0% encontró este documento útil (0 votos)

882 vistas48 páginas

ISO 18128-Gestion Riesgos

Texto de la norma ISO 18128 Información y documentación. Apreciación del riesgo en procesos y sistemas de gestión documental.

Cargado por

Fernando López González

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

0% encontró este documento útil (0 votos)

882 vistas48 páginas

ISO 18128-Gestion Riesgos

Texto de la norma ISO 18128 Información y documentación. Apreciación del riesgo en procesos y sistemas de gestión documental.

Cargado por

Fernando López González

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

informe UNE-ISO/TR 18128 IN

UNE
Septiembre 2014
Versión corregida, Octubre 2014

TÍTULO Información y documentación

Apreciación del riesgo en procesos y sistemas de gestión

documental

Information and documentation. Risk assessment for records processes and systems.

Information et documentation. Evaluation du risque pour les processus et systèmes d'enregistrement.

CORRESPONDENCIA Este informe es idéntico al Informe Técnico ISO/TR 18128:2014.

OBSERVACIONES

ANTECEDENTES Este informe ha sido elaborado por el comité técnico AEN/CTN 50 Documentación
cuya Secretaría desempeña FESABID.

Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 30351:2014
46 Páginas

 AENOR 2014 Génova, 6 info@[Link] Tel.: 902 102 201

Reproducción prohibida 28004 MADRID-España [Link] Fax: 913 104 032

Este documento ha sido adquirido por ESCUELA SUPERIOR DE ARCHIVÍSTICA Y GESTIÓN DE DOCU el 17 de Diciembre de 2015.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Esta versión corregida de la Norma UNE-ISO/TR 18128:2014 IN incorpora las siguientes correcciones:

Se sustituye el título en español:

"Información y documentación. Identificación y evaluación de riesgos para sistemas de documentos"

Por el siguiente:

"Información y documentación. Apreciación del riesgo en procesos y sistemas de gestión documental"

Se sustituye el título en ingles:

"Information and documentation. Risk identification and assessment for records systems".

Por el siguiente:

"Information and documentation. Risk assessment for records processes and systems".

Índice

Prólogo...................................................................................................................................................... 4

0 Introducción ............................................................................................................................ 5

1 Objeto y campo de aplicación ................................................................................................ 6

2 Normas para consulta ............................................................................................................ 7

3 Términos y definiciones .......................................................................................................... 7

3.1 Términos específicos de riesgo ............................................................................................... 7
3.2 Términos específicos de documentos..................................................................................... 8

4 Criterios de apreciación del riesgo para la organización .................................................... 8

4.1 Apreciación del riesgo ............................................................................................................ 8
4.2 Criterios de riesgo ................................................................................................................... 8
4.3 Asignación de la prioridad ..................................................................................................... 9

5 Identificación del riesgo ......................................................................................................... 9

5.1 Generalidades ......................................................................................................................... 9
5.2 Contexto: factores externos ................................................................................................. 10
5.3 Contexto: factores internos .................................................................................................. 12
5.4 Sistemas de gestión documental .......................................................................................... 14
5.5 Procesos documentales ......................................................................................................... 17

6 Análisis de los riesgos identificados ..................................................................................... 19

6.1 Generalidades ....................................................................................................................... 19
6.2 Análisis y estimación de probabilidad ................................................................................ 19

7 Evaluación de los riesgos ...................................................................................................... 22

7.1 Generalidades ....................................................................................................................... 22
7.2 Evaluación del impacto de los eventos adversos ................................................................ 23
7.3 Evaluación del riesgo ............................................................................................................ 23

8 Comunicación de los riesgos identificados .......................................................................... 25

Anexo A (Informativo) Ejemplo de una entrada en un registro de riesgos ................................. 26

Anexo B (Informativo) Ejemplo: listas de comprobación para identificar áreas de

incertidumbre ........................................................................................... 27

Anexo C (Informativo) Guía para usar los controles del anexo A de la Norma
ISO/IEC 27001 .......................................................................................... 35

Bibliografía............................................................................................................................................. 46

Prólogo

ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales

de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales
normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en
una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en
dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también
participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC)
en todas las materias de normalización electrotécnica.

En la parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar esta
norma y para su mantenimiento posterior. En particular debería tomarse nota de los diferentes criterios de
aprobación necesarios para los distintos tipos de documentos ISO. Esta norma se redactó de acuerdo a las
reglas editoriales de la parte 2 de las Directivas ISO/IEC. [Link]/directives.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos
los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo
de esta norma se indican en la introducción y/o en la lista ISO de declaraciones de patente recibidas.
[Link]/patents.

Cualquier nombre comercial utilizado en esta norma es información a la atención de los usuarios y no
constituyen una recomendación.

Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones
relacionadas con la evaluación de la conformidad, así como información de la adhesión de ISO a los
principios de la OMC (Organización Mundial del Comercio) respecto a los obstáculos técnicos al
comercio (TBT), véase la siguiente dirección:
[Link]

El comité responsable de esta norma es el ISO/TC 46, Información y documentación, Subcomité SC 11,
Documentación. Gestión de documentos.

0 Introducción
Todas las organizaciones identifican y gestionan los riesgos relacionados con un funcionamiento exitoso. Identificar y
gestionar los riesgos relacionados con los procesos y sistemas de gestión documental es responsabilidad del profesional
de la gestión de documentos en cada organización.

Este Informe técnico está dirigido a ayudar a los profesionales de la gestión de documentos y a las personas que tienen
responsabilidad sobre los documentos en sus organizaciones a apreciar los riesgos relacionados con los procesos y
sistemas de gestión documental.

NOTA Sistema de gestión documental significa cualquier aplicación de negocio que cree o almacene documentos.

Esta tarea es distinta de la tarea de identificar y apreciar los riesgos de la organización ante los cuales una de las
respuestas estratégicas es la creación y gestión de los documentos adecuados. Las decisiones de crear o no crear
documentos en respuesta al riesgo general del negocio son decisiones de la organización que deberían basarse en el
análisis de los requisitos de gestión documental llevado a cabo por los profesionales de la gestión de documentos
conjuntamente con los responsables de negocio. La premisa de la que parte este informe técnico es que la organización
ha creado documentos de sus actividades para cumplir con los requisitos operacionales u otros propósitos y que ha
establecido un mecanismo mínimo para la gestión y control sistemáticos de los mismos.

La consecuencia de los riesgos relacionados con los procesos y sistemas de gestión documental es la pérdida o daño de
los documentos, que por lo tanto dejan de ser usables, fiables, auténticos y completos o inalterados, no sirviendo para
los propósitos de la organización.

Este informe técnico proporciona directrices y ejemplos basados en el proceso general de gestión del riesgo establecido
en la Norma ISO 31000 (véase la figura 1) aplicados a los riesgos relacionados con los procesos y sistemas de gestión
documental. Cubre:

a) la identificación del riesgo;

b) el análisis del riesgo; y

c) la evaluación del riesgo.

El resultado del análisis del riesgo relacionado con los procesos y sistemas de gestión documental debería incorporarse
al marco general de la gestión del riesgo de la organización. Como resultado la organización tendrá un mejor control de
sus documentos, de su calidad y de su uso para los propósitos de la organización.

El capítulo 5, identificación del riesgo, proporciona una lista detallada de las áreas de incertidumbre relacionadas con
los procesos y sistemas de gestión documental que sirve como una guía para la identificación del riesgo.

El capítulo 6, análisis del riesgo, proporciona directrices para determinar las consecuencias y las probabilidades de los
riesgos identificados, teniendo en cuenta la presencia (o no) y la efectividad de cualquier control existente.

El capítulo 7, evaluación del riesgo, proporciona directrices para determinar el nivel y el tipo de riesgos identificados.

El informe no abarca el tratamiento del riesgo. Una vez que se ha completado la apreciación de los riesgos relacionados
con los procesos y sistemas de gestión documental, los riesgos se documentan y comunican a la sección de la
organización que los gestione. La respuesta ante los riesgos apreciados se acomete como parte del programa global de
gestión del riesgo. La prioridad asignada por el profesional de la gestión de documentos al riesgo apreciado debería
sustentar las decisiones de la organización sobre cómo gestionar esos riesgos.

Figura 1 – Proceso de gestión del riesgo

NOTA La figura 1 viene de la Norma ISO 31000:2009. La numeración se refiere al texto de la Norma ISO 31000.

1 Objeto y campo de aplicación

Este informe técnico está dirigido a asistir a las organizaciones en la apreciación de los riesgos relacionados con los
sistemas y procesos de gestión documental, de manera que se pueda asegurar que los documentos continúan
satisfaciendo las necesidades de la organización durante todo el tiempo que sea requerido.

El informe:

a) establece un método de análisis para identificar los riesgos relacionados con los procesos y sistemas de gestión
documental;

b) proporciona un método de análisis de los potenciales efectos de eventos adversos sobre los procesos y sistemas de
gestión documental;

c) proporciona directrices para conducir la apreciación de los riesgos relacionados con los procesos y sistemas de
gestión documental;

d) proporciona directrices para documentar los riesgos apreciados en preparación para la mitigación.

Este informe técnico no trata de los riesgos generales relacionados con las operaciones de la organización que pueden
ser mitigados creando documentos.

Este informe técnico puede ser utilizado por todas las organizaciones sin importar su tamaño, la naturaleza de sus
actividades o la complejidad de sus funciones y estructura. Estos factores, y el entorno regulatorio de la organización
que prescribe la creación y control de sus documentos, se tienen en cuenta cuando se identifican y aprecian los riesgos
relacionados con los procesos y sistemas de gestión documental.

Para definir una organización o identificar sus límites se deberían tener en cuenta las estructuras complejas y los
arreglos contractuales para servicios externalizados y cadenas de suministro que son comunes tanto en las
administraciones como en las empresas contemporáneas. La identificación de los límites de la organización es el paso
inicial en la definición del alcance de un proyecto de apreciación del riesgo relacionado con la gestión documental.

Este informe técnico no trata directamente la mitigación del riesgo ya que los métodos pueden variar de unas
organizaciones a otras.

Este informe técnico puede usarse por los profesionales de la gestión de documentos o las personas que tienen la
responsabilidad sobre los documentos en la organización y por lo auditores y gestores que tiene la responsabilidad de
los programas de gestión de riesgos.

2 Normas para consulta

Los documentos que se citan a continuación son indispensables para la aplicación de esta norma. Únicamente es
aplicable la edición de aquellos documentos que aparecen con fecha de publicación. Por el contrario, se aplicará la
última edición (incluyendo cualquier modificación que existiera) de aquellos documentos que se encuentran
referenciados sin fecha.

ISO 30300:2011, Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario.

Guía ISO 73:2009, Gestión del riesgo. Vocabulario.

3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en la Norma ISO 30300 y la Guía
ISO 73 además de los siguientes:

3.1 Términos específicos de riesgo

3.1.1 riesgo:
Efecto de incertidumbre.

NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.

NOTA 2 La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso,
de sus consecuencias o de su probabilidad.

NOTA 3 Con frecuencia el riesgo se caracteriza por referencia a sucesos potenciales (Guía ISO 73:2009, [Link]) y a sus consecuencias
(Guía ISO 73:2009, [Link]), o a una combinación de ambos.

NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las
circunstancias) y de su probabilidad (Guía ISO 73, [Link])

[FUENTE: Guía ISO 73:2009, Definición 1.1]

3.2 Términos específicos de documentos

3.2.1 sistema de gestión documental:
Sistema de información que captura, gestiona y facilita el acceso a los documentos a lo largo del tiempo.

NOTA Esto puede incluir aplicaciones o sistemas de negocio que crean y mantienen documentos.

NOTA NACIONAL En la traducción nacional de la UNE-ISO 30300 se utiliza la expresión “aplicación de gestión documental” para este mismo
término. No confundir con “sistema de gestión para los documentos” que está en el título de la serie ISO 30300.

[FUENTE: ISO 30300:2011, definición 3.4.4]

3.2.2 procesos de gestión documental:

Conjunto de actividades de la organización que crean, controlan, conservan y eliminan documentos.

4 Criterios de apreciación del riesgo para la organización

4.1 Apreciación del riesgo

La apreciación del riesgo relacionado con los sistemas y procesos de gestión documental se debería incluir, cuando
exista, en el proceso general de gestión del riesgo de la organización. En este caso, los profesionales de la gestión de
documentos deberían tener en cuenta el contexto interno y externo de la organización, así como el contexto del propio
proceso de gestión del riesgo, incluyendo:
a) Roles y responsabilidades: se debería especificar el rol de los profesionales de la gestión de documentos en la
apreciación de los riesgos relacionados con los procesos y sistemas de gestión documental.
b) Alcance y amplitud de las actividades de apreciación del riesgo: para evitar redundancia y conflictos y para facilitar
un enfoque integral de la gestión del riesgo que incluya la gestión de documentos, se deberían hacer explícitas las
relaciones con otras áreas de apreciación del riesgo, como la seguridad de la información.
c) Metodología: se debería aplicar la metodología normalizada de apreciación del riesgo utilizando las herramientas de
apreciación del riesgo y reportando a la persona o área designada.
d) Criterios de riesgo: cuando se hayan establecido criterios de riesgo generales para la organización se deberían usar
para apreciar los riesgos relacionados con los procesos y sistemas de gestión documental.

Cuando la organización no haya establecido un proceso general de gestión del riesgo, los profesionales de gestión de
documentos necesitan establecer los criterios de riesgo que se aplicarán para los procesos y sistemas de gestión
documental al comienzo del proceso de apreciación del riesgo.

4.2 Criterios de riesgo

Los criterios deberían derivarse de los requisitos legales de la jurisdicción donde se encuentra la organización y
deberían incluir:
a) la naturaleza y los tipos de consecuencias que se pueden producir, y como se medirán;
b) la forma en que se expresa la probabilidad;
c) cómo se determinará el nivel de riesgo;
d) el criterio por el cual se decide cuándo un riesgo necesita tratamiento;
e) el criterio por el que se decide cuándo un riesgo es aceptable o tolerable; y
f) cuándo y cómo se tendrán en cuenta combinaciones de riesgos.

