, antecedentes penales), niveles de verificación según la sensibilidad del rol y acceso a datos, verificación para contratistas y personal temporal, requisitos de verificación continua (re-verificación periódica), consideraciones para contrataciones internacionales, consentimiento del candidato y requisitos de privacidad, y retención de documentación".
Desarrollar política de concienciación sobre seguridad
"Redacta una Política de Formación y Concienciación sobre Seguridad para el control de ISO 27001:2022 A.6.3. Cubre: formación obligatoria en concienciación de seguridad para todos los empleados (frecuencia, temas, método de entrega), formación basada en roles para usuarios privilegiados y desarrolladores, programa de simulación de phishing (frecuencia, escalamiento por fallos repetidos), requisitos de orientación de seguridad para nuevas contrataciones, medición de la efectividad de la formación, canales de comunicación de seguridad, formación en reporte de incidentes y consecuencias por el incumplimiento de la formación".
Escribir procedimientos de terminación y cambio de rol
"Crea un Procedimiento de Terminación y Cambio de Rol para el control de ISO 27001:2022 A.6.5. Incluye: proceso y cronograma de notificación, lista de verificación de revocación de acceso por sistema y tipo de dato, requisitos de devolución de activos físicos (portátiles, credenciales, llaves, dispositivos móviles), procedimientos de desactivación de cuentas, retención y transferencia de datos/correo electrónico, temas de seguridad en la entrevista de salida, monitoreo post-terminación para actividades sospechosas, procedimientos de recontratación y proceso de revisión de acceso por cambio de rol".
Indicaciones para la gestión de incidentes
Crear política de respuesta a incidentes
"Escribe una Política de Respuesta a Incidentes de Seguridad para los controles de ISO 27001:2022 A.5.24-A.5.28. Incluye: definición y clasificación de incidentes (brecha de seguridad, fuga de datos, malware, DDoS, acceso no autorizado), niveles de gravedad de incidentes y criterios de escalamiento, roles y responsabilidades del equipo de respuesta a incidentes, canales de detección y reporte de incidentes (disponibilidad 24/7), fases de respuesta a incidentes (preparación, detección, contención, erradicación, recuperación, lecciones aprendidas), recolección de evidencia y cadena de custodia, plan de comunicación (interno, clientes, reguladores, medios) y requisitos de revisión post-incidente".
Desarrollar procedimiento de notificación de brechas
"Redacta un Procedimiento de Notificación de Brecha de Datos que aborde los artículos 33-34 del GDPR y el control de ISO 27001:2022 A.5.26. Incluye: criterios de evaluación de la brecha (¿cuándo es notificable?), cronograma de notificación (72 horas a la autoridad de control), contenido requerido de la notificación de brecha, activadores y métodos de notificación a los interesados, flujo de trabajo de escalamiento y aprobación interna, requisitos de documentación para el cumplimiento normativo, coordinación de comunicaciones externas (legal, relaciones públicas, atención al cliente) y mantenimiento del registro de brechas".
Indicaciones para la gestión de terceros y proveedores
Escribir política de seguridad de proveedores
"Crea una Política de Seguridad de Proveedores y Terceros para los controles de ISO 27001:2022 A.5.19-A.5.23. Incluye: requisitos de evaluación de seguridad de proveedores (evaluación pre-contractual), proceso de diligencia debida para la selección de proveedores, requisitos mínimos de seguridad en los contratos con proveedores (SLA, controles de seguridad, derechos de auditoría, notificación de brechas, protección de datos), controles de acceso y monitoreo de proveedores, revisión del desempeño del proveedor y verificación del cumplimiento, coordinación de respuesta a incidentes con proveedores y procedimientos de baja de proveedores".
Desarrollar procedimiento de evaluación de riesgos de proveedores
"Redacta un Procedimiento de Evaluación de Riesgos de Proveedores. Incluye: categorización de proveedores por nivel de riesgo (alto/medio/bajo basado en el acceso a datos, criticidad, alcance regulatorio), estructura del cuestionario de evaluación, evidencia requerida (certificados SOC 2, ISO 27001, políticas de seguridad, resultados de pruebas de penetración, seguros), metodología de puntuación de riesgos, frecuencia de evaluación por nivel de riesgo del proveedor, requisitos de remediación para brechas identificadas, requisitos de monitoreo continuo y activadores de re-evaluación (incidente de seguridad, renovación de contrato, cambio regulatorio)".
Indicaciones para la seguridad física y ambiental
Crear política de seguridad física
"Escribe una Política de Seguridad Física para los controles de ISO 27001:2022 A.7.1-A.7.4. Aborda: controles de acceso a las instalaciones (sistemas de credenciales, gestión de visitantes, prevención de 'tailgating'), definiciones de perímetros y zonas de seguridad, procedimientos para visitantes (registro, acompañamiento, recogida de credenciales), vigilancia y monitoreo (CCTV, guardias de seguridad), acceso a salas de servidores y centros de datos (quién, cuándo, registro), incidentes de seguridad física (tailgating, acceso no autorizado, robo) e integración con controles de acceso lógico".
Desarrollar política de mesa y pantalla despejadas
"Redacta una Política de Mesa Despejada y Pantalla Despejada para el control de ISO 27001:2022 A.7.7. Incluye: requisitos de mesa despejada (sin información confidencial visible, documentos bajo llave al final del día), requisitos de pantalla despejada (tiempo de espera para bloqueo de pantalla, filtros de privacidad, posición de monitores), almacenamiento de información sensible (gabinetes bajo llave, dispositivos cifrados), eliminación de documentos (trituración, contenedores seguros), consideraciones para áreas de visitantes, aplicabilidad en el trabajo remoto, monitoreo de auditoría y cumplimiento, y requisitos de formación para empleados".
Indicaciones para la continuidad del negocio
Escribir política de continuidad del negocio
"Crea una Política de Continuidad del Negocio y Recuperación ante Desastres para los controles de ISO 27001:2022 A.5.29-A.5.30. Incluye: requisitos y frecuencia del análisis de impacto al negocio (BIA), funciones críticas del negocio y tiempo de inactividad máximo tolerable, criterios y autoridad para la declaración de desastre, estrategias de continuidad para funciones críticas, requisitos del sitio de recuperación ante desastres, planes de comunicación durante interrupciones, roles y responsabilidades del equipo de continuidad, cronograma de pruebas y ejercicios del plan (mesa, simulación, prueba completa), activadores de mantenimiento y actualización del plan e integración con la respuesta a incidentes".
Crear procedimiento de continuidad de las TIC
"Redacta un Procedimiento de Continuidad de las TIC que cubra el control de ISO 27001:2022 A.8.14. Incluye: inventario de sistemas críticos y dependencias, objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) por sistema, mecanismos de redundancia y conmutación por error (failover), procedimientos de copia de seguridad y restauración de datos, sitios de procesamiento alternativos o conmutación por error en la nube, sistemas de comunicación durante cortes, dependencias de proveedores y contingencias, procedimientos de prueba de continuidad y procedimientos de retorno (failback) cuando se restauran los sistemas primarios".
Indicaciones para cumplimiento y auditoría
Desarrollar política de gestión de cumplimiento
"Escribe una Política de Gestión de Cumplimiento para el control de ISO 27001:2022 A.5.31. Incluye: proceso de identificación de obligaciones de cumplimiento (legales, reglamentarias, contractuales), monitoreo y medición del cumplimiento, programa de auditoría interna (frecuencia, alcance, independencia), requisitos de formación en cumplimiento, reporte del cumplimiento a la dirección, escalamiento y remediación del incumplimiento, requisitos de retención de registros y evidencia, y proceso de gestión de cambios regulatorios".
Crear procedimiento de auditoría interna
"Redacta un Procedimiento de Auditoría Interna para la cláusula 9.2 de ISO 27001:2022. Incluye: cronograma y alcance de la auditoría anual, requisitos de independencia del auditor, planificación de la auditoría (enfoque basado en riesgos, criterios de auditoría), ejecución de la auditoría (reunión de apertura, recolección de evidencia, muestreo, entrevistas), identificación y graduación de no conformidades (mayor, menor, observación), solicitudes y seguimiento de acciones correctivas, formato y distribución del informe de auditoría, procedimientos de auditoría de seguimiento y revisión por la dirección de los resultados de la auditoría".
Indicaciones para la redacción de procedimientos
Convertir política en procedimiento detallado
"Convierte esta [nombre de la política] en un procedimiento operativo detallado. Incluye: propósito y alcance del procedimiento, roles y responsabilidades (quién hace qué), requisitos previos, instrucciones paso a paso con puntos de decisión, herramientas y sistemas requeridos, plazos esperados, comprobaciones de calidad y pasos de verificación, requisitos de documentación y mantenimiento de registros, manejo de excepciones, procedimientos relacionados y referencias, e historial de revisiones. Formatea con pasos numerados para que sea fácil de seguir".
