8.1 Información documentada necesaria para tener confianza de que los procesos..

El punto 8.1 de la ISO 27001 principalmente se refiere al proceso de gestión de riesgos, y la información documentada que necesitas tener es: la metodología de gestión de riesgos, la declaración de aplicabilidad, y el plan de tratamiento de riesgos. Además, puedes tener también información documentada desarrollada específicamente, por ejemplo, sobre las herramientas que usas para la evaluación del riesgo (cómo rellenar el fichero excel de análisis, cómo usar una herramienta software para la identificación de activos, etc.) Por tanto, básicamente puedes mantener información de todo el proceso de gestión de riesgos, para asegurar que lo has llevado a cabo según lo planificado.

Por otra parte, la información sobre las métricas e indicadores no se establece en el punto 8.1, se establece en el punto 9.1, y es obligatorio tener información documentada en forma de registros.

Para conocer la lista de documentos obligatorios “Lista de documentos obligatorios exigidos por la norma ISO 27001 (revisión 2013)” : https://advisera.com/27001academy/es/knowledgebase/lista-de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013/

Con respecto a las métricas e indicadores “How to perform monitoring and measurement in ISO 27001” : https://advisera.com/27001academy/blog/2015/06/08/how-to-perform-monitoring-and-measurement-in-iso-27001/

Con respecto a la gestión de riesgos "Evaluación y Tratamiento del Riesgo en ISO 27001 - 6 pasos básicos" https://advisera.com/27001academy/es/knowledgebase/evaluacion-y-tratamiento-del-riesgo-en-iso-27001-6-pasos-basicos/

Muchísimas gracias Antonio!!