Con respecto a la naturaleza y tipos de consecuencias a incluir en la apreciación del riesgo relacionado con procesos y
sistemas de gestión documental, hay un punto de partida general que se aplica a todas las organizaciones. Los
documentos que son auténticos, fiables, íntegros y usables durante todo el tiempo que se requieren soportan las
necesidades de la organización. Los riesgos se identifican basándose en su potencial para socavar estas características
generales de los documentos haciendo que no satisfagan los propósitos para los que fueron creados.

Para información sobre la probabilidad y la frecuencia de sucesos en la apreciación del riesgo, véase 6.2.

Los criterios para evaluar los riesgos, incluyendo los criterios por los cuales se decidirá cuándo un riesgo es aceptable o
necesita tratamiento, incluyen el tamaño y alcance de los sistemas de gestión documental de la organización, el número
de usuarios y el uso que se hace del sistema en las operaciones de la organización.

De la misma manera, los criterios para evaluar los riesgos que afectan a los procesos de gestión documental deberían
incluir la frecuencia del proceso, cuántos sistemas se usan en el mismo, y su importancia relativa en la creación o
gestión de los documentos, el seguimiento de los procesos y el potencial para revertir o remediar los potenciales efectos
adversos.

4.3 Asignación de la prioridad

En general, la organización debería determinar qué documentos son los documentos principales de sus actividades y el
nivel de importancia que se les asigna. Estas son decisiones de la organización basadas en el asesoramiento, tanto de los
profesionales de la gestión de documentos, como de los gestores de negocio.

La prioridad asignada a los documentos individuales, sus agrupaciones, los procesos de gestión documental o los
sistemas de gestión documental específicos también se puede evaluar en relación con las respuestas a desastres mayores
que afectan a todas o a la mayor parte de las actividades de la organización. Por ejemplo, ciertos documentos son
necesarios en el período inmediatamente posterior a un desastre natural, como las direcciones de los contactos de
seguridad y los números de teléfono, los documentos sobre las entradas a los edificios/instalaciones, los detalles de
contacto de los equipos de intervención, o los detalles de la política de seguros y los contactos de las aseguradoras. Otro
ejemplo, los planes de continuidad del negocio de la organización deberían identificar las funciones que se deberían
restaurar en primer lugar y los documentos que son necesarios para hacerlo.

Se debería prestar una atención especial cuando una combinación de riesgos se aplica a los documentos identificados
como fundamentales para la operación.

5 Identificación del riesgo

5.1 Generalidades
La identificación del riesgo se estructura bajo las siguientes categorías relacionadas con la creación y el control de
documentos en la organización: contexto, sistemas y procesos.

El contexto externo se refiere al entorno político, social, macroeconómico y tecnológico, así como al entorno físico; son
factores fuera del control de la organización con impacto en sus actividades y que se deberían tener en cuenta a la hora
de determinar los requisitos documentales. El contexto externo incluye a las partes interesadas externas que tengan un
interés especial en las actividades de la organización.

La organización también tiene un contexto interno, que consiste en aquellos factores internos no controlados por la
persona responsable de los procesos y sistemas de gestión documental. El contexto interno incluye factores como la
estructura o las finanzas de la organización, el despliegue de tecnología, la dotación de recursos (personas y
presupuestos) y la cultura de la organización, todo lo cual influye en las políticas y el modo en que se gestionan los
documentos.

Las potenciales acciones que generan incertidumbre pueden ser tanto externas como internas a la organización.

La incertidumbre causada por cambios en el contexto externo puede diferir según la perspectiva de los diferentes
niveles de la organización (véase la figura 2). También se reconoce que todo cambio presenta oportunidades que pueden
ser positivas.

Figura 2 – Múltiples capas de contexto de los documentos y los procesos de gestión

documental de una organización

El objetivo de la identificación del riesgo es detectar lo que puede suceder o qué situaciones pueden darse que puedan
afectar a la capacidad de los documentos para satisfacer las necesidades de la organización.

El proceso de identificación del riesgo incluye la detección de las causas y el origen del riesgo, las acciones, situaciones
o circunstancias que podrían tener un impacto material sobre los objetivos de la organización, así como la naturaleza de
ese impacto. Hay varios métodos para la identificación del riesgo. Véase la Norma ISO 31010, anexo B, para una
comparación sobre los principales métodos.

La identificación del riesgo debería documentarse en un registro de riesgos, ya sea en un registro específico para
documentos o en el registro de riesgos de la organización. Véase el ejemplo en el anexo A.

NOTA El anexo B es un ejemplo de lista de verificación basada en la estructura del capítulo 5 de este texto, que se puede usar en una organización
para la identificación sistemática de los riesgos relacionados con los procesos y sistemas de gestión documental.

5.2 Contexto: factores externos

5.2.1 Áreas de incertidumbre: cambios en el contexto político-social
Los cambios en el entorno social y político, a nivel nacional o internacional, pueden afectar tanto a las actitudes
públicas de los gobiernos como a los comportamientos corporativos. Estos cambios pueden conllevar modificaciones
legales y normativas que tienen impacto en las operaciones de la organización y, como consecuencia, en los requisitos
de la gestión de sus documentos.

Algunos ejemplos de cambio en entornos que afectan a los requisitos de la gestión de los documentos son los
relacionados con la seguridad nacional, el acceso a la información gubernamental o corporativa, la privacidad, los
derechos de propiedad intelectual y la información sobre responsabilidad corporativa. De modo general, ejemplos de las
áreas de incertidumbre incluyen:

a) cambios legales y normativos que afectan a los requisitos de gestión documental de la organización;

b) cambios en las políticas de gobierno que afectan a los documentos, sistemas y procesos de gestión documental de la
organización;

c) nuevos estándares o prácticas recomendadas que afectan a los documentos, sistemas y procesos de gestión
documental de la organización;

d) cambios en la demanda de servicios documentales;

e) cambios en las expectativas de las partes interesadas;

f) cambios en la reputación, o en la confianza, de la capacidad de la organización para prestar sus servicios.

5.2.2 Áreas de incertidumbre: entorno macroeconómico y tecnológico

Los cambios en el entorno macroeconómico, el entorno de negocio e industrial, así como en la tecnología de la
información tienen un alto impacto en la competencia y en la demanda de los clientes. Los cambios pueden ser
graduales y continuos, o puntuales debido a una crisis, pero también constituyen un área de incertidumbre que puede
ofrecer oportunidades positivas.

Algunos ejemplos de las áreas de incertidumbre derivados de estos cambios macroeconómicos o de negocio incluyen:

a) cambios en la propiedad y/o en los beneficios de la organización que afectan a las prioridades de gestión, incluyendo
a la gestión de los documentos;

b) cambios en los objetivos, funciones y operaciones de la organización, modificando los requisitos de la gestión
documental;

c) incremento de la actividad de los organismos reguladores, que aumenta la demanda externa de documentos;

d) incremento de litigios, que aumenta la necesidad de documentos;

e) introducción y adopción de nuevas tecnologías de modo transversal en la sociedad;

EJEMPLOS La propagación de las tecnologías en la sociedad para uso comercial o uso de dispositivos móviles para
actividades de negocio.

f) cambios en el mercado y en los clientes de base de la organización.

Estos cambios deberán reflejarse en los cambios organizacionales que se tratan a continuación (véase 5.3.1).

5.2.3 Áreas de incertidumbre: entorno físico e infraestructura

La posibilidad de grandes desastres, naturales o provocados por el hombre, que afectan a las operaciones generales de la
organización es una gran área de incertidumbre que requiere de identificación y apreciación. El daño potencial de este
tipo de desastres incluye un impacto directo en los documentos y en su almacenamiento, y un impacto menos directo
por la pérdida de servicios básicos, como por ejemplo suministro de agua o energía, entre otros. Las áreas de
incertidumbre incluyen:

a) fenómenos destructivos o trastornos a nivel regional o local, como terremotos, huracanes o ciclones, tsunamis,
inundaciones, incendios, grandes tormentas o sequías prolongadas.

b) potenciales acciones de guerra o terrorismo que causan grandes daños estructurales o interrupción del suministro a
las instalaciones o alrededores de la organización;

c) cualquier otro trastorno en relación a la energía, agua, gestión de residuos, tecnología de la información, servicios de
transporte u otras utilidades y servicios de la organización.

5.2.4 Áreas de incertidumbre: amenazas de seguridad externas

La identificación del riesgo debería incluir las amenazas hostiles de seguridad, con sus potenciales impactos, desde
daños en las instalaciones o en la prestación de servicios hasta accesos no autorizados a los sistemas, incluyendo al
sistema de gestión documental. Ejemplos de amenazas de seguridad externas incluyen:

a) intrusiones/accesos externos no autorizados al sistema de gestión documental así como cambios no autorizados en
los documentos;

b) fallos de seguridad o vulnerabilidad no identificados ni monitorizados, que conducen a la degradación de la

información;

EJEMPLO Espionaje o virus informáticos; vulnerabilidad a causa de brechas de seguridad o debilidades en un software sin
parches.

c) intrusiones físicas dentro del archivo de documentos o del hardware de la infraestructura tecnológica;

d) interrupción o cualquier otro ataque intencionado en los servicios de Internet;

e) vandalismo físico;

f) pérdida de servicios de terceros, de los cuales depende el sistema de gestión documental.

NOTA La apreciación del riesgo es un elemento integral de la implantación de la serie de Normas ISO/IEC 27000 para la seguridad de la
información. En la misma se proporciona una amplia cobertura de las áreas de incertidumbre en relación con la seguridad de la información.

5.3 Contexto: factores internos

5.3.1 Áreas de incertidumbre: cambios en la organización
Las decisiones de gestión que afectan a la organización, como fusiones, absorciones y otras adquisiciones, reestructu-
raciones, reducciones, externalizaciones o lo contrario, deslocalización de servicios, constituyen un área de incerti-
dumbre significativa en el contexto interno de una organización. Estas decisiones afectarán a los procesos y a los
sistemas de gestión documental, por ejemplo:

a) cambio en la propiedad de los documentos y de los sistemas de gestión documental y, consecuentemente,

transferencias y traslados de documentos a y desde la organización;

b) cambio en la propiedad de los documentos y de los sistemas de gestión documental que tiene como resultado la
migración forzosa de documentos o la fusión de sistemas de gestión documental;

c) acuerdos de acceso a los sistemas de gestión documental después de transferencias y migraciones sucesivas para
mantener el derecho de acceso a los documentos;

d) herencia de la responsabilidad sobre los documentos y los sistemas de gestión documental sin la documentación
adecuada;

e) pérdida de la memoria corporativa o personal que afecte al conocimiento de los documentos y sistemas, incluyendo
el conocimiento de procedimientos para recuperarlos y utilizarlos, así como de documentos antiguos derivados de
cambios organizacionales;

f) abandono de documentos o sistemas de gestión documental, especialmente en sistemas heredados, sobre los que no
hay responsabilidades asignadas;

g) cambio de los términos en los contratos de servicios con terceros;

h) nuevas políticas internas o modificaciones en las políticas existentes de la organización que afecten a los sistemas y
procesos de gestión documental;

i) políticas y procedimientos que no hayan sido revisados y actualizados y que ya no son aplicables o son
inconsistentes o contradictorios tras cambios en la organización;

j) cambios en el personal de la organización que pueden afectar a las responsabilidades sobre los documentos;

k) cambios en las políticas de personal, presupuestos y oportunidades de formación que pueden afectar a la capacidad
de los responsables de la gestión de los documentos;

l) plan de recuperación ante desastres no actualizado, que puede afectar a los documentos en caso de desastre.

5.3.2 Áreas de incertidumbre: cambio tecnológico

La introducción de nuevas tecnologías y sistemas es una oportunidad para la mejora pero también puede incluir áreas de
incertidumbre con potenciales efectos adversos. Estas áreas de incertidumbre incluyen:

a) cambios tecnológicos que afectan a la interoperabilidad entre sistemas de creación y control de documentos;

b) compatibilidad con plataformas y aplicaciones existentes;

c) planificación e implementación de la migración de documentos;

d) reconfiguración de responsabilidades y controles de los procesos de gestión documental;

e) efectividad en la implementación de los cambios;

EJEMPLO Adecuación de la planificación y gestión de un proyecto para implementar una nueva plataforma o software.

f) medida en que las políticas existentes abarcan las nuevas tecnologías adoptadas por la organización;

EJEMPLO Uso de servicios en la nube, medios de comunicación social, RFID, GPS.

g) capacidad de los administradores y desarrolladores, que despliegan nuevas tecnologías, para entender las implica-
ciones de las mismas en relación con los requisitos de la gestión de documentos, tanto en fases de proyecto como de
ejecución;

EJEMPLO Uso de software colaborativo o entornos wiki para el desarrollo de proyectos IT, que no capturan adecuadamente
los documentos del proyecto ni la documentación del sistema.

h) capacidad de la infraestructura técnica existente para cumplir con los nuevos requisitos resultantes del desarrollo
tecnológico de la organización y de los sistemas de gestión documental.

5.3.3 Áreas de incertidumbre: recursos – Personas y competencias

Las organizaciones dependen de contar con personal competente para realizar sus actividades incluyendo los procesos y
sistemas de gestión documental. Las áreas de incertidumbre sobre los profesionales de gestión documental o el personal
responsable de la gestión de documentos incluyen:

a) número de personas que crean y controlan documentos y que diseñan y mantienen el sistema de gestión documental;

b) conocimiento de las políticas y procesos de gestión documental;

c) compromiso de la alta dirección en dar soporte a la gestión de los documentos;

d) conocimiento de los riesgos relacionados con los procesos y sistemas de gestión documental, así como la capacidad
de la alta dirección para tomar decisiones apropiadas para su disminución;

e) gestión de las relaciones entre las responsabilidades administrativas sobre los sistemas de gestión documental y los
puntos de vista de los usuarios;

f) adecuación de las capacidades del personal para la creación y el control de los documentos;

g) pérdida de personal esencial con habilidades clave, conocimiento en profundidad de la organización o de su historia;

h) deterioro de los niveles de habilidad del personal;

i) adecuación de los medios para evaluar la eficacia o idoneidad del personal.

5.3.4 Áreas de incertidumbre: recursos – Económicos y materiales

El contexto externo, el entorno económico y de negocio, así como el nivel de apoyo a la gestión documental en la
organización, afecta a los recursos económicos y materiales disponibles para una adecuada gestión de los procesos y
sistemas de gestión documental. Las áreas de incertidumbre incluyen:

a) adecuación de los recursos económicos para alcanzar los compromisos y objetivos de la gestión documental;

b) adecuación de los recursos económicos para la adquisición, mejora o mantenimiento de los sistemas de gestión
documental.

5.4 Sistemas de gestión documental

En la apreciación del riesgo relacionado con los sistemas que crean o controlan documentos se debería tener en cuenta
tanto el diseño de los sistemas de gestión documental, como los problemas de mantenimiento, sostenibilidad,
continuidad, interoperabilidad y seguridad. Los sistemas de gestión documental que usa la organización cambian a lo
largo del tiempo, en consonancia con las circunstancias económicas, cambios en las actividades y el personal y cambios
de tamaño y estructura. Es fundamental que la alta dirección esté informada adecuadamente sobre el riesgo relacionado
con los sistemas de gestión documental y asuma la responsabilidad de la respuesta de la organización.

NOTA 1 Las referencias a sistemas en esta sección deberían entenderse como referencias a sistemas o aplicaciones de gestión documental, tal como
se definen en el apartado 3.2.1.

NOTA 2 Cuando se identifican riesgos en relación con los sistemas de gestión documental en organizaciones que han implementado los controles de
la Norma ISO/IEC 27001, los profesionales de la gestión documental deberían tener en cuenta cómo esos controles pueden mitigar el
riesgo en algunas áreas de incertidumbre. En las organizaciones en que la Norma ISO/IEC 27001 no se haya implementado, estos controles
pueden utilizarse como una fuente para definir las acciones de tratamiento de los riesgos. El anexo C es una tabla que relaciona los
ejemplos de las áreas de incertidumbre relacionadas con sistemas de gestión documental con los controles de la Norma ISO/IEC 27001.

5.4.1 Áreas de incertidumbre: diseño del sistema

La configuración y el diseño del sistema son aspectos críticos en la creación y perdurabilidad de los documentos. El
diseño interactúa con la identificación del riesgo para los procesos de gestión documental. Una adecuada
documentación de la configuración del sistema es la base para abordar otras áreas de riesgo a nivel de sistema, pero
también para los procesos que se realizan en el sistema.

NOTA Véase el apartado 5.5 para procesos documentales que se realizan en sistemas de gestión documental.

Basado en la experiencia actual, la identificación de riesgos en el diseño de sistemas, especialmente en contextos

digitales, incluye:

a) definición de los documentos que el sistema crea y gestiona de forma adecuada;

EJEMPLO Todos los elementos del documento en una base de datos transaccional se identifican y gestionan, de modo que las
transacciones se pueden recuperar y recrear.

b) adecuada identificación de los requisitos de conservación;

EJEMPLO Los periodos de conservación y los detonantes de las acciones de disposición están especificados en los elementos
del documento.

c) identificación y documentación de todos los procesos documentales que se gestionan en el sistema;

d) efectividad del diseño del sistema de gestión documental que se adecúa al personal y la tecnología de la
organización;

e) negociación de la dependencia del soporte del proveedor;

f) acceso a la documentación del proveedor.

5.4.2 Áreas de incertidumbre: mantenimiento

El mantenimiento del sistema de gestión documental se refiere ante todo a la plataforma tecnológica y a los aspectos
que se pueden ver afectados por cambios estructurales en la organización, por la implementación de nuevos sistemas,
por un cambio tecnológico, o por la competencia y fiabilidad del soporte técnico.

Las áreas de incertidumbre incluyen:

a) cambios en el negocio y en los sistemas operativos que afecten a los sistemas de gestión documental;

b) nivel de habilidad de los administradores del sistema y su comprensión de los requisitos de mantenimiento de los
documentos incluidos en el sistema;

c) fiabilidad del proveedor del sistema y de su capacidad para mantener y conservar los sistemas tecnológicamente al
día;

d) adecuación de la documentación de los procedimientos operativos de mantenimiento;

e) adecuación de la documentación técnica del sistema;

f) adecuación de los procedimientos de copia de seguridad para el sistema de gestión documental;

g) adecuación de la recuperación desde la copia de seguridad.

5.4.3 Áreas de incertidumbre: sostenibilidad y continuidad

La sostenibilidad del sistema de gestión documental depende de que la supervisión de los cambios en el contexto
interno y externo de la organización permita que el sistema esté actualizado y responda a los mismos cuando sea
necesario.

El plan de continuidad del sistema de gestión documental tiene en cuenta el plan de continuidad del negocio. En
ausencia de un plan de continuidad de negocio para la organización, los profesionales de la gestión documental evalúan
los sistemas de gestión documental para establecer prioridades y procedimientos para la restauración después de una
interrupción del servicio.

Las áreas de incertidumbre incluyen:

a) cambios en el contexto interno y externo que afecten a los requisitos de la gestión de documentos de la
organización;

b) adecuación del control de garantía de calidad para identificar cambios en los requisitos de gestión documental;

c) adecuación de la evaluación del coste actual de la implementación y el mantenimiento de los sistemas de gestión
documental, incluyendo los recursos humanos;

d) adecuación de la identificación y la documentación de los sistemas de gestión documental;

e) mantenimiento y accesibilidad de las especificaciones y documentación del sistema;

f) adecuación de la documentación de las decisiones tomadas en la implementación disponible para los usuarios que la
necesiten;

g) capacidad del sistema de gestión documental para mantener la usabilidad de los documentos;

h) capacidad de importar documentos heredados o de otros sistemas de gestión;

i) migración de los documentos a nuevos sistemas de gestión documental, ya sea debido a cambios en los requisitos de
la gestión documental o en la tecnología;

j) cambios en otros sistemas de los que el sistema de gestión documental depende;

k) capacidad de los sistemas basados en la nube de exportar documentos cuando se requiera y de reintegrarlos en el
sistema de gestión documental de la organización;

l) adecuación del historial de eventos del sistema de gestión documental, incluyendo su conservación y la gestión de la
dependencia de otros sistemas, permitiendo que permanezca comprensible a lo largo del tiempo;

EJEMPLO Mantenimiento de documentación sobre los identificadores únicos usados en el historial de eventos para los
usuarios o las unidades organizativas.

m) capacidad del sistema de gestión documental de dar soporte a la continuidad del negocio proporcionando acceso a
los documentos en caso de desastre;

n) plan de contingencia para las interrupciones del servicio.

5.4.4 Áreas de incertidumbre: interoperabilidad

Los sistemas de gestión documental se relacionan con, y dependen de, otros sistemas que pueden tener puntos
vulnerables.

Las áreas de incertidumbre incluyen:

a) adecuación de la identificación y especificación de la interoperabilidad requerida entre los sistemas de gestión

documental y otros sistemas de gestión;

b) dependencia del sistema de gestión documental de fuentes de datos externas y capacidad para intercambiar, enlazar
o referenciar los datos en estos sistemas (por ejemplo, la nube u otros servicios de almacenamiento externo);

c) compatibilidad con normas o especificaciones para el intercambio de documentos o la interoperabilidad entre

sistemas;

d) efectividad de la interoperabilidad del sistema tras cambios o actualizaciones tecnológicas en uno, o en ambos, de
los sistemas que interoperan;

e) gestión de los metadatos relacionados con los controles documentales para mantener la usabilidad y el significado de
los documentos entre sistemas.

5.4.5 Áreas de incertidumbre: seguridad

La apreciación del riesgo en la seguridad de los sistemas de gestión documental puede llevarse a cabo utilizando la serie
de Normas ISO/IEC 27000 y aplicarse como parte del sistema de gestión de seguridad de la información cuando se haya
implementado.

En los anexos B, C y D de la Norma ISO/IEC 27005 se incluyen ejemplos de áreas de incertidumbre que son aplicables
a cualquier sistema de información. Las incertidumbres específicas de los sistemas de gestión documental incluyen:

a) adecuación de la política de seguridad de la organización con respecto a los documentos, procesos documentales y
sistemas de gestión documental;

b) capacidad de aplicar y proteger las normas de acceso y permisos en relación a los documentos, procesos
documentales y sistemas de gestión documental;

c) políticas y controles para terceros que trabajan en nombre de la organización que afectan al almacenamiento, acceso
y control de los documentos y sistemas de gestión documental.

5.5 Procesos documentales

La identificación de riesgos se centra en la creación de los documentos (o algunos de sus elementos), en los procesos de
control para gestionarlos y en los sistemas de gestión documental.

NOTA Se asume que los profesionales de la gestión de documentos utilizan como guía en el diseño de documentos y procesos documentales las
Normas ISO 15489, Partes 1 y 2, e ISO 23081, Partes 1, 2 y 3.

5.5.1 Áreas de incertidumbre: diseño de los documentos

Las áreas de incertidumbre en el proceso de diseño son:

a) las actividades de negocio se analizan convenientemente para identificar los requisitos de gestión de documentos;

b) la recogida de requisitos se hace de forma detallada para cada proceso de negocio, incluyendo las necesidades de
todas las partes interesadas;

c) idoneidad del diseño de los documentos (por ejemplo, identificación del contenido y definición de metadatos para
identificar, describir y utilizar, historial de eventos y planificación de eventos) para cumplir con los requisitos;

d) nomenclatura y clasificación adecuadas al propósito de los documentos.

5.5.2 Áreas de incertidumbre: creación de documentos e implementación de sistemas de gestión documental

Las áreas de incertidumbre en los procesos de creación e implementación son:

a) los momentos de creación y captura de todos los elementos de los documentos son apropiados (oportunos,
integrados, completos) para el proceso de negocio y el(los) sistema(s) de gestión documental;

b) efectividad de la integración de la creación de documentos y los procesos de control de los mismos con los procesos
de negocio, cuando proceda;

c) las responsabilidades de los creadores de documentos y de otros agentes participantes en las operaciones (si fuesen
diferentes) están definidas y documentadas adecuadamente;

d) la asignación de responsabilidades de captura de documentos de la organización desde entornos externos cumple

con los requisitos identificados;

e) las especificaciones de metadatos están adecuadamente documentadas y mantenidas;

f) los procesos para gestionar y registrar el acceso a los documentos están adecuadamente documentados y
monitorizados.

5.5.3 Áreas de incertidumbre: metadatos

Las áreas de incertidumbre en los procesos de gestión de metadatos son:
a) las especificaciones técnicas de los metadatos para documentar los documentos y los procesos documentales están
accesibles;
b) la gestión de las especificaciones posibilita su actualización cuando se requiera.

5.5.4 Áreas de incertidumbre: uso de los documentos y de los sistemas de gestión de documental
Las áreas de incertidumbre en el acceso y el uso de los procesos son:
a) recuperación pertinente y a tiempo en el acceso a los documentos cuando se requieren;
b) adecuación de la gestión de permisos de usuarios para todos los procesos documentales;
c) gestión de los fallos de seguridad u otros controles de acceso;
d) mantenimiento de la información sobre quién ha accedido o ha modificado documentos a lo largo del tiempo;
e) adecuación de la formación del personal que usa los procesos;
f) cumplimiento con los procedimientos.

[Link] Áreas de incertidumbre: mantenimiento de la usabilidad

Las áreas de incertidumbre en los procesos de mantenimiento son:

a) mantenimiento del significado de los metadatos a lo largo del tiempo, en especial los que dependen de datos o
enlaces de sistemas externos;

b) adecuación de los procesos documentales para preservar la autenticidad y fiabilidad de los documentos a lo largo del
tiempo;

c) mantenimiento de la accesibilidad de los documentos a lo largo del tiempo;

d) gestión de la utilización de la encriptación de documentos para las transmisiones;

e) adecuación de la gestión de versiones de los documentos a lo largo del tiempo;

f) adecuación de la retención del historial de eventos de los documentos, para mantener su significado a lo largo del
tiempo;

g) aspectos de obsolescencia de software (incluyendo los cambios de formato) y hardware relacionados tanto con los
procesos documentales como con los sistemas de gestión documental.
EJEMPLO Las versiones antiguas de documentos digitales pueden no ser accesibles a través de las distintas versiones de las
aplicaciones.

5.5.5 Áreas de incertidumbre: disposición de documentos

Las áreas de incertidumbre en los procesos de disposición son:

a) disposición de los documentos implementada tal y como ha sido diseñada y autorizada;

b) procedimientos de disposición que incluyen la conservación más allá del periodo de retención cuando se requiere;

EJEMPLO Documentos requeridos para procedimientos legales o solicitados bajo las leyes de “Libertad de Información” pasada
su fecha de disposición.

c) la implementación de la disposición está documentada;

d) la destrucción está apropiadamente autorizada y documentada;

e) se han iniciado pruebas de recuperación forense del hardware y/o dispositivos de almacenamiento descartados.

EJEMPLO Adecuación del reformateado de los discos duros de los ordenadores y las impresoras, o dispositivos de
almacenamiento, así como USB de memoria, para la eliminación de todos los documentos.

6 Análisis de los riesgos identificados

6.1 Generalidades
Los riesgos se analizan para determinar sus consecuencias potenciales y la probabilidad de que ocurran.

En el caso de los procesos y sistemas de gestión documental, las consecuencias se identifican de acuerdo a las áreas de
incertidumbre y el escalado de acuerdo al criterio establecido para la organización tal y como se especifica en el
capítulo 4.

Asimismo deberían tenerse en cuenta los controles existentes y su efectividad y eficiencia.

6.2 Análisis y estimación de probabilidad

La probabilidad (o frecuencia) es la posibilidad de que un evento de riesgo ocurra. La probabilidad de que los riesgos
identificados ocurran es analizada de acuerdo a la naturaleza del área de incertidumbre y los datos disponibles a lo largo
de un periodo de tiempo suficiente para una estimación creíble.

Cada riesgo tiene que ser evaluado con respecto a la combinación de la probabilidad de que algo ocurra y las
consecuencias que alcanzarían si realmente ocurriera.

La probabilidad puede ser expresada de diferentes maneras, pero normalmente son relativas al nivel de riesgo. Los
métodos cualitativos pueden combinar consecuencias, probabilidad y nivel de riesgos mediante niveles significativos
cómo “alto”, “medio” y “bajo”.

Los métodos semi-cuantitativos utilizan escalas numéricas para las consecuencias y probabilidades y las combinan
utilizando una fórmula para determinar el nivel de riesgo. Las escalas pueden ser lineales o logarítmicas, o tener
cualquier otra relación; la fórmula utilizada puede también variar.

Los métodos puramente cuantitativos, que utilizan valores numéricos para las consecuencias y sus probabilidades, se
pueden utilizar (estadísticamente) donde haya datos disponibles sobre el desempeño de los procesos y sistemas de
gestión documental por un período de tiempo considerable.

Escalar la frecuencia del evento a lo largo de un eje de tiempo podría ser apropiado para los procesos y sistemas de
gestión de documental. Un ejemplo de cómo se puede escalar la probabilidad se muestra en la tabla 1.

Tabla 1 – Ejemplo de escalado de probabilidad

Puntuación de probabilidad Interpretación

1 Probabilidad muy baja, ocurre una vez cada 10 años o menos
2 Probabilidad baja, ocurre una vez cada 3 años o menos
3 Probabilidad media, ocurre una vez al año
4 Probabilidad muy alta, ocurre al menos una vez al mes

6.2.1 Contexto: factores externos

La evaluación de la probabilidad de los eventos de riesgo – en los entornos sociopolítico, macroeconómico de negocio y
físico – se basa en las siguientes categorías de información histórica y actual:

a) cambios de gobierno o administraciones;

b) estadísticas u otros informes de datos macroeconómicos y de negocio;

c) patrones de cambios políticos o sociales en el plano nacional o internacional que influyen en la localización
geográfica de la organización;

d) ritmo del cambio tecnológico y de su adopción en la sociedad;

e) clima extremo o fenómenos físicos adversos, incluyendo interrupción de las infraestructuras.

Puede haber una frecuencia muy baja o ninguna instancia histórica de eventos de clima extremo (ejemplo, huracanes) o
fenómenos físicos adversos (ejemplo, fuegos o cortes generalizados de corriente), pero no se puede asumir que dichos
eventos no puedan ocurrir. Dados los desastrosos efectos de tales eventos, la evaluación de riesgos debería incluir esta
posibilidad.

6.2.2 Contexto: factores internos

La evaluación de la probabilidad para los eventos de riesgo relacionados con cambios de estructura y actividades, el uso
de la tecnología y de los recursos en la organización está basada en información acerca de su historia reciente en las
siguientes categorías:

a) cambios en la alta dirección (incluyendo privatizaciones, fusiones y adquisiciones) y sus consecuencias;

b) el propio patrón de la organización para dar respuesta a cambios externos, tales como cambios regulatorios,
desarrollo tecnológico o clima financiero;

c) competencias del personal y régimen de formación interna;

d) rotación del personal.

La historia de los cambios recientes debería ponerse en contexto con la naturaleza de las actividades de la organización,
su tamaño y su propia cultura.

EJEMPLO Las organizaciones con un fuerte enfoque a la competencia comercial o con historial de adopción temprana de nuevas
tecnologías, es más probable que implementen nuevas tecnologías que una organización sin ánimo de lucro, donde los
clientes son ancianos o personas en riesgo de exclusión. En organizaciones sin ánimo de lucro, el cambio en la
financiación es uno de los factores con más probabilidades de forzar un cambio interno. La evaluación del ratio de
probabilidad de cambios internos en las organizaciones está basada en información que es específica para cada
organización.

6.2.3 Sistemas
La apreciación de la probabilidad de eventos de riesgo en el área de sistemas se basa en la información recopilada sobre
seguridad, continuidad, gestión de recursos, interoperabilidad y mantenimiento (todos los que identifican anomalías,
errores de ejecución, asuntos en curso y problemas utilizados para establecer la frecuencia estimada).

Los aspectos de seguridad de los sistemas de gestión documental, su interoperabilidad y gestión general de recursos se
definen y documentan en las etapas de diseño y revisión, mientras que la planificación de la continuidad es un aspecto
general del programa de gestión del riesgo de la organización.

Los procesos involucrados en el diseño de sistemas podrían ser vulnerables a eventos de riesgo que pueden afectar a los
procesos documentales. Esto se debería tener en cuenta cuando se aprecie la probabilidad de eventos de riesgo en la
etapa de diseño de sistemas.

El análisis de los documentos generados en los procedimientos de mantenimiento proporciona una base sólida para
apreciar la probabilidad de eventos adversos. El mantenimiento de sistemas abarca tanto los aspectos procedimentales
como los tecnológicos.

La información de seguimiento del control de calidad que identifica las no conformidades en los procedimientos de
mantenimiento se debería analizar para apreciar la frecuencia de ocurrencia e identificar cualquier patrón que pudiera
emerger. Tales patrones de no conformidad se deberían analizar frente las especificaciones del diseño del sistema.

Las pistas de auditoría y registros similares de seguridad o brechas en las restricciones de acceso se deberían igualmente
analizar para identificar cualquier patrón emergente y para evaluar su frecuencia y causas. Los registros que certifican
que las copias de seguridad se han realizado de acuerdo con las especificaciones de diseño deberían proporcionar
información que indique cualquier vulnerabilidad y frecuencia de ocurrencia.

La apreciación de la probabilidad de eventos adversos en relación con sistemas debería tener en cuenta la prioridad
asignada a los diferentes sistemas de gestión documental.

6.2.4 Procesos
Los procesos de los sistemas de gestión documental establecidos experimentan un cambio incremental a través de
respuestas pragmáticas a las anomalías o eventos menores imprevistos, que pueden acumularse a lo largo del tiempo en
ausencia de revisiones conscientes y correcciones documentadas. La acumulación de cambios incrementales en los
procesos documentales constituye un área de incertidumbre tan significativa como los eventos adversos externos y
mayores. La probabilidad de divergencia ocasionada por las especificaciones de diseño se evalúa/aprecia desde el
análisis de las no conformidades y cambios anómalos autorizados en circunstancias especiales.

La apreciación de la probabilidad de eventos de riesgo en el área de los procesos documentales está basada en la
información acumulada sobre el uso de documentos y controles documentales e instrumentos, tales como los esquemas
de clasificación y los calendarios de conservación.

Las fuentes de información relevante incluyen:

a) estadísticas de documentos creados y utilizados;

b) registro de no conformidades del control de calidad;

c) cambios en esquemas de metadatos;

d) datos sobre el uso de los calendarios de conservación;

e) datos sobre cambios en las restricciones de accesos y brechas de seguridad.

El análisis del grado de cumplimiento de la información acumulada se puede utilizar para identificar las áreas de
actividad de la organización donde la creación de documentos no identifica requisitos, cambios de requisitos o nuevas
áreas de actividad.

El análisis del grado de cumplimiento y de los registros de no conformidades debería proporcionar una base para
identificar cualquier patrón de cambio en el que las aplicaciones de gestión de documentos no hayan respondido
adecuadamente, indicando las vulnerabilidades.

7 Evaluación de los riesgos

7.1 Generalidades
El propósito de la evaluación del riesgo es ayudar a tomar decisiones sobre qué riesgos necesitan tratamiento y con qué
prioridad, partiendo de los resultados del análisis de los riesgos.

La evaluación del riesgo implica comparar el nivel de riesgo detectado durante el proceso de análisis con los criterios de
riesgo establecidos en ese contexto. En base a esta comparación, se puede considerar la necesidad de tratamiento.

La escala de consecuencias adversas y la adecuación de los controles existentes se pueden juntar con una tabla de
probabilidad para ayudar a identificar los riesgos que deberían ser el foco de las acciones, medidas o tratamientos.

Las decisiones pueden incluir:

a) si un riesgo necesita tratamiento;

b) las prioridades para el tratamiento;

c) si una actividad debería llevarse a cabo;

d) cuál de las posibles opciones se debería adoptar.

La evaluación del riesgo en relación con la probabilidad y las consecuencias adversas debería dar el suficiente peso a
los incidentes excepcionales o sin precedentes cuando tienen un impacto generalizado y grave hasta el punto de
catastrófico. Asimismo, el impacto de una acumulación de incumplimientos leves o no conformidades puede ser muy
superior a un incidente individual si el resultado es el deterioro de la integridad y fiabilidad de los documentos o del
sistema de gestión de documentos.

Como se mencionó en la introducción, las consecuencias de los eventos de riesgo se identifican con la pérdida o daño
de los documentos que afecta a su usabilidad, fiabilidad, autenticidad, completitud e inalterabilidad en el tiempo y, por
consiguiente, pueden fallar en dar soporte a las actividades de la organización.

Un evento puede tener impactos de diferentes magnitudes y afectar a diferentes objetivos y partes interesadas. Cuando
se establecen los criterios de la organización para el proyecto de apreciación del riesgo, se identifican los tipos de
consecuencias que hay que analizar y las partes interesadas afectadas. Cuando se evalúan el impacto del cambio, la
incertidumbre, y los eventos adversos en relación a los documentos se toma en cuenta la prioridad de los documentos.
Una evaluación que considera como menor la consecuencia de un evento adverso, puede elevarse a mayor si los
documentos dañados o perdidos son críticos en la respuesta frente a desastres o se identifican como documentos
principales del negocio.

7.2 Evaluación del impacto de los eventos adversos

Los factores a tener en cuenta son:

a) el número de usuarios y otras partes interesadas afectadas;

b) el efecto del daño o la pérdida de los documentos en las operaciones en curso de la organización;

c) las medidas ya existentes para responder a la interrupción en el acceso a los documentos;

d) el tiempo y el esfuerzo para recobrar o reemplazar los documentos afectados;

e) el impacto de la pérdida o el daño de los documentos en los derechos o propiedad de la organización;

f) el impacto de la pérdida o el daño de los documentos en la capacidad de la organización para cumplir con sus
obligaciones con todas las partes interesadas;

g) los requisitos legales y regulatorios de informar sobre los daños, pérdida o acceso no autorizado a los documentos y

h) el impacto en la imagen pública de la organización.

Esta lista no es exhaustiva. La selección de los factores a considerar se determinará según el tamaño y la naturaleza de
la organización.

El impacto potencial de los eventos adversos se puede clasificar, según el ejemplo de la tabla 2, utilizando los factores
identificados como los más relevantes para el tamaño y la naturaleza de las actividades de la organización.

Tabla 2 – Ejemplo de clasificación del impacto de los eventos adversos

Menor Moderado Mayor Severo

Incumplimiento anómalo de Acceso no autorizado a los Acceso no autorizado a los Pérdida generalizada, acceso
la restricción de acceso documentos documentos que se debería no autorizado y daño
notificar
Daño en una pequeña Daño de una significativa El daño al conjunto central Daño al conjunto central de
cantidad de documentos en cantidad de documentos en de documentos se extiende documentos en la mayoría de
un área de operaciones un área de operaciones a varias áreas las áreas de operaciones
Pérdida de datos limitada Pérdida de datos/daño a la Pérdida de datos/daño a la Pérdida de datos/pérdida de
fiabilidad fiabilidad; daño a la fiabilidad; pérdida de la
reputación confianza pública
Pérdida recuperable Aunque las operaciones no Pérdida admitida; Operaciones cerradas;
se interrumpen los interrupción de más de un esfuerzo de recuperación
documentos se recuperan área de operaciones; costoso y largo; los
con esfuerzo esfuerzo de recuperación documentos no son
costoso recuperables

7.3 Evaluación del riesgo

La escala del impacto de los eventos adversos se puede cruzar con una tabla de probabilidad para ayudar a identificar
los eventos adversos que deberían ser el centro de atención de medidas de gestión de riesgos, tales como la puesta al día
de los procedimientos o los planes de contingencia ante desastres.

La tabla 3 proporciona un ejemplo de cómo se puede determinar la escala del impacto de los incidentes adversos, en
relación a la estimación de la probabilidad, y cómo se puede presentar de forma tabular.

La evaluación del riesgo se debería hacer sobre los procesos y sistemas de gestión documental en orden de prioridad.

Tabla 3 – Ejemplos de evaluación del riesgo

EVENTO Probabilidad IMPACTO

Contexto Sistema Proceso Frecuencia Menor Moderada Mayor Severa
Documentos Alta Recuperable
mal clasifi- con los
cados, estado Mensual o más procedi-
de acceso mientos
erróneo existentes
Cambios en la Media Afecta a las
ley de restricciones
protección de Una vez al año de acceso al
la privacidad sistema de
personal y
consecuente
mente a otros
sistemas
La función de Media Recuperable
indexación del con los
sistema de Una vez al año procedi-
gestión mientos
documental existentes
falla
Documentos Media Recuperable
erróneamente con los
identificados Una vez al año procedimient
para la os existentes
destrucción
Acceso no Baja No
autorizado a recuperable;
los documen- Una vez cada se piden
tos de los 3 años disculpas al
empleados personal
Interrupción Baja Afecta a todos
del suministro los sistemas de
de energía Una vez cada gestión
durante 8 h 3 años documental; se
pierde un día
de actividad
El fuego Rara Pérdida
destruye el significativa
edificio donde Una vez cada de
se almacenan 10 años documentos;
los docu- interrupción
mentos de actividades;
pérdida de la
confianza
pública

Para utilizar la tabla 3 con este fin, se insertan en una fila en el lado izquierdo los eventos de riesgo identificados, en su
categoría correspondiente y en el nivel de frecuencia adecuado, y en el lado derecho la evaluación de su impacto. Las
organizaciones pueden puntuar el impacto y la probabilidad hasta llegar a la cifra que indique la prioridad asignada para
responder al evento de riesgo.

8 Comunicación de los riesgos identificados

Los riesgos apreciados deberían registrarse en un registro de riesgos (véase un ejemplo en el anexo A). Un registro de
riesgos es el medio para comunicar los riesgos a la dirección de la organización. Los riesgos registrados y las medidas
propuestas para responder a ellos se deberían notificar al área de la organización responsable del programa de gestión
del riesgo.

La meta principal en el análisis y la comunicación del riesgo es identificar e imponer prioridades, y tomar las decisiones
adecuadas. La comunicación del riesgo es parte de una gestión eficaz del riesgo para garantizar a toda la organización el
reconocimiento de los mismos. La apreciación del riesgo debería supervisarse y revisarse a intervalos regulares con el
fin de asegurar que los controles seleccionados para el tratamiento de los riesgos permanecen efectivos.

Anexo A (Informativo)

Ejemplo de una entrada en un registro de riesgos

Descripción del riesgo

Campos del registro Contenido
ID del riesgo 4
Nombre del riesgo Incapacidad para determinar al creador de un documento
Tipo o agrupación del riesgo Documento
Propietario del riesgo Administrador de la aplicación de gestión de documentos
(EDRMS)
Fecha de identificación 12/10/2013
Fecha de la última actualización 15/10/2013
Descripción Incapacidad para descubrir quién es el creador de un
documento registrado
Manifestación del riesgo (circunstancias en las que el Incertidumbre acerca de la unidad de negocios creadora de
riesgo puede ejecutarse) los documentos
Coste, si se materializa (monetario u otro) Bajo
Probabilidad Media
Impacto Alto
Estrategia para evitarlo Revisar y fijar las plantillas de documentos dentro de la
aplicación de gestión de documentos (EDRMS)
Estrategia para el tratamiento Revisar y fijar las plantillas de documentos dentro de la
aplicación de gestión de documentos (EDRMS)
Fecha límite 31/12/2013
Propietario de la acción/custodia Administrador la aplicación de gestión de documento
(EDRMS)
Fecha de revisión 31/01/2014
Referencias cruzadas con riesgos relacionados 3; 12

Estado del riesgo y estado de la acción Empezó la acción de mitigación del riesgo
Fecha de la última evaluación 15/10/2013

Anexo B (Informativo)

Ejemplo: listas de comprobación para identificar áreas de incertidumbre

NOTA Este es un ejemplo de una lista de comprobación que puede utilizarse habitualmente en una organización para identificar cambios o áreas de
incertidumbre durante un determinado periodo de tiempo, por ejemplo, anualmente.

B.1 Factores externos

B.1.1 Contexto socio-político
¿La organización tiene implantado un proceso para supervisar los cambios en el entorno externo?

¿La supervisión por parte de la organización ha detectado cambios en:

a) la legislación y la normativa que afectan a los requisitos de gestión documental;

b) las políticas gubernamentales que afectan a los requisitos, procesos y sistemas de gestión documental;

c) nuevos códigos de prácticas o cambios en las normas relativas a los procesos y sistemas de gestión documental;

d) la demanda de servicios documentales;

e) las expectativas de las partes interesadas en lo relativo a los documentos?

¿Se han producido acontecimientos o cambios en las circunstancias externas que hayan afectado a la reputación o la
imagen pública de la organización durante el último año?

B.1.2 Entorno macroeconómico y tecnológico

¿Se han producido cambios en la propiedad, las estructuras o las funciones de la organización durante el último año?

¿Se han producido cambios en los ingresos, la base de clientes u otros cambios en el entorno empresarial que afecten a
los requisitos de gestión documental?

¿Se han producido cambios en la actividad legislativa o en materia de litigios?

¿Se han producido desarrollos tecnológicos en la sociedad que tengan posibles consecuencias sobre la organización?

B.1.3 Entorno físico e infraestructuras

¿Los fenómenos meteorológicos extremos regionales o locales u otros desastres naturales se incluyen en los planes de
contingencia ante catástrofes?

¿Las situaciones catastróficas provocadas por el hombre (actos de guerra o terrorismo, accidentes muy graves) se
incluyen en planes de contingencia ante catástrofes?

¿La organización está preparada para hacer frente a la pérdida de servicio en los sistemas y almacenamiento de
documentos?

B.1.4 Amenazas externas a la seguridad

¿Son adecuadas las medidas de seguridad de la información implantadas para proteger los sistemas de gestión
documental del acceso no autorizado o de daños intencionados?

¿Es adecuada la seguridad física de los sistemas de almacenamiento de los documentos (almacenamiento en papel y en
formato electrónico) y se comprueba de forma periódica?

¿La seguridad de los sistemas informáticos de la organización se supervisa adecuadamente y se prueba de forma
periódica?

¿La organización ha previsto la posible interrupción de servicios de terceros necesarios para los sistemas de gestión
documental?

B.2 Factores internos

B.2.1 Cambios en la organización
¿Está establecida y documentada la propiedad de los documentos en todas las partes de la organización?

¿Se han implantado procedimientos para gestionar la transferencia o migración de documentos o la fusión de sistemas
tras producirse cambios en la organización?

Tras producirse transferencias o cambios en la propiedad, ¿se han acordado y documentado los derechos de acceso que
corresponden a las partes implicadas?

¿Los sistemas de gestión documental pueden fusionarse fácilmente con otros sistemas tras producirse cambios
importantes en la organización?

¿Los sistemas de gestión documental, incluidos los sistemas heredados, están suficientemente documentados y dicha
documentación es accesible?

¿Están correctamente definidas las condiciones contractuales relativas a la propiedad, la retención y el control de los
documentos en los acuerdos de subcontratación, externalización o alojamiento en la nube?

¿La organización puede hacer frente a los cambios en las condiciones de los contratos de servicios de terceros para
mantener o gestionar los sistemas de gestión documental?

¿Se ha implantado un proceso para revisar y actualizar las directivas y los procedimientos relativos a los sistemas de
gestión documental a intervalos regulares?

¿En la planificación se han incluido medidas que prevean la posible pérdida del personal clave responsable de los
sistemas o procesos de gestión documental?

¿Se han implantado procedimientos para que los sistemas de gestión documental respondan a los cambios de personal
(por motivos relacionados con la formación, el presupuesto y la reducción de personal)?

¿Existe un procedimiento para revisar y actualizar los planes de preparación en caso de catástrofes tras producirse
cambios en la organización?

B.2.2 Cambios tecnológicos

¿Los cambios en las tecnologías afectarán a la interoperabilidad entre los sistemas de gestión documental y otros
sistemas?

¿Los cambios en las tecnologías son compatibles con las plataformas para los sistemas de gestión documental y los
sistemas operativos actuales?

¿El procedimiento para llevar a cabo la migración de documentos y sistemas está actualizado, documentado y es
adecuado?

¿Se han implantado procesos para garantizar que los metadatos de los documentos se migren por completo cuando se
introducen nuevas tecnologías, y se comprueba si ha habido pérdida de información o si ésta ha resultado dañada?

¿Se han implantado procesos para impedir la eliminación o retención no autorizadas de documentos que ya no se
necesitan cuando se migran o actualizan los sistemas?

¿Existe un procedimiento para gestionar la reconfiguración de sistemas y procesos de gestión documental?

¿Las responsabilidades relativas a la reconfiguración de sistemas, procesos y controles de gestión documental están
documentadas y actualizadas?

¿El proyecto de implementación de los cambios en las tecnologías que afectan a los sistemas de gestión documental se
gestiona adecuadamente?

¿Las directrices actuales cubren adecuadamente las nuevas tecnologías a medida que la organización las adopta?

¿Los profesionales informáticos y la dirección son conscientes de las implicaciones que tiene la introducción de nuevas
tecnologías para los sistemas de gestión documental y la documentación sobre los sistemas?

¿La actual infraestructura tecnológica de la organización admite cambios tecnológicos en los sistemas de gestión
documental?

B.2.3 Recursos: personal y competencias

¿El número actual de empleados es suficiente para llevar a cabo los procesos de gestión documental y gestionar los
sistemas de gestión documental?

¿El personal de la organización está adecuadamente informado de las directivas y los procesos relativos a la gestión
documental?

¿La gestión de documentos cuenta con el apoyo de la alta dirección?

¿La alta dirección considera los riesgos de los procesos y sistemas de gestión documental como riesgos para la
organización que deberían mitigarse?

¿Las responsabilidades sobre los documentos están incluidas en las descripciones de los puestos de trabajo en los casos
pertinentes?

¿Existen o pueden alcanzarse las capacidades para responder ante los cambios en el entorno legislativo externo que
afecten a las directrices y a los procedimientos relativos a los documentos de la organización?

¿Se comprenden y están documentadas las responsabilidades de los administradores de sistemas de gestión documental
en lo que respecta a los usuarios de los sistemas?

¿Se han implantado procesos para garantizar la transferencia de habilidades esenciales y conocimientos operativos entre
el personal responsable de la gestión de documentos?

¿Existe un programa de formación continua a disposición del personal responsable de los documentos?

¿Existe un proceso de supervisión para evaluar las habilidades y competencias del personal responsable de los
documentos?

B.2.4 Recursos: financiación y material

¿La gestión de documentos cuenta con la financiación adecuada para alcanzar los objetivos de las directrices sobre
gestión de documentos y para llevar a cabo los procedimientos relativos a los documentos?

¿Los sistemas de gestión documental cuentan con la financiación y el soporte suficientes, incluidas las actualizaciones y
el mantenimiento de los sistemas?

B.3 Sistemas de gestión documental

B.3.1 Diseño del sistema
¿La documentación del sistema incluye la definición de todos los elementos de los documentos?

¿Hay documentación adecuada sobre los metadatos y los procesos del sistema?

¿Los requisitos de retención se gestionan adecuadamente por el sistema, y están documentados?

¿Están identificados y documentados todos los procesos de gestión de documentos gestionados por el sistema?

¿La tecnología elegida es la que corresponde al tamaño, la complejidad y las actividades de la organización?

¿La tecnología es la adecuada para la funcionalidad de los sistemas de gestión documental de archivo?

¿El sistema depende de la asistencia prestada por el proveedor y el contrato de servicios está actualizado y los servicios
adecuadamente definidos?

¿La documentación del proveedor es adecuada, incluidos todos los elementos necesarios y los sistemas de codificación?

B.3.2 Mantenimiento
¿Hay cambios frecuentes en el diseño o en otros aspectos como la seguridad de los sistemas?

¿La organización cuenta con procedimientos adecuados relativos a la gestión de cambios para garantizar que los
cambios en los sistemas se autoricen, se planifiquen y se controlen?

¿Las habilidades de los administradores de sistemas y su comprensión de los requisitos de gestión documental son
adecuadas y están actualizadas?

¿Se revisa periódicamente la capacidad de los proveedores de sistemas de mantener actualizados los sistemas?

¿La documentación de los procedimientos de mantenimiento de los sistemas de gestión documental es accesible, se
revisa periódicamente y se actualiza?

¿Se supervisan y documentan los fallos o las disfunciones de la tecnología que afectan a las operaciones de los sistemas
de gestión documental?

¿La documentación de los sistemas técnicos es accesible y está actualizada?

¿Los procesos de copia de seguridad y restauración de los sistemas de gestión documental se prueban, se documentan y
se revisan de forma periódica?

B.3.3 Sostenibilidad y continuidad

¿Los sistemas de gestión documental se supervisan y se revisan de forma periódica, de acuerdo con los cambios en el
contexto externo e interno que afectan a los requisitos de gestión documental de la organización?

¿La supervisión de la garantía de calidad de los sistemas de gestión documental se revisa para identificar la necesidad
de actualizaciones o de otros cambios en los requisitos?

¿Se ha llevado a cabo una evaluación de los recursos financieros necesarios para implementar y mantener adecuada-
mente los sistemas de gestión documental y para asignar a personal competente la responsabilidad sobre dichos
sistemas?

¿La organización ha identificado todos los sistemas que crean, contienen o gestionan documentos?

¿Las especificaciones de los sistemas de gestión documental están correctamente documentadas y son accesibles?

¿Se han establecido y documentado procedimientos para el mantenimiento operativo?

¿Las decisiones tomadas en la implementación de sistemas de gestión documental están documentadas, actualizadas y a
disposición de todos los usuarios que las necesiten?

¿La capacidad de los sistemas de gestión documental para mantener la usabilidad de los documentos de archivo se
prueba de forma periódica?

¿Se supervisa y se elaboran informes de forma periódica sobre la consecución de los objetivos de los sistemas de
gestión documental?

¿Hay un procedimiento establecido para gestionar la migración de documentos a un nuevo sistema de gestión
documental?

¿Los sistemas de gestión documental poseen capacidad probada para importar documentos procedentes de sistemas
heredados o de otras empresas?

¿Se supervisan y gestionan los cambios en otros sistemas de los que dependen los sistemas de gestión documental, o
con los que tienen alguna otra relación?

Cuando se utilizan proveedores de servicios externos, como de almacenamiento en la nube, ¿se ha probado la
exportación de documentos y su reintegración en los sistemas de gestión documental de la organización?

¿Los historiales de eventos de sistemas de gestión documental se revisan a intervalos regulares, y sus dependencias de
otros sistemas se gestionan adecuadamente?

¿En la planificación de la continuidad de la empresa se incluyen específicamente sistemas de gestión documental?

¿Los sistemas de gestión documental contribuyen a la continuidad del negocio al brindar acceso a los documentos en
caso de producirse una catástrofe?

¿Se han implantado planes de contingencia para gestionar la interrupción del servicio en los sistemas de gestión
documental?

B.3.4 Interoperabilidad
¿La organización ha identificado y especificado qué tipo de interoperabilidad es necesaria entre las aplicaciones de
gestión y los sistemas que gestionan documentos?

¿Se han identificado, documentado y gestionado adecuadamente las dependencias de los sistemas de gestión
documental con respecto a fuentes externas de datos u otros sistemas, incluidos servicios externos como el
almacenamiento en la nube?

En lo que respecta a la interoperabilidad identificada, ¿la organización emplea normas o especificaciones compatibles
para garantizar que el intercambio de documentos entre dichos sistemas sea sostenible?

¿Se supervisan y gestionan adecuadamente los cambios (como las actualizaciones de software) en los sistemas de los
que dependen los sistemas de gestión documental o con los cuales deberían mantener una relación de interoperabilidad?

¿El intercambio de documentos entre sistemas se registra correctamente en los metadatos de ambos sistemas y se
gestiona de forma adecuada?

B.3.5 Seguridad
Véase también el anexo C en el que se hace una correspondencia entre los controles para la seguridad de la información
indicados en la Norma ISO/IEC 27001 y las disposiciones de este texto.

