Foro: Otros sistemas de gestión

Documento de aplicabilidad

  • Pinki
    • 22/03/11 10:33
    • Imagen de Pinki
    • Reg.: 1/02/11
    • Posts: 95
    (0/2)

    Buenos dias!! hace poco he tenido mi primera auditoria de calidad y ha sido un exito! en parte gracias a este foro ;)

    Ahora me encuentro con un nuevo reto: la iso 27001 y tendre q ayudar en la redacción de alguna documentacion como el documetno de aplicabilidad. Al leer la norma me encuentro con que se ha de elaborar este documento y debe contner:

    Los objetivos de control y los controles seleccionados y las justificaciones de su selección

    Mis dudas son:

    Los objetivos de control son los que se enumeran en el anexo de la norma, al igual que los controles, verdad?

    Como justificas su selección? en la misma tabla del documento de aplicabilidad? Justificas por escrito tanto si excluyes un control como si no?

    Se debe ir documentando en el manual o en los distintos documentos todos estos controles?

  • José Antonio Rivero
    • 22/03/11 15:23
    • Imagen de José Antonio Rivero
    • Reg.: 2/09/08
    • Madrid
    • Posts: 266
    (2/0)

    Exáctamente tal y como planteas.

    La Declaración de Aplicabilidad (SOA en inglés) es un documento que contiene (aunque puede contener más información) los objetivos de control, los controles (todos los que se enumeran en el anexo) y las justificaciones tanto de su aplicabilidad, como de su no aplicabilidad. Como referencia, puedes consultar la norma 27002, y ten claro que debe mantener una adecuada redacción (no te aceptarán que uses como criterio "porque lo pide la norma".

    Otros campos que suele contener la Declaración de Aplicabilidad es la indicación del estado de implantación del control (o de madurez), así como referencia a dónde se explica mejor su forma de aplicación (Políticas, instrucciones técnicas, etc...)

    Un saludo, y espero haberte sido útil
    _________________

    J.A. Rivero

    Consultor de Sistemas de Gestión (ISO 13485, ISO 9001, ISO 14001, OHSAS 18001, IFS, BRC, ISO 22000)

    Web:http://www.grupoacms.com

    Blog:https://www.grupoacms.com/blog/

    Perfil Linkedin: http://www.linkedin.com/companies/grupo-acms-consultores?trk=fc_badge

  • Gilberth Araujo
    • 24/03/11 15:12
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)

    Si , los controles son los que establece la norma en el anexo, los objetivos puedes usar los mismos que establece la norma pero deberías considerar las particularidades que tienen los riesgos que evaluaste.

     

    En cuanto a la justificación debes referirte a los niveles de riesgo que calculaste según 4.2.1 e) 3) de la 27001.

     

     

    Saludos,

     

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica