wordpress stats plugin
Inicio » Integrar las normas ISO 30300 con otros sistemas de gestión ISO

El control A.7.2 “Clasificación de la información” de la norma ISO 27001 y la norma ISO 30301 (2a parte)

Escrito por: el 02/05/2013

¿Cómo afecta esta cuestión a la norma ISO 30301? En la serie de normas ISO 30300 encontramos dos aspectos relacionados con los procesos de gestión documental que inicialmente pueden tener una vinculación con el objetivo de control “A.7.2  Clasificación de información” de la norma ISO 27001. Se trata de la “clasificación” y del “acceso”:

  • Clasificación: “Identificación y estructuración sistemática de las actividades de las organizaciones o de los documentos generados por éstas en categorías, de acuerdo con convenciones, métodos y normas de procedimiento, lógicamente estructurados y representados en un sistema de clasificación” (ISO 30300, punto 3.3.2). Dentro del Anexo A de la norma ISO 30301, el control de gestión documental “A.2.1.2 Clasificar” determina que será necesario agrupar documentos según los procesos de trabajo, mientras el control “A.2.1.3 Clasificar” determina que deberá definirse un esquema de agrupación (cuadro de clasificación) de los documentos e implementarse como parte de los procedimientos de dichos procesos de trabajo. Aplicando las directrices de la norma ISO/TR 15489-2, los controles de clasificación se regularían mediante un cuadro de clasificación basado en las actividades de la organización.
  • Acceso: “Derecho, modo y medios de localizar, usar o recuperar información” (ISO 30300, punto 3.3.1). En la cláusula 4.2. Requisitos de negocio, legales o de otra índole de la norma ISO 30301 se determina que la gestión documental debe tener en cuenta aquellas cuestiones legales que puedan afectar a la creación o control de documentos. Dentro del Anexo A de la misma norma el control de gestión documental “A.2.2.1 Desarrollar reglas de acceso” determina que se deberán dictar normas para regular el acceso a los documentos basadas en los procesos de trabajo, la legislación pertinente y, si procede, las consideraciones comerciales. Por su parte, el control “A.2.2.2 Implementar reglas de acceso” estipula que se deberán poner en funcionamiento reglas de acceso en las aplicaciones de gestión de documentos mediante la asignación de niveles de acceso tanto a los documentos como a los individuos. Aplicando las directrices de la norma ISO/TR 15489-2 los controles de acceso se regularían mediante una tabla de acceso y seguridad.

Desde esta perspectiva, el correlato al objeto de control “A.7.2. Clasificación de información” de la norma ISO 27001 serían los controles de acceso de la norma ISO 30301.

ISO 27001

ISO 30301

A.7.2 Clasificación de la información A.2.2 Establecer las reglas y condiciones para el uso de los documentos a lo largo del tiempo 
A.7.2.1 Directrices de clasificación Control La información debe ser clasificada según su valor, los requisitos legales, la sensibilidad y la criticidad para la organización.     A.2.2.1 Desarrollar reglas de acceso [Control] Se deben dictar normas para regular el acceso a los documentos basadas en los requisitos de los procesos de trabajo, la legislación pertinente y, si procede, las consideraciones comerciales. […] 
A.7.2.2   Etiquetado y manipulación de la información Control Se debe desarrollar e implantar un conjunto adecuado de procedimientos para etiquetar y manejar la información, de acuerdo con el esquema de clasificación adoptado por la organización.  A.2.2.2 Implementar reglas de acceso [Control] Las reglas de acceso se deben implementar en las aplicaciones de gestión de documentos mediante la asignación de niveles de acceso tanto a los documentos como a los individuos.

 

Desde un punto de vista práctico, el control “A.2.2.1 Desarrollar reglas de acceso” de la norma ISO 30301 implicaría, en términos generales, identificar quién (usuarios y grupos de usuarios) tiene acceso a qué (documentos y agrupaciones documentales) y de qué modo (condiciones de acceso) en función de los roles. Para la identificación de los objetos documentales se debería trabajar, entre otros instrumentos, con el esquema o cuadro de clasificación de los documentos.

Por otro lado, el control “A.2.2.2 Implementar reglas de acceso” de la norma ISO 30301 implicaría aplicar las reglas de acceso previamente definidas en el punto anterior con plenas garantías de seguridad (seguridad tecnológica). En un entorno de gestión electrónica de documentos esto obligará a asegurar un nivel adecuado de etiquetado de la información, es decir, de identificación descriptiva y de control (elementos de metadatos) de acuerdo con el control “A.2.1.4 Seleccionar la información de control” de la norma ISO 30301.

De esta manera, se podría realizar a nivel práctico la conexión entre el acceso documental (tabla de acceso y seguridad) y la clasificación de la información (esquema de clasificación de la seguridad).

En un tercer apunte veremos un ejemplo práctico.

El blog “www.iso30300.es” es una iniciativa de ebla Gestió Documental S.L., consultoría especializada en gestión documental.

2 Comentarios »

  • Juan Carlos opinó:

    Enhorabuena por el análisis. Está claro que hay mucha conexión entre el “espíritu” de las normas 27000 y 30300. Nuestra empresa (especialista en la parte de SGSI) ya empieza a trabajar en proyectos integrados en este sentido, en colaboración con expertos de la parte documental.

  • Maria Rosa Lloveras opinó:

    Apreciado Juan Carlos,

    Gracias por su comentario. Celebramos saber que les ha gustado nuestro apunte. Estamos trabajando un tercer apunte con un ejemplo práctico. Estaremos encantados de conocer su opinión. Del mismo modo, será un placer saber más acerca de su experiencia en el tema.

    Un cordial saludo

Escriba su comentario aquí: