juancarlos8888 Created: Aug 09, 2018 Last commented: Aug 10, 2018

información documentada de origen externo

La información documentada de origen externo se refiere a por ejemplo los informes de auditoria, pentest, los analisis de vulnerabilidades del OpenVas, los informes de la consola EPO, los mails semanales de nuevas vulnerabilidades del CERT de estados unidos, etc.... la documentación externa se tiene que codificar o con identificar que es externa ya vale? por ejemplo los contratos y anexos de los clientes les debo poner la misma nomenclatura que a cualquier otro documento del SGSI?

0 0

Assign topic to the user

Select user

Guest

Antonio Jose Segovia Aug 10, 2018

De acuerdo al punto 7.5.3 de ISO 27001, la información documentada de origen externo, usada para el SGSI, debe ser identificada, y controlada. Por tanto, el primer paso es identificar este tipo de información, y ejemplos pueden ser los que comentas: informes de auditorías externas, resultados de análisis externos hechos con OpenVAS, etc.

Con respecto a la cuestión de la codificación, mi recomendación es usar un código distinto, porque de esta manera puedes identificar documentos externos facilmente (y controlarlos), así por ejemplo puedes añadir al nombre del documento algo así como "EXT-Informe-Auditoria", "EXT-Contrato-Cliente", o simplemente puedes crear una carpeta "Documentacion Externa", y meter ahí todos los documentos externos (manteniendo su nombre original).

Para más información sobre la gestión de documentos, este artículo te puede resultar interesante “Document management in ISO 27001 & BS 25999-2” : https://advisera.com/27001academy/blog/2010/03/30/document-management-within-iso-27001-bs-25999-2/

Quote

0 0

Guest

juancarlos8888 Aug 13, 2018

Muchas gracias por las aclaraciones!

Quote

0 0

Comment as guest or Sign in

HTML tags are not allowed

Name *

Email *

I accept the Privacy and Terms

Notify me when someone replies

Aug 09, 2018

Aug 13, 2018

Expert Advice Community