Crear procedimiento para un control del Anexo A
"Escribe un procedimiento operativo para implementar el control del Anexo A de ISO 27001:2022 [número y nombre del control]. Aborda: qué requiere el control, quién es responsable de la implementación, pasos detallados de implementación, configuración técnica si aplica, evidencia a recolectar para la auditoría, procedimientos de verificación y prueba, frecuencia de ejecución del control (diaria, semanal, bajo demanda), monitoreo y medición, y cómo documentar la efectividad del control".
Ejemplo: "Escribe un procedimiento operativo para implementar el control A.8.5 Autenticación segura del Anexo A de ISO 27001:2022. Cubre nuestro entorno específico: SSO de Azure AD con MFA, estaciones de trabajo de acceso privilegiado, gestión de cuentas de servicio y rotación de claves de API".
Documentar proceso de flujo de trabajo
"Crea un procedimiento que documente el flujo de trabajo para [nombre del proceso, ej., 'provisión de acceso de usuario']. Utiliza un formato estilo diagrama de flujo con: evento activador, puntos de decisión (puertas de aprobación, condiciones), acciones en cada paso, rol responsable de cada acción, interacciones del sistema, requisitos de aprobación, plazos/SLA y criterios de finalización. Incluye tanto el flujo normal como las rutas de excepción".
Indicaciones para la revisión y mantenimiento de políticas
Crear cronograma de revisión de políticas
"Genera un cronograma de revisión y mantenimiento de políticas para nuestra documentación ISO 27001. Para cada categoría de política (seguridad, control de acceso, respuesta a incidentes, RRHH, seguridad física, etc.), especifica: frecuencia de revisión (anual, semestral, basada en activadores), responsable de la revisión, criterios de revisión (relevancia, precisión, cumplimiento, efectividad), autoridad de aprobación, requisitos de control de versiones y proceso de distribución de las políticas actualizadas. Crea una vista de calendario de 12 meses".
Desarrollar proceso de excepción de políticas
"Redacta un Procedimiento de Excepción y Renuncia de Política. Incluye: motivos válidos para solicitar excepciones, formulario de solicitud de excepción y justificación requerida, evaluación de riesgos para la excepción, requisito de controles compensatorios, niveles de aprobación por tipo de política y riesgo, duración de la excepción y proceso de renovación, monitoreo y reporte de excepciones, criterios de revocación de excepciones y documentación para el rastro de auditoría".
Indicaciones para la Declaración de Aplicabilidad (SoA)
Generar estructura completa de la SoA
"Crea una Declaración de Aplicabilidad (SoA) para ISO 27001:2022 que cubra los 93 controles del Anexo A. Para cada control: enumera el número y nombre del control, indica el estado de aplicabilidad (Aplicable, No Aplicable, Parcialmente Aplicable), referencia los riesgos específicos de nuestra evaluación de riesgos que justifican el control, describe nuestro enfoque de implementación, anota el estado de implementación (Implementado, En Progreso, Planificado con fecha objetivo), identifica al responsable, enumera la evidencia disponible para auditoría y proporciona una justificación para cualquier exclusión. Organiza por los temas del Anexo A".
Justificar exclusiones de controles
"Para estos controles del Anexo A que planeamos marcar como 'No Aplicables' [enumerar números de control], proporciona una justificación lista para auditoría. Para cada uno: explica por qué el control no se aplica a nuestra organización considerando nuestro modelo de negocio, conjunto de tecnologías y riesgos identificados; cita cualquier control compensatorio que proporcione protección similar; confirma que ningún riesgo identificado requiere este control; y formatea la justificación para que sea adecuada para la revisión del auditor y la documentación de la SoA".
Mapear controles a políticas y procedimientos
"Crea una matriz de mapeo entre controles y documentación. Para cada uno de los 93 controles del Anexo A de ISO 27001:2022: enumera el número y nombre del control, identifica qué política(s) abordan el control, identifica qué procedimiento(s) implementan el control, anota los artefactos de evidencia (registros, informes) y marca cualquier control que carezca de documentación adecuada y requiera la creación de una nueva política o procedimiento".
Indicaciones de personalización y específicas por sector
Adaptar política a regulaciones del sector
"Adapta esta [nombre de la política] para abordar regulaciones específicas del sector: [enumerar regulaciones, ej., HIPAA, PCI-DSS, FedRAMP]. Para cada regulación: identifica requisitos específicos no cubiertos por la base de ISO 27001, añade secciones de política o controles requeridos, referencia cláusulas regulatorias específicas, ajusta el lenguaje para la terminología regulatoria y añade procedimientos de verificación de cumplimiento".
Simplificar política para legibilidad
"Reescribe esta política utilizando un lenguaje sencillo accesible para empleados no técnicos. Simplifica la jerga y los términos técnicos, usa oraciones y párrafos más cortos, añade ejemplos prácticos de lo que se debe y no se debe hacer, incluye elementos visuales (iconos, listas de verificación), mantén los requisitos de cumplimiento pero mejora la legibilidad, apunta a un nivel de lectura de secundaria y asegúrate de que los requisitos clave resalten (negrita, cuadros de texto)".
Crear resumen ejecutivo de la política
"Crea un resumen ejecutivo de una página de nuestra [nombre de la política] para la revisión de la dirección. Incluye: propósito de la política en términos de negocio (por qué es importante), requisitos y obligaciones clave, roles y responsabilidades para los ejecutivos, impacto y beneficios de negocio, implicaciones de cumplimiento y riesgo, requisitos de recursos (presupuesto, personal, herramientas), cronograma de implementación y recomendación de aprobación".
Indicaciones para el aseguramiento de la calidad
Revisar política por brechas de cumplimiento
"Revisa esta [nombre de la política] frente a los requisitos de ISO 27001:2022 para [cláusula o control relevante]. Comprueba: ¿Se abordan todos los requisitos obligatorios? ¿Es la política lo suficientemente específica para su implementación? ¿Están los roles y responsabilidades claramente definidos? ¿Se incluyen criterios medibles? ¿Es la política exigible? ¿Se abordan las excepciones e infracciones? ¿Se describe la recolección de evidencia de auditoría? Identifica brechas y recomienda adiciones".
Cargue su borrador de política antes de usar esta indicación para obtener una revisión de cumplimiento exhaustiva y un análisis de brechas.
Comprobar consistencia de la política entre documentos
"Compara estas políticas [enumerar nombres de políticas] para verificar la coherencia en: terminología (¿se usan los términos de forma consistente?), requisitos (¿alguna contradicción?), autoridades de aprobación (¿delegación consistente?), frecuencias de revisión (¿cronogramas alineados?), referencias y enlaces cruzados (¿precisos?) y formato/estructura (¿apariencia profesional?). Identifica inconsistencias que requieran resolución".
Validar procedimiento frente a política
"Verifica que este procedimiento para [tema] implemente correctamente los requisitos de nuestra [nombre de la política relacionada]. Comprueba que: todos los requisitos de la política tengan pasos de procedimiento correspondientes, el procedimiento no contradiga la política, los roles en el procedimiento coincidan con las definiciones de la política, los flujos de trabajo de aprobación se alineen, se cumplan los requisitos de documentación y el procedimiento llene cualquier brecha de implementación en la política. Identifica desajustes".
Consejos para usar estas indicaciones de manera efectiva
Proporciona contexto primero: Antes de solicitar una política, cuéntale a ISMS Copilot sobre tu organización: "Somos una empresa SaaS de salud de 50 personas que utiliza AWS y Microsoft 365, sujeta a HIPAA y GDPR". Este contexto mejora drásticamente la relevancia.
Itera por etapas: Comienza con "crear un esquema para [política]", revisa la estructura y luego pide "amplía la sección 3 con requisitos detallados y ejemplos". Esto evita resultados abrumadores y te permite guiar la dirección.
Solicita múltiples opciones: Pide "proporciona 3 enfoques diferentes para [requisito de la política]" para evaluar alternativas antes de comprometerte con un enfoque de implementación específico.
Siempre revisión legal: Las políticas generadas por IA deben ser revisadas por un asesor legal, especialmente en materia de privacidad, protección de datos, empleo y obligaciones contractuales. ISMS Copilot acelera la redacción pero no reemplaza la experiencia legal.
Bibliotecas de indicaciones relacionadas
Completa tu implementación de ISO 27001 con estas colecciones de indicaciones relacionadas:
Indicaciones para la preparación de auditorías de ISO 27001 (próximamente)
Indicaciones para el análisis de brechas de ISO 27001 (próximamente)
Obtener ayuda
Para obtener apoyo con el desarrollo de políticas y procedimientos:
Aprende el marco: Entiende Cómo realizar una evaluación de riesgos ISO 27001 usando IA para asegurar que las políticas aborden los riesgos identificados
Usa la IA de forma responsable: Revisa Cómo usar ISMS Copilot de forma responsable para conocer las mejores prácticas en el desarrollo de políticas
Gestiona la documentación: Optimiza la organización de tu espacio de trabajo para proyectos de múltiples clientes
¿Listo para crear tus políticas? Abre tu espacio de trabajo ISO 27001 en chat.ismscopilot.com y comienza con tu Política de Seguridad de la Información utilizando las indicaciones anteriores.