Soy nuevo en la norma ISO 27001 y mi objetivo es crear una política de SGSI para una organización mediana. Como no compré los estándares, fui a leer los artículos de la asesora y fui a través de su curso gratuito de video sobre la fundación.
Ahora, estoy confundido al tratar de entender cómo estructurar el contenido y los documentos para SGSI y la granularidad del contenido .
Encontré 3 referencias en línea (enlace a continuación) que creo que es bastante decente. Sin embargo, la granularidad de estos documentos es muy diferente entre sí.
-
Separar en varios documentos. La sección 2, descripción de alto nivel de control implementado desde el Anexo A, creo. Luego hace referencia a documentos muy detallados de cómo se aplica el control. P.ej. enlace
¿Debo proporcionar este documento (ITSS_15.pdf) con tal granularidad para obtener la certificación? -
Todo en un documento. El Anexo 1 habla de los controles del Anexo A, creo, no tan detallados como el documento detallado al que se hace referencia en la sección 2 del enlace 1.
-
Todo en un documento. Creo que la sección 6 habla sobre el control del anexo A, nivel muy alto
Como puede ver los 3 documentos anteriores, su granularidad y estructura de los contenidos son muy diferentes. ¿Cómo estructurar los contenidos y los documentos para el SGSI y la granularidad del contenido?