NOTA En los anexos B, C y D de la Norma ISO/IEC 27005 también se incluyen ejemplos de áreas de incertidumbre que afectan a cualquier sistema
de información.

¿La directiva de seguridad (de la información) de la organización aborda de forma adecuada la seguridad de los
documentos y de los procesos y sistemas de gestión documental?

¿Se han establecido, se han hecho cumplir en la práctica y se han documentado las restricciones respecto a los permisos
de los usuarios para acceder, crear y cambiar documentos?

¿Se han implantado procedimientos de seguridad para cambiar los derechos de acceso de los usuarios a los sistemas
cuando el personal cambia de puesto o deja de trabajar para la organización?

¿Existen directivas y procedimientos para controlar a terceros que trabajan en nombre de la organización que se ocupan
específicamente de la gestión del almacenamiento, acceso y procesamiento seguros de los documentos y los sistemas de
gestión documental?

¿La eficacia de la directiva y los controles de seguridad de la información se evalúa de forma periódica, y se toman
medidas correctivas?

B.4 Procesos de la gestión de documentos

B.4.1 Diseño de la gestión de documentos
¿El análisis de los requisitos de gestión documental de las actividades de la organización

a) está/estuvo basado en un conocimiento adecuado de la organización;

b) es/fue exhaustivo;

c) incluye la legislación y las regulaciones relevantes; e

d) incluye todas las partes interesadas?

¿El diseño tiene en cuenta todos los usos de los documentos existentes?

¿El diseño de los documentos en cada sistema específico cumple con los requisitos de metadatos de identidad,
descripción, uso, historial y planificación de eventos?

¿Se adecuan las reglas de nomenclatura y los cuadros de clasificación, allí donde se usen, a la terminología de la
organización?

B.4.2 Creación de documentos e implementación de un sistema de gestión de documentos

¿El proceso de crear documentos y capturarlos es adecuado a los procesos y sistemas de negocio, es decir, está basado
en una tecnología adecuada, fiable, sistemática y oportuna?

¿Están identificados y controlados los documentos desde el momento de su captura o creación?

¿El proceso de creación o captura se integra con el proceso de negocio o se asocia estrechamente con la finalización de
la transacción?

¿Están los creadores de documentos formados adecuadamente en los procesos?

¿Las responsabilidades de captura o creación de documentos están documentadas adecuadamente, y donde aplica, se
distinguen de las responsabilidades de los usuarios de las aplicaciones de gestión?

¿Están definidos, asignados y documentados las responsabilidades y los procesos para capturar los documentos
procedentes de los entornos externos?

¿El acceso a los documentos concuerda con los requisitos obligatorios o legales y se documenta y supervisa
adecuadamente?

B.4.3 Metadatos
¿Están documentadas las especificaciones de metadatos (inclusive las especificaciones técnicas) y están accesibles para
actualizarlas?

B.4.4 Uso de los documentos y de los sistemas de gestión documental

¿Son capaces los usuarios de acceder de forma consistente a los documentos cuando los necesitan?

¿Los permisos de los usuarios, de captura o creación, para acceder o modificar documentos, se gestionan adecuada-
mente en el sistema?

¿Están los permisos basados en roles, no en las personas?

¿La documentación sobre el acceso y las modificaciones sobre los documentos se mantiene en el sistema a lo largo del
tiempo?

¿Las restricciones de acceso se pueden controlar manualmente en el sistema, se registran y existen mecanismos
apropiados para resolver los conflictos?

¿Los usuarios de los documentos están formados adecuadamente en los procesos de los sistemas?

¿Se dispone de procesos para prevenir la divulgación incorrecta de documentos sin autorización?

B.4.5 Mantenimiento de la usabilidad

¿El contexto de creación de documentos y su uso se documenta adecuadamente y es sostenible a lo largo del tiempo?

¿Se dispone de mecanismos para gestionar la dependencia de los documentos de sistemas externos (datos u otros
enlaces) para mantener la integridad de los documentos?

¿Los procesos para mantener la fiabilidad y autenticidad de los documentos a lo largo del tiempo (por ejemplo,
seguridad ante accesos no autorizados o modificados) son robustos y están documentados y supervisados?

Cuando se usa encriptación en la transmisión o almacenaje de documentos ¿se pueden desencriptar?

¿Las revisiones, comentarios y notas sobre un documento, y el histórico de versiones son accesibles tanto tiempo como
sea necesario?

¿Se mantiene adecuadamente el historial de eventos para asegurar que permanecen íntegros a lo largo del tiempo?

¿Se dispone de un procedimiento para comprobar la usabilidad de los documentos más antiguos, por ejemplo, la
dependencia de software y hardware o la adecuación del almacenaje físico para los documentos en varios formatos?

B.4.6 Disposición de los documentos

¿Hay calendarios de conservación aprobados que están al día y son relevantes?

¿Hay un proceso para revisar los calendarios de conservación existentes?

¿Hay procedimientos para la disposición de documentos?

¿Están definidos y documentados los roles y las responsabilidades para la disposición?

¿Está la disposición asumida de forma regular o rutinaria?

a) ¿Existe un proceso para gestionar excepciones?

b) ¿Se documenta de manera apropiada la disposición, incluso la autorización?

c) ¿Existe formación adecuada para implementar la disposición para los empleados responsables de los documentos?

d) ¿Se adecuan los métodos de disposición al nivel de seguridad requerido?

¿Existen procesos para asegurar que la destrucción de documentos es completa – teniendo en cuenta la necesidad de
impedir la restauración de documentos desde aparatos electrónicos y medios de almacenaje?

Anexo C (Informativo)

Guía para usar los controles del anexo A de la Norma ISO/IEC 27001

En la identificación del riesgo relacionado con sistemas, en organizaciones que han implementado controles de la
Norma ISO/IEC 27001, los profesionales de la documentación deberían tener en cuenta cómo algunos de estos
controles actúan en algunas áreas de incertidumbre como mitigadores del riesgo. En organizaciones donde los controles
de la Norma ISO/IEC 27001 se han implementado, la tarea de apreciación del riesgo relacionado con los procesos y
sistemas de gestión documental asumida por los profesionales de la gestión de documentos, se beneficiará del
conocimiento profundo de la Norma ISO/IEC 27001 y de la alineación con la tarea de apreciación del riesgo de dicha
norma. En las organizaciones donde la Norma ISO/IEC 27001 no está implementada, los controles de ésta se pueden
utilizar como una fuente para mitigar las acciones. Es altamente recomendable la lectura de la Norma ISO/IEC 27001.

La siguiente tabla relaciona las áreas de incertidumbre identificadas en el apartado 5.4, sistemas de gestión documental,
con los controles establecidos en la Norma ISO/IEC 27001.

En la columna de la derecha, “Observaciones”, se dan algunas pautas para ayudar a comprender los controles de
seguridad de la información de la Norma ISO/IEC 27001 desde el punto de vista de los sistemas de gestión documental.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
Área de incertidumbre: Diseño de sistemas
1 Definición de documentos para que el Sin correlación con el control de la
sistema cree y gestione documentos Norma ISO/IEC 27001.
adecuados a sus objetivos.
2 Identificación suficiente de los Sin correlación con el control de la La disposición no está en el
requisitos de retención. Norma ISO/IEC 27001. enfoque de la seguridad de la
información, pero desde el
punto de vista de un sistema de
gestión de documentos es un
área importante de
incertidumbre, especialmente
cuando los sistemas que crean
y controlan documentos
fracasan en la implementación
de decisiones de disposición.
3 Identificación y documentación de Sin correlación con el control de la
todos los procesos documentales que Norma ISO/IEC 27001
es necesario que se gestionen por el
sistema.
4 Efectividad del diseño del sistema de A.10.3.1 Planificación y Los requisitos de la capacidad
gestión documental en relación con el aceptación del sistema. La y el uso de los recursos son
personal y la tecnología de la utilización de los recursos se debe sólo dos aspectos para apreciar
organización. supervisar y ajustar así como realizar la efectividad de los sistemas
proyecciones de los requisitos de gestión documental, los
futuros de capacidad, para garantizar cuales se deberían probar
el comportamiento requerido del principalmente en contraste
sistema. con los requisitos
operacionales.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
5 Gestión de la dependencia del soporte A.12.5.5 Externalización del Si los sistemas de gestión
de los vendedores. desarrollo de software. La documental están basados en
externalización del desarrollo de un software comercial
software debe ser supervisada y suministrado por proveedores
controlada por la organización. externos, cuando se identifica
el riesgo se precisa tener en
cuenta la fiabilidad de los
suministradores externos. Los
controles de la Norma
ISO/IEC 27001 pueden ser
demasiado generales desde el
punto de vista de los sistemas
de gestión documental.
6 Acceso a la documentación del A.10.1.1 Documentación de los La Norma ISO/IEC 27001
vendedor. procedimientos de operación. debería aplicarse a los sistemas
Deben documentarse los de gestión documental como a
procedimientos de operación y cualquier software en lo
ponerse a disposición de todos los relacionado a la
usuarios que los necesiten. documentación, lo cual incluye
procedimientos internos para
mantenerla.
Áreas de incertidumbre: Mantenimiento
1 Cambios en los sistemas de negocio y A.10.1.2 Gestión de cambios. Los controles de la Norma
operacionales que afectan a los Deben controlarse los cambios en los ISO/IEC 27001 se deberían
sistemas de gestión documental. recursos y los sistemas de complementar con requisitos
tratamiento de la información. de comunicación para
A.10.10.4 Registros de garantizar que los profesionales
administración y operación. Se de la gestión de documentos
deben registrar las actividades del son conscientes de tales
administrador del sistema y de la cambios.
operación del sistema.
A.10.10.5 Registro de fallos. Los
fallos deben ser registrados y
analizados y se deben tomar las
correspondientes acciones.
2 Nivel de habilidad de los A.10.3.1 Gestión de capacidades. Los controles de la Norma
administradores del sistema y su La utilización de los recursos se debe ISO/IEC 27001 pueden ser
comprensión de los requisitos para supervisar y ajustar así como realizar insuficientes para mitigar
gestionar documentos en los sistemas. proyecciones de los requisitos incertidumbres sobre los
futuros de capacidad, para garantizar niveles de habilidad de los
el comportamiento requerido del administradores del sistema en
sistema. relación con los requisitos de
A.10.3.2 Aceptación del sistema. los documentos. Se debería
Se deben establecer los criterios para prestar una atención especial a
la aceptación de nuevos sistemas de esta área.
información, de las actualizaciones y
de nuevas versiones de los mismos, y
se deben llevar a cabo pruebas
adecuadas de los sistemas durante el
desarrollo y previamente a la
aceptación.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
3 Fiabilidad de los suministradores de A.12.5.5 Externalización del Si los sistemas de gestión
sistemas y su habilidad para mantener desarrollo de software. La documental se basan en un
y conservar tecnológicamente la externalización del desarrollo de software comercial
actualización de los sistemas. software deber ser supervisada y suministrado por proveedores
controlada por la organización. externos, cuando se identifique
el riesgo se debería tener en
cuenta la fiabilidad de los
proveedores externos. El
control de la Norma
ISO/IEC 27001 puede ser
demasiado general desde el
punto de vista de los sistemas
de gestión documental.
4 Adecuación de la documentación de A.10.1.1 Documentación de los La documentación (técnica y
los procedimientos para el procedimientos de operación. procedimental) de los sistemas
mantenimiento operativo. Deben documentarse y mantenerse se debería tratar como
los procedimientos de operación y documentos y, en
ponerse a disposición de todos los consecuencia, mantenerse.
usuarios que los necesiten.
5 Adecuación de la documentación A.10.1.1 Documentación de los La documentación (técnica y
técnica de los sistemas. procedimientos de operación. procedimental) de los sistemas
Deben documentarse y mantenerse se debería tratar como
los procedimientos de operación y documentos y, en
ponerse a disposición de todos los consecuencia, mantenerse.
usuarios que los necesiten.
6 Adecuación de los procedimientos de A.10.5.1 Copias de seguridad de la El control de la Norma
las copias de seguridad documentadas información. Se deben realizar ISO/IEC 27001 de copias de
para los sistemas de gestión copias de seguridad de la seguridad no cubre todas las
documental. información y del software, y se incertidumbres relacionadas
deben probar periódicamente con el mantenimiento de la
conforme a la política de copias de usabilidad o disposición de los
seguridad acordada. documentos.
7 Adecuación de la restauración a partir A.10.5.1 Copias de seguridad de la El control de la Norma
de las copias de seguridad. información. Se deben realizar ISO/IEC 27001 de copias de
copias de seguridad de la seguridad no cubre todas las
información y del software, y se incertidumbres relacionadas
deben probar periódicamente con el mantenimiento de la
conforme a la política de copias de usabilidad o disposición de los
seguridad acordada. documentos.
Área de incertidumbre: sostenibilidad y continuidad
1 Cambio en el contexto interno y Sin control de la Norma
externo, que afecta a los requisitos de ISO/IEC 27001 relacionado.
gestión documental de la organización.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
2 Adecuación de la supervisión del A.10.10.1 Registro de auditorías. El control de la Norma
control de la calidad para identificar Se deben establecer procedimientos ISO/IEC 27001 identifica un
los cambios en los requisitos para supervisar el uso de los recursos aspecto del seguimiento del
documentales. de procesamiento de la información sistema, pero los sistemas de
y se deben revisar periódicamente gestión documental requieren
los resultados de las actividades de un seguimiento del
supervisión. control/aseguramiento de la
calidad más amplio.
A.10.10.2 Supervisión del uso del
Sistema. Se deben establecer
procedimientos para supervisar el
uso de los recursos de procesamiento
de la información y se deben revisar
periódicamente los resultados de las
actividades de supervisión.
3 Adecuación de la evaluación de los A.6.1.3 Asignación de Los controles de la Norma
costes vigentes de implementación y responsabilidades relativas a la ISO/IEC 27001 no cubren los
mantenimiento del sistema de gestión seguridad de la información. aspectos económicos de los
documental incluyéndolos recursos Deben definirse claramente todas las sistemas, excepto aquellos
humanos. responsabilidades relativas a la controles que incluyen en la
seguridad de la información. organización interna las
responsabilidades de seguridad
A.10.3.1 Gestión de capacidades.
La utilización de los recursos se debe de la información.
supervisar y ajustar, así como Los aspectos económicos de
realizar proyecciones de los los sistemas de gestión
requisitos futuros de capacidad, para documental pueden ser un área
garantizar el comportamiento importante de incertidumbre en
requerido del sistema. una política de reducción de
costes en la organización.
4 Adecuación de la identificación y A.7.1.2 Propiedad de los activos. El control de la Norma
documentación de los sistemas de Toda la información y activos ISO/IEC 27001 identifica la
gestión documental asociados con los recursos para el necesidad de documentar al
tratamiento de la información deben propietario del sistema de
tener un propietario1) que forme parte gestión documental, aunque
de la organización y haya sido también se necesita una
designado como propietario. adecuada identificación y
documentación de los sistemas
de gestión documental.

1) NOTA NACIONAL: Persona o entidad a la que se haya asignado la responsabilidad administrativa del control de la producción, desarrollo,
mantenimiento, uso y seguridad de los activos. El término “propietario” no significa que la persona tenga realmente
algún derecho de propiedad sobre el activo.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
5 Mantenimiento y accesibilidad de las A.10.7.4 Seguridad de la El control de la Norma
especificaciones y documentación del documentación del sistema. La ISO/IEC 27001 se centra en la
sistema. documentación del sistema debe protección de la
estar protegida contra accesos no documentación para evitar
autorizados. riesgos sobre la seguridad de la
información. Desde el punto de
vista de los sistemas de gestión
documental surgen también
incertidumbres sobre si es
accesible cuando se necesita.
Protección y accesibilidad
necesitan equilibrarse ya que
ambas son fuentes de
potenciales riesgos.
6 Documentación adecuada de la toma A.10.7.4 Seguridad de la Véase arriba
de decisiones de la implementación de documentación del sistema. La
los sistemas de gestión documental, documentación del sistema debe
disponible para los usuarios cuando se estar protegida contra accesos no
necesite. autorizados.
7 Capacidad del sistema de gestión Sin control de la Norma La disponibilidad no es asunto
documental para mantener la ISO/IEC 27001 relacionado. central de la seguridad de la
disponibilidad de los documentos. información, pero desde el
punto de vista de los
documentos se debería
considerar un área significativa
de incertidumbre.
8 Capacidad para importar documentos Sin controles de la Norma
heredados o de otros sistemas de ISO/IEC 27001 relacionados.
negocio.
9 Migración de documentos a un nuevo A.12.5.2 Revisión técnica de las Aparte de los cambios en los
sistema de gestión documental, aplicaciones tras efectuar cambios sistemas operativos, la
motivado bien por cambios en los en el sistema operativo. Cuando se migración de uno de los
requisitos documentales o por la modifiquen los sistemas operativos, sistemas a otro debería
tecnología. las aplicaciones empresariales identificarse como un área de
críticas deben ser revisadas y incertidumbre, vigilando el
probadas para garantizar que no mantenimiento de las
existen efectos adversos en las características de los
operaciones o en la seguridad de la documentos a lo largo del
organización. tiempo.
10 Cambios en otros sistemas de los que Sin control de la Norma
el sistema de gestión documental es ISO/IEC 27001 relacionado.
dependiente.
11 Capacidad de los sistemas de Sin control de la Norma
computación en la nube para exportar ISO/IEC 27001 relacionado.
documentos cuando sea preciso y
reintegrarlos en los sistemas de la
organización.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
12 Adecuación del historial de eventos de A.10.10.1 Registro de auditorías. El registro de auditoría de la
los sistemas de gestión documental, Se deben realizar registros de Norma ISO/IEC 27001 de las
incluyendo su retención durante la auditoría de las actividades de los actividades de los usuarios es
vida del sistema y la gestión de las usuarios, las excepciones y eventos limitado desde la perspectiva
dependencias de otros sistemas para de seguridad de la información, y se de los documentos; éste
asegurar que mantenga su significado deben mantener estos registros debería ser complementado con
a lo largo del tiempo. durante un periodo acordado para otras acciones desarrolladas
que sirva como prueba en sobre los documentos para
investigaciones futuras y en la constituir el historial de
supervisión del control de acceso. eventos.
13 Capacidad de los sistemas de gestión A.14.1.3 Desarrollo e Los controles de la Norma
documental para respaldar la implantación de planes de ISO/IEC 27001 sobre la
continuidad del negocio mediante la continuidad que incluyan la gestión de la continuidad se
provisión del acceso a los documentos seguridad de la información. centran en los requisitos de la
en caso de desastre. Deben desarrollarse e implantarse seguridad de la información.
planes para mantener o restaurar las Desde el punto de vista de los
operaciones y garantizar la documentos, estos controles
disponibilidad de la información en deberían completarse con los
el nivel y en el tiempo requeridos, requisitos documentales,
después de una interrupción o un principalmente centrados en el
fallo de los procesos de negocio núcleo de documentos
críticos. operativos.
A.14.1.4 Marco de referencia para
la planificación de la continuidad
del negocio. Debe mantenerse un
único marco de referencia para los
planes de continuidad del negocio,
para asegurar que todos los planes
sean coherentes, para cumplir los
requisitos de seguridad de la
información de manera consistente y
para identificar las prioridades de
realización de pruebas y de
mantenimiento.
A.14.1.5 Pruebas, mantenimiento
y reevaluación de los planes de
continuidad del negocio. Los planes
de continuidad del negocio deben
probarse y actualizarse
periódicamente para asegurar que
están al día y que son efectivos.
A.15.1.3 Protección de los
documentos de la organización.
Debe garantizarse la protección y la
privacidad de los datos según se
requiera en la legislación y las
regulaciones y, en su caso, en las
cláusulas contractuales pertinentes.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
14 Planificación de contingencias ante A.14.1.3 Desarrollo e implantación Los controles de la Norma
alteraciones del servicio. de planes de continuidad, que ISO/IEC 27001 sobre la
incluyan la seguridad de la gestión de la continuidad del
información. Los planes deben negocio se centran en la
desarrollarse e implementarse para seguridad de la información.
mantener o restaurar las operaciones Desde el punto de vista de los
y asegurar la disponibilidad de la documentos estos controles
información al nivel requerido y en pueden complementarse con
el tiempo requerido, tras una requisitos documentales
interrupción o fallo crítico de los centrados fundamentalmente
procesos de negocio. en lo que afecta a la
continuidad del negocio
Áreas de incertidumbre: interoperabilidad
1 Garantía de la identificación y A.10.8.1 Políticas y Los controles de la Norma
especificación de la interoperabilidad procedimientos de intercambio de ISO/IEC 27001 se focalizan en
requerida entre los sistemas de gestión información. Deben establecerse la documentación formal sobre
documental y otros sistemas de políticas, procedimientos y controlesseguridad de la información
negocio. formales que protejan el intercambio para el intercambio de
de información mediante el uso de información entre sistemas.
todo tipo de recursos de Desde el punto de vista de la
comunicación. interoperabilidad entre
sistemas de gestión documental
A.10.8.2 Acuerdos de intercambio.
Deben establecerse acuerdos para el y otros sistemas se puede
considerar un asunto operativo
intercambio de información y del
y rutinario, y por lo tanto, un
software entre la organización y los
área general de incertidumbre.
terceros.
Los fallos en los sistemas de
A.10.8.5 Sistemas de información interoperabilidad pueden
empresariales. Deben formularse e afectar al acceso y
implantarse políticas y disponibilidad de los
procedimientos para proteger la documentos.
información asociada a la
interconexión de los sistemas de
información empresariales.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
2 Dependencia de los sistemas de A.6.2.1 Identificación de los La seguridad de datos en
gestión documental de fuentes de datos riesgos derivados del acceso de proveedores de servicios con
externas y la capacidad de intercambio terceros. Deben identificarse los terceros no solamente se
de datos con estos sistemas (por riesgos para la información y para considera desde la perspectiva
ejemplo: almacenamiento en la nube y los dispositivos de procesado de la de un sistema de gestión
otros servicios de almacenamiento información de la organización documental, sino que, también
externo). derivados de los procesos de negocio que los controles sean
que requieran de terceros, e apropiados.
implantar los controles apropiados
antes de otorgar el acceso.
A.6.2.3 Tratamiento de la
seguridad en contratos con
terceros. Los acuerdos con terceros
que conlleven acceso, tratamiento,
comunicación o gestión, bien de la
información de la organización, o de
los recursos de tratamiento de la
información, o bien la incorporación
de productos o servicios a los
recursos de tratamiento de la
información, deben cubrir todos los
requisitos de seguridad pertinentes.
3 Compatibilidad de normas o A.15.2.2 Comprobación del Los controles de la Norma
especificaciones para el intercambio de cumplimiento técnico. Debe ISO/IEC 27001 se centran en
documentos o interoperabilidad entre comprobarse periódicamente que los las normas de implementación
sistemas. sistemas de información cumplen las de la seguridad. Desde el punto
normas de aplicación de la de vista de los documentos,
seguridad. como desde el uso de estas
normas en los sistemas de
gestión documental, podría ser
un área de incertidumbre, por
lo que este control debería
ampliarse a las normas de
interoperabilidad y de
intercambio de los
documentos.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
4 La efectividad de la interoperabilidad A.10.3.2 Aceptación del sistema.
del sistema tras los cambios o Se deben establecer los criterios para
actualizaciones tecnológicas, tanto la aceptación de nuevos sistemas de
para uno como para ambos de los información, de las actualizaciones y
sistemas integrados. de nuevas versiones de los mismos, y
se deben llevar a cabo pruebas
adecuadas en los sistemas durante el
desarrollo y previamente a la
aceptación.
5 Gestión de metadatos relacionada con Sin controles de la Norma La capacidad de los sistemas
los controles de documentos entre ISO/IEC 27001 relacionados de gestión documental para
sistemas para mantener la usabilidad y respaldar los requisitos de los
el significado de los documentos. metadatos podría ser una
importante área de
incertidumbre. Cuando los
sistemas de gestión documental
no puedan gestionar metadatos
desde los procesos de los
documentos, el significado y
usabilidad de los documentos
se verán afectados.
Áreas de incertidumbre: seguridad. Toda esta área de incertidumbre debería ser cubierta por los controles de la
Norma ISO/IEC 27001. Los siguientes ejemplos están vinculados a controles más importantes.
1 Adecuación de las políticas de A.5.1.1 Documento de política de Cuando se identifican los
seguridad de la organización respecto seguridad de la información. La riesgos en esta área, los
a los documentos, a los procesos y a dirección debe aprobar un profesionales de los
los sistemas de gestión documental. documento de política de seguridad documentos deberían asegurar
de la información, publicarlo y que las políticas de seguridad
distribuirlo a todos los empleados y de la información de la
terceros afectados. organización incluyan las
necesidades específicas de los
A.5.1.2 Revisión de la política de
seguridad de la información. La documentos y de los sistemas
de gestión documental y,
política de seguridad de la
además, deberían asegurar que
información debe revisarse a
las políticas y procedimientos
intervalos planificados o siempre que
de gestión documental estén
se produzcan cambios significativos,
a fin de asegurar que se mantenga su alienadas con las de seguridad
idoneidad, adecuación y eficacia. de la información.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
2 Capacidad para hacer cumplir y A.11.1.1 Política de control del Cuando se identifiquen los
proteger los permisos y las reglas de acceso. Se debe establecer, riesgos en esta área, el
acceso vinculados a los documentos, a documentar y revisar una política de profesional de documentos
los procesos y a los sistemas de control de acceso basada en los debería considerar las
gestión documental. requisitos empresariales y de restricciones sobre los
seguridad para el acceso. permisos de usuario para
acceder, crear y modificar
A.11.2.1 Registro de usuarios.
documentos. Los permisos
Debe establecerse un procedimiento
formal de registro y de anulación de deberían estar alineados con las
políticas de control de acceso
usuarios para conceder y revocar el
definidas en las políticas de
acceso a todos los sistemas y
seguridad de la información.
servicios de información.
A.11.2.2 Gestión de privilegios. La
asignación y el uso de privilegios
deben estar restringidos y
controlados.
A.11.2.3 Gestión de contraseñas
de usuario. La asignación de
contraseñas debe ser controlada a
través de un proceso de gestión
formal.
A.11.2.4 Revisión de los derechos
de acceso de usuario. La Dirección
debe revisar los derechos de acceso
de usuario a intervalos regulares y
utilizando un proceso formal.
A.11.6.1 Restricción del acceso a
la información. Se debe restringir el
acceso a la información y a las
aplicaciones a los usuarios y al
personal de soporte, de acuerdo con
la política de control del acceso
definida.

ISO/TR 18128:2014 – Apartado 5.4 ISO/IEC 27001:2013 – Controles Observaciones

Sistemas de gestión documental (anexo A)
Áreas de incertidumbre
3 Políticas y controles para terceros A.6.2.3 Tratamiento de la
trabajando en representación de la seguridad en contratos con
organización que afectan al terceros. Los acuerdos con terceros
almacenamiento, acceso y que conlleven acceso, tratamiento,
procesamiento de los documentos y comunicación o gestión, bien de la
sistemas de gestión documental. información de la organización o de
los recursos de tratamiento de la
información, o bien la incorporación
de productos o servicios a los
recursos de tratamiento de la
información, deben cubrir todos los
requisitos de seguridad pertinentes.
A.10.2.1 Previsión de servicios. Se
debe comprobar que los controles de
seguridad, las definiciones de los
servicios y los niveles de provisión,
incluidos en el acuerdo de provisión
de servicios por terceros, han sido
implantados, puestos en
funcionamiento y se mantienen por
parte de un tercero.
A.10.2.2 Supervisión y revisión de
los servicios prestados por
terceros. Los servicios, informes y
registros proporcionados por un
tercero deben ser objeto de
supervisión y revisión periódicas y
también deben llevarse a cabo
auditorías periódicas.
A.10.2.3 Gestión de cambios en los
servicios prestados por terceros. Se
deben gestionar los cambios en la
provisión de los servicios,
incluyendo el mantenimiento y la
mejora de las políticas, los
procedimientos y los controles de
seguridad de la información
existentes, teniendo en cuenta la
criticidad de los procesos y sistemas
del negocio afectados así como la
reevaluación de los riesgos.

Bibliografía

[1] ISO 15489-1:2001, Information and documentation. Records management. Part 1: General.

[2] ISO/TR 15489-2:2001, Information and documentation. Records management. Part 2: Guidelines.

[3] ISO 23081-1:2006, Information and documentation. Records management processes. Metadata for records.
Part 1: Principles.

[4] ISO 23081-2:2009, Information and documentation. Managing metadata for records. Part 2: Conceptual and
implementation issues.

[5] ISO/TR 23081-3:2011, Information and documentation. Managing metadata for records. Part 3: Self-assess-
ment method.

[6] ISO 27001, Information technology. Security techniques. Information security management systems.
Requirements.

[7] ISO/IEC 27005:2011, Information technology. Security techniques. Information security risk management.

[8] ISO 31000:2009, Risk management. Principles and guidelines.

[9] IEC 31010:2009, Risk management. Risk assessment techniques.

Este documento ha sido adquirido por ESCUELA SUPERIOR DE ARCHIVÍSTICA Y GESTIÓN DE DOCU el 17 de Diciembre de 2015.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Este documento ha sido adquirido por ESCUELA SUPERIOR DE ARCHIVÍSTICA Y GESTIÓN DE DOCU el 17 de Diciembre de 2015.
Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR
Génova, 6 info@[Link] Tel.: 902 102 201
28004 MADRID-España [Link] Fax: 913 104 032

También podría gustarte

Une-Iso 30300 2021
100% (5)
Une-Iso 30300 2021
25 páginas
Gestión de La Calidad Satisfacción Del Cliente Directrices para La Resolución de Conflictos de Forma Externa A Las Organizaciones
100% (1)
Gestión de La Calidad Satisfacción Del Cliente Directrices para La Resolución de Conflictos de Forma Externa A Las Organizaciones
51 páginas
Ntp-Iso 30301 2020
Aún no hay calificaciones
Ntp-Iso 30301 2020
44 páginas
Une Iso TS 22004 2007 Ex
Aún no hay calificaciones
Une Iso TS 22004 2007 Ex
24 páginas
NC-IsO 10019 (Selección de Consultores)
33% (3)
NC-IsO 10019 (Selección de Consultores)
26 páginas
Novedades ISO - DIS 19011
Aún no hay calificaciones
Novedades ISO - DIS 19011
21 páginas
Gestión de Riesgo
Aún no hay calificaciones
Gestión de Riesgo
25 páginas
ISO27 en Español
100% (1)
ISO27 en Español
40 páginas
Directrices sobre Participación y Calidad
29% (7)
Directrices sobre Participación y Calidad
14 páginas
Directrices ISO 14006: Ecodiseño en SGA
Aún no hay calificaciones
Directrices ISO 14006: Ecodiseño en SGA
52 páginas
Norma Gestion de Indicadores66175
100% (2)
Norma Gestion de Indicadores66175
30 páginas
GTC Iso Iec 60 2005
Aún no hay calificaciones
GTC Iso Iec 60 2005
15 páginas
Iso 10014
Aún no hay calificaciones
Iso 10014
27 páginas
Une-Iso 15489 - 2 - 2016
100% (2)
Une-Iso 15489 - 2 - 2016
30 páginas
NTC Iso Iec TS 17033 2021
Aún no hay calificaciones
NTC Iso Iec TS 17033 2021
28 páginas
ISO 27002 - 2022 - Esp
100% (2)
ISO 27002 - 2022 - Esp
208 páginas
GTC Iso Iec 68 2003
100% (1)
GTC Iso Iec 68 2003
16 páginas
Ext Iso 19600
Aún no hay calificaciones
Ext Iso 19600
3 páginas
Norma NTC-ISO 30301: Gestión de Registros
Aún no hay calificaciones
Norma NTC-ISO 30301: Gestión de Registros
14 páginas
NTC Iso Iec17050 2 PDF
100% (1)
NTC Iso Iec17050 2 PDF
0 páginas
Iaf-Como Auditar El Pensamiento-Guia Auditor
100% (1)
Iaf-Como Auditar El Pensamiento-Guia Auditor
3 páginas
Norma Iso 15489
100% (8)
Norma Iso 15489
30 páginas
(Ex) Une-Iso 30300 2011
Aún no hay calificaciones
(Ex) Une-Iso 30300 2011
2 páginas
GTC-ISO 19600 Sistemas Gestion de Cumplimiento. Directrices (2018) PDF
100% (3)
GTC-ISO 19600 Sistemas Gestion de Cumplimiento. Directrices (2018) PDF
42 páginas
Norma UNE-EN ISO/IEC 27701:2021
100% (1)
Norma UNE-EN ISO/IEC 27701:2021
7 páginas
2022 GTC-IsO-TS 55010 2022 Alineación Funciones Financieras y No Financieras
Aún no hay calificaciones
2022 GTC-IsO-TS 55010 2022 Alineación Funciones Financieras y No Financieras
64 páginas
Iso 10013 - 2021
100% (1)
Iso 10013 - 2021
22 páginas
Analisis Del Contexto Organizativo (Modulo 2)
Aún no hay calificaciones
Analisis Del Contexto Organizativo (Modulo 2)
40 páginas
Iso 10018
0% (1)
Iso 10018
21 páginas
EXT BSWbztSUEaM25kG24Cb7
Aún no hay calificaciones
EXT BSWbztSUEaM25kG24Cb7
5 páginas
NTC Iso Iec TR29110 5 1 2
100% (1)
NTC Iso Iec TR29110 5 1 2
14 páginas
Une 93200 - 2008
100% (1)
Une 93200 - 2008
10 páginas
Huella de Carbono de Productos
100% (1)
Huella de Carbono de Productos
65 páginas
(Ex) Une-En Iso 13485 2016 PDF
Aún no hay calificaciones
(Ex) Une-En Iso 13485 2016 PDF
4 páginas
Norma 22301
100% (1)
Norma 22301
30 páginas
Independencia e Imparcialidad en Acreditación
Aún no hay calificaciones
Independencia e Imparcialidad en Acreditación
11 páginas
Iso 14004-2016
100% (2)
Iso 14004-2016
80 páginas
Nte Inen Iso Iec 17022
Aún no hay calificaciones
Nte Inen Iso Iec 17022
9 páginas
Instructivo Iso 25000
Aún no hay calificaciones
Instructivo Iso 25000
37 páginas
NTC Iso Iec17020
Aún no hay calificaciones
NTC Iso Iec17020
14 páginas
Ai Iso
Aún no hay calificaciones
Ai Iso
70 páginas
GTC Iso 31004 2016 2 PDF Free
Aún no hay calificaciones
GTC Iso 31004 2016 2 PDF Free
54 páginas
Informe ISO 27018
Aún no hay calificaciones
Informe ISO 27018
23 páginas
ISO 10014 2021 Orientaciones para Obtener Beneficios Económicos y Financieros
100% (3)
ISO 10014 2021 Orientaciones para Obtener Beneficios Económicos y Financieros
26 páginas
Certificación ISO 30301 en Gestión Documental
Aún no hay calificaciones
Certificación ISO 30301 en Gestión Documental
9 páginas
Une en Iso Iec17021-9
Aún no hay calificaciones
Une en Iso Iec17021-9
12 páginas
GTC Iso TR10017 PDF
Aún no hay calificaciones
GTC Iso TR10017 PDF
18 páginas
Gtc-Iso 31004 2016-12-07
Aún no hay calificaciones
Gtc-Iso 31004 2016-12-07
56 páginas
Cambio Climático en Normas ISO 2024
100% (3)
Cambio Climático en Normas ISO 2024
33 páginas
Iso 27001 - 2022
Aún no hay calificaciones
Iso 27001 - 2022
27 páginas
Iso 13028 Digitalizacion
67% (3)
Iso 13028 Digitalizacion
38 páginas
ISO 13028 Digitalizacion
50% (2)
ISO 13028 Digitalizacion
38 páginas
UNE-EN ISO 20000-1:2018/amd 1:2024
Aún no hay calificaciones
UNE-EN ISO 20000-1:2018/amd 1:2024
5 páginas
UNE-ISO 39001 2013 (Amd 1 2024
Aún no hay calificaciones
UNE-ISO 39001 2013 (Amd 1 2024
5 páginas
Une-Iso-Iec 27001
Aún no hay calificaciones
Une-Iso-Iec 27001
30 páginas
ISOIEC 27001 - 2022 Norma
Aún no hay calificaciones
ISOIEC 27001 - 2022 Norma
25 páginas
Norma ISO 27001 - 2022
100% (8)
Norma ISO 27001 - 2022
28 páginas
Une-Iso 28000
Aún no hay calificaciones
Une-Iso 28000
22 páginas
Historia y Beneficios de las Normas ISO
Aún no hay calificaciones
Historia y Beneficios de las Normas ISO
4 páginas
Roiesgo en laboratorio-EN - ISO - 22367 - 20190304.en - Es
100% (1)
Roiesgo en laboratorio-EN - ISO - 22367 - 20190304.en - Es
97 páginas
ISO TR 13028 2010 Norma para Formacion
100% (1)
ISO TR 13028 2010 Norma para Formacion
35 páginas
Transparencia en la Administración Pública
Aún no hay calificaciones
Transparencia en la Administración Pública
76 páginas
ISO 17068 Norma para Formacion
Aún no hay calificaciones
ISO 17068 Norma para Formacion
47 páginas
ISO 71505-1.evidencias Electronicas
Aún no hay calificaciones
ISO 71505-1.evidencias Electronicas
10 páginas
La Conservación de Las Fuentes Documentales I
Aún no hay calificaciones
La Conservación de Las Fuentes Documentales I
9 páginas
Historia del Archivo General de la Administración
Aún no hay calificaciones
Historia del Archivo General de la Administración
20 páginas
Clases de Archivos Del Sistema Español de Archivos
Aún no hay calificaciones
Clases de Archivos Del Sistema Español de Archivos
16 páginas
MECD. Los Secretos de La Sala Árabe Del Museo Cerralbo
Aún no hay calificaciones
MECD. Los Secretos de La Sala Árabe Del Museo Cerralbo
31 páginas
Proyecto Tercer Grado GENERADOR EÓLICO
100% (1)
Proyecto Tercer Grado GENERADOR EÓLICO
3 páginas
Politica Ambiental
Aún no hay calificaciones
Politica Ambiental
18 páginas
Cables Centelsa
Aún no hay calificaciones
Cables Centelsa
144 páginas
Colonialismo e Imperialismo Capitalista
Aún no hay calificaciones
Colonialismo e Imperialismo Capitalista
2 páginas
Planilla de ASCENSO
Aún no hay calificaciones
Planilla de ASCENSO
20 páginas
Toshiba A60 Sp126
Aún no hay calificaciones
Toshiba A60 Sp126
3 páginas
Business Data Science Python
Aún no hay calificaciones
Business Data Science Python
7 páginas
PST - Cambio Correas de Transmision Chancador WF
Aún no hay calificaciones
PST - Cambio Correas de Transmision Chancador WF
5 páginas
Monografia de Mexico
100% (1)
Monografia de Mexico
9 páginas
Orcad Potencia
Aún no hay calificaciones
Orcad Potencia
23 páginas
00 Introduccion A La Plomeria
Aún no hay calificaciones
00 Introduccion A La Plomeria
7 páginas
Circular 002
Aún no hay calificaciones
Circular 002
3 páginas
Selección de La Correcta Marcha Del Tractor
Aún no hay calificaciones
Selección de La Correcta Marcha Del Tractor
2 páginas
Ajuste Del Tren de Válvulas e Inyectores Manual de Servicio Del ISF3.8
100% (4)
Ajuste Del Tren de Válvulas e Inyectores Manual de Servicio Del ISF3.8
4 páginas
Helados - La Michoacana
100% (4)
Helados - La Michoacana
13 páginas
Tecnologías Aplicadas en Supply Chain Management
Aún no hay calificaciones
Tecnologías Aplicadas en Supply Chain Management
5 páginas
Mapa Conceptual Subsistema de Palnificación
100% (2)
Mapa Conceptual Subsistema de Palnificación
3 páginas
Problemas Resueltos de Química Cuántica
Aún no hay calificaciones
Problemas Resueltos de Química Cuántica
16 páginas
Diseño de Flexión en Concreto Armado
Aún no hay calificaciones
Diseño de Flexión en Concreto Armado
37 páginas
Acta de Conformación de Las Comisiones Responsables para La Planeación y Ejecución de La Gestión Escolar
Aún no hay calificaciones
Acta de Conformación de Las Comisiones Responsables para La Planeación y Ejecución de La Gestión Escolar
4 páginas
Purpura de Metilo
Aún no hay calificaciones
Purpura de Metilo
7 páginas
11-Evaluación Por Portafolios. Un Enfoque para La Enseñanza (+ o - )
Aún no hay calificaciones
11-Evaluación Por Portafolios. Un Enfoque para La Enseñanza (+ o - )
11 páginas
Problemas de Servicios Auxiliares Mineros
Aún no hay calificaciones
Problemas de Servicios Auxiliares Mineros
3 páginas
CFGM Técnico en Emergencias Sanitarias V3.0
Aún no hay calificaciones
CFGM Técnico en Emergencias Sanitarias V3.0
6 páginas
Métodos Estadísticos en Investigación
100% (1)
Métodos Estadísticos en Investigación
11 páginas
VW Amarok Motor CNEA-CSHA
100% (4)
VW Amarok Motor CNEA-CSHA
23 páginas
Auditoria Caso 2
Aún no hay calificaciones
Auditoria Caso 2
2 páginas
Reunión de Padres: Matrícula y Evaluación 2020
Aún no hay calificaciones
Reunión de Padres: Matrícula y Evaluación 2020
2 páginas
Tablas de Rotación con Estadística No Paramétrica
Aún no hay calificaciones
Tablas de Rotación con Estadística No Paramétrica
14 páginas
Taller 1 Fundamentos
0% (1)
Taller 1 Fundamentos
7 páginas