Procedimiento para el Control de Registros

Anuncio
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
1.
Versión:
OPP-MEJ-PR-07
Página:
03
2/8
OBJETIVO
Establecer los lineamientos y el procedimiento a seguir para definir los controles necesarios para la identificación,
almacenamiento, protección, recuperación, conservación y disposición de los registros establecidos para el SGC y
el SGSI de PROMPERÚ, bajo las normas ISO 9001:2008 e ISO/IEC 27001:2013, respectivamente.
2.
ALCANCE
El presente procedimiento es administrado por la Unidad de Racionalización de la OPP y es fuente de consulta y
aplicación para las áreas que generan y mantienen los registros establecidos para el SGC ISO 9001:2008 y del SGSI
ISO/IEC 27001:2013 de PROMPERÚ. El procedimiento se inicia con el establecimiento o redefinición de los registros
necesarios para el SGC/SGSI por parte del Dueño del proceso y finaliza con la disposición de los registros que han
cumplido su tiempo de conservación por parte del Custodio del registro.
3.
DOCUMENTOS A CONSULTAR
3.1. Ley Nº 30075, Ley de Fortalecimiento de la Comisión de Promoción del Perú para la Exportación y el Turismo
- PROMPERÚ.
3.2. Ley Nº 30114, Ley de Presupuesto del Sector Publico para el año fiscal 2014, Septuagésima Quinta Disposición
Complementaria Final.
3.3. Reglamento de Organización y Funciones de la Comisión de Promoción del Perú para la Exportación y el
Turismo - PROMPERÚ aprobado por Decreto Supremo Nº 013-2013-MINCETUR.
3.4. Manual de Perfiles de Puestos de PROMPERÚ, aprobado por Resolución de Secretaría General N° 028-2014PROMPERÚ/SG y modificatorias.
3.5. Manual de Funciones y Perfiles de PROMPERÚ, aprobado por Resolución de Secretaría General N° 102-2008PROMPERÚ/SG y modificatorias.
3.6. Manual de Calidad de la Comisión de Promoción del Perú para la Exportación y el Turismo.
3.7. Manual del Sistema de Gestión de Seguridad de la Información.
3.8. Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ.
3.9. Norma ISO 9001:2008. Sistemas de gestión de la calidad - Requisitos.
3.10. Norma ISO 9000:2005. Sistemas de gestión de la calidad - Fundamentos y vocabulario.
3.11. Norma ISO/IEC 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de
seguridad de la información. Requisitos.
3.12. UPRA-MEJ-PR-06: Procedimiento para el Control de los Documentos Internos.
3.13. UAAD-SGE-PR-01: Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ.
3.14. UAAD-SGE-PR-02: Procedimiento de Solicitud y Atención de Servicios Archivísticos.
4.
SIGLAS Y ACRÓNIMOS
4.1. OPP: Oficina de Planeamiento y Presupuesto.
4.2. OTI: Oficina de Tecnologías de la Información.
4.3. SGC: Sistema de Gestión de Calidad.
4.4. SGSI: Sistema de Gestión de Seguridad de la Información.
4.5. URCN: Unidad de Racionalización.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
5.
OPP-MEJ-PR-07
Versión:
Página:
03
3/8
DEFINICIONES
Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran
señaladas en la norma ISO 9000:2005:
5.1. Información: Datos que poseen significado.
5.2. Registro: Documento que presenta resultados obtenidos o proporciona evidencias de actividades
desempeñadas.
Nota 1: Los registros pueden utilizarse, por ejemplo, para documentar la trazabilidad y para proporcionar evidencia de verificaciones,
acciones preventivas y acciones correctivas.
Nota 2: En general los registros no necesitan estar sujetos al control del estado de revisión.
Asimismo, para el caso específico del presente procedimiento se consideran las siguientes definiciones:
5.3. Acceso al registro: Decisión concerniente al permiso solamente para consultar el registro, o el permiso y la
autoridad para consultarlo y modificarlo.
5.4. Almacenamiento del registro: Definición del lugar en el cual se archiva temporal o definitivamente un registro
del SGC o SGSI.
5.5. Archivo: Conjunto ordenado de documentos que una persona, una sociedad, una institución, etc., producen
en el ejercicio de sus funciones o actividades.
5.6. Archivo de gestión: Archivo establecido y organizado por cada uno de los órganos, unidades orgánicas o
unidades funcionales de la entidad, en él se administra, custodia y conserva el acervo documentario de
revisión o consulta frecuente de cada una de estas áreas.
5.7. Archivo Central: Archivo establecido y organizado por la Unidad de Asuntos Administrativos, en él se
administra, custodia y conserva el acervo documentario transferido de los diversos archivos de gestión de
PROMPERÚ.
5.8. Conservación de registros: Mantener la integridad física del medio de soporte y la información de los registros
del SGC y SGSI, a través de la implementación de medidas de preservación y restauración.
5.9. Custodio del registro: Puesto responsable de la administración y protección de los registros del SGC/SGSI que
le son asignados; se encarga de su almacenamiento, conservación, disposición y aplicación de los controles
definidos en la Lista Maestra de Registros. La designación del custodio es realizada por el Propietario del
registro, a través de la Lista Maestra de Registros.
5.10. Disposición de registros: Acción a tomar una vez que el registro ha superado su tiempo de retención.
5.11. Dueño del proceso: Puesto con la responsabilidad y autoridad para gestionar un proceso en términos de
planificación, ejecución, seguimiento y mejora continua. Además, desempeña el rol de Propietario de los
registros del SGC/SGSI identificados para su proceso.
5.12. Formato: Documento que indica la información que debe registrarse para mantener evidencia de la
realización de un proceso, actividad o tarea. Cuando el formato contiene datos y/o información se convierte
en registro.
5.13. Identificación del registro: Asignación de código y/o nombre único al registro, que permita diferenciarlo sin
lugar a dudas de otro registro.
5.14. Protección: Asegurar la integridad, disponibilidad y confidencialidad de los registros durante todo su periodo
de retención.
5.15. Recuperación: Conjunto de actividades orientadas a facilitar la localización de determinados registros
previamente almacenados.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
6.
OPP-MEJ-PR-07
Versión:
03
Página:
4/8
CONDICIONES BÁSICAS
6.1. Los registros establecidos para proporcionar evidencia de la conformidad con los requisitos así como de la
operación eficaz del SGC/SGSI bajo las normas ISO 9001:2008 e ISO/IEC 27001:2013 respectivamente, deben
controlarse. Estos registros serán establecidos por el Dueño del proceso con la asistencia técnica de un
Especialista de la URCN, de ser necesaria.
6.2. La Lista Maestra de Registros, es el documento en el cual se establecen los controles para cada registro, tales
como: su identificación, clasificación, almacenamiento, protección, tiempo de retención y disposición.
6.3. Los registros pueden encontrarse o estar soportados en papel, de manera electrónica (discos duros,
disquetes, CD, DVD, etc.) u otro medio (aquellos que no pueden ser incluidos en las categorías anteriores,
tales como videocintas, rollos fotográficos, cintas de audio, etc.).
6.4. Los registros deben permanecer legibles, fácilmente identificables y recuperables para su uso, dónde y
cuándo se necesiten.
6.5. No debe borrarse, bajo ninguna circunstancia, la información registrada originalmente en un registro; las
correcciones a la información plasmada en los registros físicos, deben realizarse trazando una línea sobre la
información a corregir, garantizando que ésta quede legible, para luego consignar la nueva información al
margen de la información original, en el caso de registros electrónicos se colocará un comentario sobre la
información modificada. La corrección debe ser efectuada por quien generó el registro.
6.6. Todas las correcciones a los registros físicos deben ser revisadas y firmadas por el Custodio del registro.
6.7. Los registros manuscritos, solo deben hacerse utilizando lapicero (no lápiz).
6.8. Los campos de los formatos que resulten no aplicables al momento de generar los registros, deben ser
invalidados consignando el texto “No aplica” o “N/A”.
7.
CONDICIONES ESPECÍFICAS
7.1. Cada registro del SGC/SGSI debe tener una identificación única, siendo estos de tres (3) tipos: los que
provienen de un formato establecido para el SGC/SGSI, los libres de formato (sin una estandarización) y los
externos (que provienen de otras entidades).
En el caso de formatos, estos se identifican por su nombre y el código del formato respectivo, definido de
acuerdo con el Procedimiento para el Control de los Documentos Internos. El resto de los registros, se
identifican únicamente por su nombre.
Nota 1: Los correos electrónicos considerados como registros del SGC/SGSI se identifican a través del nombre que se encuentra en el
campo “Asunto”.
Nota 2: Eventualmente, para efecto de apoyo, se podrán conservar, manejar o administrar formatos u otro tipo de documentos impresos
o en medios electrónicos que no estén controlados en el SGC o SGSI, siempre que los mismos no estén relacionados con el cumplimiento
de requisitos o la operación eficaz de dichos sistemas.
7.2. Los registros físicos se almacenan en archivadores o cualquier otro elemento contenedor que garantice su
conservación, y forman parte del Archivo de gestión del área que gestiona el proceso asociado al registro.
7.3. Los registros electrónicos deben almacenarse en la carpeta del SGC (SGC_ISO_9001) o del SGSI
(respositorioSGSI) según corresponda, ubicadas en servidores administrados por la OTI, oficina responsable
de realizar los respaldos (backup) correspondientes.
Nota: Los correos electrónicos considerados como registros del SGC/SGSI deben almacenarse en formato de mensaje de Outlook (MSG).
7.4. Los criterios de ordenamiento para asegurar la recuperación inmediata de los registros almacenados son los
siguientes:
a. Alfabéticamente
b. Numéricamente
c. Alfanuméricamente
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
Versión:
OPP-MEJ-PR-07
Página:
03
5/8
d. Cronológicamente
7.5. Los registros deben estar protegidos adecuadamente (por ejemplo, contra pérdida de la confidencialidad,
uso inadecuado, o pérdida de integridad).
En el caso de los registros físicos, estos se deben proteger a fin de asegurar que se mantengan legibles e
identificables, recuperables, por lo que estos deben ser almacenados en lugares apropiados y seguros a fin
de evitar su deterioro.
En el caso de los registros electrónicos, estos se deben proteger contra su pérdida y/o modificación mediante
controles tales como: control de acceso a las instalaciones, claves o contraseñas de acceso a computadores,
claves o contraseñas de usuario, claves o contraseñas de apertura de archivos, claves o contraseñas de
protección de archivos contra escritura, respaldos (backup), entre otros.
7.6. El tiempo de retención (mínimo) de los registros se define en la Lista Maestra de Registros (Ver Anexo 2),
tomando en consideración los requisitos legales, contractuales y reglamentarios vigentes. Para los registros
obligatorios del SGC/SGSI se deberá tener en cuenta los tiempos de retención establecidos en el Anexo 3:
Registros obligatorios del SGC/SGSI, del presente procedimiento.
7.7. El Custodio del registro, por lo menos una vez al año, debe realizar verificaciones para identificar los registros
que ya cumplieron su tiempo de retención y coordinar su disposición con el Propietario del registro.
7.8. La disposición de los registros se define en la Lista Maestra de Registros, de acuerdo con lo siguiente:
a. Los registros electrónicos deben ser eliminados en todos los casos.
b. Los registros físicos pueden eliminarse o en su defecto ser transferidos al Archivo Central de PROMPERÚ
por un periodo de tiempo definido antes de su eliminación.
7.9. En los casos en que los registros físicos que al vencimiento de su tiempo de conservación deban ser
transferidos al Archivo Central de PROMPERÚ, se aplicará el Procedimiento de Transferencia Documental al
Archivo Central de PROMPERÚ. La consulta de estos registros, se realizará mediante el Procedimiento de
Solicitud y Atención de Servicios Archivísticos.
8.
DESCRIPCIÓN DEL PROCEDIMIENTO
Nº
Actividad
1
Establece o redefine los registros necesarios para el SGC/SGSI dentro
del alcance de su proceso, con la asistencia técnica de un Especialista
de la URCN, de ser necesaria.
Responsable
Dueño del proceso
Nota: Si se requiere crear, modificar o anular un formato, se debe seguir el Procedimiento
para el Control de los Documentos Internos.
2
Identifica el registro asignando el nombre y/o código, según lo señalado
en el numeral 7.1 del presente documento y registra esta información
en una versión borrador de la Lista Maestra de Registros, en el campo
correspondiente.
Propietario del registro
3
Determina que puesto desempeñará el rol de Custodio del registro y
registra esta información en el borrador de Lista Maestra de Registros,
en el campo correspondiente.
Propietario del registro
4
Determina la clasificación de información que le corresponde al
registro, de acuerdo con la “Política de Clasificación, Etiquetado y
Tratamiento de la Información Administrada por PROMPERÚ” y registra
esta información en el borrador de Lista Maestra de Registros, en el
campo correspondiente.
Propietario del registro
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
Nº
Versión:
OPP-MEJ-PR-07
Actividad
Página:
03
6/8
Responsable
Determina las condiciones de almacenamiento y el acceso al registro,
según lo señalado en los numerales 7.2, 7.3, 7.4, 7.5, y 7.6 del presente
documento y tomando en consideración su medio de almacenamiento.
5
Esta información se registra en el borrador de Lista Maestra de
Registros, en los campos correspondientes.
Propietario del registro
Nota: El acceso a los registros almacenados del SGC/SGSI por parte del “Personal de
PROMPERÚ”, es administrado por el Custodio del registro respectivo.
6
Determina la disposición a aplicar al registro, según numeral 7.9 del
presente documento, y registra esta información en el borrador de Lista
Maestra de Registros, en los campos correspondientes.
7
Remite vía correo electrónico el borrador de Lista Maestra de Registros
al Especialista de la URCN para su revisión.
8
Revisa que los campos del borrador de Lista Maestra de Registros se
hayan establecido correctamente y actualiza la Lista Maestra de
Registros, incorporando y/o actualizando la información de dicho
borrador. Fin del procedimiento.
Propietario del registro
Propietario del registro
Especialista de la URCN
Nota: En caso se requiera, el Especialista de la URCN coordinará con el Propietario del
registro los ajustes que correspondan.
9.
REGISTROS
Descripción
Código
Lista Maestra de Registros
FO-MEJ-014
Nº de
ejemplares
Lugar de archivo
Tiempo de
archivo
(Años)
1
Carpeta de red:
SGC_ISO_9001 \1)
Procesos del
Sistema\Registros\1)
Gestion Documental
Permanente
10. HOJA DE CONTROL DE CAMBIOS
02
1
Párrafo/
Figura/ Tabla/
Nota
---
02
2
---
02
3
---
Nº de
Nº de
versión capítulo/ Ítem
Modificaciones
Se modificó el Objetivo del procedimiento.
Se modificó el Alcance del procedimiento.
Se adicionaron como documentos a consultar: “Ley Nº 30075, Ley de
Fortalecimiento de la Comisión de Promoción del Perú para la
Exportación y el Turismo – PROMPERÚ”, “Ley Nº 30114, Ley de
Presupuesto del Sector Publico para el año fiscal 2014, Septuagésima
Quinta Disposición Complementaria Final”; “Manual de Perfiles de
Puestos, aprobado por Resolución de Secretaría General N° 0282014-PROMPERÚ/SG y modificatorias”; “Política de Clasificación,
Etiquetado y Tratamiento de la Información Administrada por
PROMPERÚ”; “Procedimiento para el Control de Documentos
Internos”; “Procedimiento de Transferencia Documental al Archivo
Central de PROMPERÚ”; y, “Procedimiento de Solicitud y Atención de
Servicios Archivísticos”.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
Nº de
Nº de
versión capítulo/ Ítem
Párrafo/
Figura/ Tabla/
Nota
02
3
3.1
02
3
3.3
02
3
3.6
02
4
---
02
5
5.2
02
5
---
02
5
5.3
02
5
5.4
02
6
6.1
02
6
---
02
6
6.3
02
6
---
02
7
7.1
02
7
7.2
02
7
---
02
7
---
02
7
7.3
02
7
7.4
02
7
7.5
02
7
---
02
7
7.6
02
7
7.7
Versión:
OPP-MEJ-PR-07
03
Página:
7/8
Modificaciones
Se actualizó la versión del ROF considerando el documento aprobado
por Decreto Supremo Nº 013-2013-MINCETUR.
Se modificó la denominación del “Manual de Calidad de la Dirección
de Promoción de las Exportaciones” por “Manual de Calidad de la
Comisión de Promoción del Perú para la Exportación y el Turismo”.
Se actualizó utilizando la “Norma ISO/IEC 27001:2013. Tecnología de
la información. Técnicas de seguridad. Sistemas de gestión de
seguridad de la información. Requisitos”.
Se incorporó el término “OPP”; y se cambiaron lo términos “UTIN”
por “OTI” y “UPRA” por “URCN”.
Se agregó dos notas a la definición “Registro”
Se incorporaron las definiciones “5.3 Acceso al registro”, “5.4
Almacenamiento del registro”, “5.5 Archivo”, “5.8 Conservación de
registros”, “5.9 Custodio del registro”, “5.10 Disposición de
registros”, “5.11 Dueño del proceso”, “5.9 Propietario del registro”,
“5.12 Recuperación”, “5.13 identificación del registro”, y “5.14
Protección”.
Se cambió la definición “Archivo activo” por “Archivo de gestión” y se
alineó dicha definición con la que figura en los procedimientos de
archivo.
Se cambió la definición “Archivo pasivo” por “Archivo Central” y se
alineó dicha definición con la que figura en los procedimientos de
archivo.
Se eliminó el numeral por ser redundante con la definición de
registro.
Se incorporó el nuevo numeral 6.1, el cual señala qué registros deben
controlarse y cómo se controlan.
Se eliminó el numeral debido a que no corresponde al alcance del
procedimiento.
Se incorporaron nuevos numerales 6.3, 6.4, 6.5, 6.6, 6.7, y 6.8,
buscando definir claramente las condiciones generales del
procedimiento.
Se eliminó por ser redundante con el desarrollo del procedimiento.
Se eliminó debido a que la responsabilidad señalada se desarrolla
como parte del procedimiento.
Se incorporó el nuevo numeral 7.1 a fin de definir claramente el cómo
se identificarán los registros.
Se incorporaron los nuevos numerales 7.2 y 7.3 a fin establecer cómo
se almacenan los registros.
Se eliminó condición por estar comprendida dentro de la condición
básica 6.1.
Se precisó que son criterios para asegurar la recuperación de los
registros.
Se modificó el numeral 7.5 a fin de hacer explícito el sentido de los
controles aplicables a los registros físicos durante su
almacenamiento.
Se incorporó el nuevo numeral 7.7, que hace referencia al
establecimiento de los tiempos de retención de los registros.
Se eliminó por estar comprendido dentro de la nueva condición
específica 7.3.
Se eliminó condición por está comprendida en diversos numerales
del nuevo procedimiento.
Título:
Código:
PROCEDIMIENTO PARA EL CONTROL DE REGISTROS
Nº de
Nº de
versión capítulo/ Ítem
Párrafo/
Figura/ Tabla/
Nota
Versión:
OPP-MEJ-PR-07
Página:
03
8/8
Modificaciones
02
7
7.8
02
7
7.9
02
7
7.10
02
7
7.11
02
7
7.12 y 7.13
02
7
7.14
02
7
7.15 y 7.16
02
7
---
02
8
---
02
11
Anexo A
Se eliminó condición por estar comprendida en la nueva condición
específica 7.3.
Se eliminó condición por estar comprendida en la nueva condición
básica 6.3.
Se eliminó condición por estar comprendida en la nueva condición
básica 6.3.
Se eliminó condición por estar comprendida en la nueva condición
básica 6.3.
Se eliminaron por estar comprendidas en la nueva condición
específica 7.1.
Se eliminó condición por estar comprenda en las nuevas condiciones
7.1 y 7.3.
Se fusionan en la nueva condición específica 7.8, siendo el Custodio
del registro el nuevo responsable del cumplimiento de la condición.
Se incorporó las nuevas disposiciones 7.9 y 7.10 respecto a la
disposición de los registros.
Se modificó el procedimiento, de acuerdo con el nuevo alcance
establecido.
Se actualizó el diagrama de flujo.
02
11
Anexo B
Se modificó el formato Lista Maestra de Registros
02
11
--
Se incorporó un nuevo Anexo 3: Registros obligatorios del SGC/SGSI
11. ANEXOS
Descripción
Anexo
Diagrama de Flujo
1
Formato Lista Maestra de Registros
2
Registros obligatorios del SGC/SGSI
3
ANEXO Nº 1
DIAGRAMA DE FLUJO
Dueño del proceso
Propietario del Registro
Especialista de la URCN
Inicio
1
Establece o redefine los
registros necesarios para el
SGC/SGSI, con la asistencia
técnica de un Especialista de la
URCN, de ser necesaria
2
Identifica el registro asignando
el nombre y/o código y
registra esta información en
una versión borrador de la
Lista Maestra de Registros, en
campo correspondiente
3
Determina que puesto
desempeñará el rol de
Custodio del registro y registra
en borrador de Lista Maestra
de Registros, en campo
correspondiente
4
Determina la clasificación de
información del registro, de
acuerdo con la “Política de
Clasificación, Etiquetado y
Tratamiento de la Información
Administrada por PROMPERÚ”
y registra en el borrador de
Lista Maestra de Registros, en
los campos correspondientes
5
Determina las condiciones de
almacenamiento y el acceso al
registro, y registra en borrador
de Lista Maestra de Registros,
en los campos
correspondientes
6
Determina la disposición a
aplicar al registro y registra
esta información en borrador
de Lista Maestra de Registros,
en los campos
correspondientes
7
Remite vía correo electrónico
el borrador de Lista Maestra
de Registros al Especialista de
la URCN para su revisión
8
Revisa que campos del
borrador de Lista Maestra de
Registros y actualiza la Lista
Maestra de Registros,
incorporando y/o
actualizando la información
de dicho borrador
Fin
ANEXO Nº 2
ANEXO Nº 3
Registros obligatorios para el Sistema de Gestión de la Calidad – ISO 9001:2008
Tiempo de retención
Nº
Clausula
Tipo de Registro
Permanente
De las revisiones de la dirección.
X
De educación, entrenamiento, habilidades y experiencia (competencia).
X
No permanente
(mínimo)
1
5.6.1
2
6.2.2 (e)
3
7.1 (d)
De evidencia de que los procesos de realización y el producto resultante cumplen los
requisitos.
3 años
4
7.2.2
De resultados de la revisión de los requisitos relacionados con el producto y las acciones
derivadas de la revisión.
3 años
5
7.3.2
De entradas de diseño y desarrollo.
3 años
6
7.3.4
De resultados de las revisiones de diseño y desarrollo y cualquier acción derivada.
3 años
7
7.3.5
De resultados de las verificaciones del diseño y desarrollo y cualquier acción derivada.
3 años
8
7.3.6
De resultados de la validación del diseño y desarrollo y cualquier acción derivada.
X
9
7.3.7
De resultados de los cambios del diseño y desarrollo y cualquier acción derivada.
X
10
7.4.1
De resultados de las evaluaciones a proveedores y las acciones derivadas de las
evaluaciones.
X
11
7.5.2 (d)
De validación de los procesos de producción del producto donde el resultado no puede ser
verificado por un monitoreo o medición posterior.
X
12
7.5.3
De la identificación única del producto, donde la rastreabilidad es un requerimiento.
X
13
7.5.4
De propiedad del cliente perdida, dañada o considerada no apta para su uso.
14
7.6
De validez de los resultados previos cuando se encuentre un equipo de medición no
conforme con sus requisitos.
15
7.6
De resultados de calibración y verificación del equipo de medición.
No aplica
No aplica
16
7.6 (a)
De estándares usados para la calibración o verificación del equipo de medición, donde no
existan estándares de medición internacionales o nacionales.
No aplica
No aplica
17
8.2.2
De resultados de auditorías internas.
6 años
18
8.2.4
De evidencia de la conformidad del producto con el criterio de aceptación y la indicación de
la autoridad responsable de la liberación del producto.
3 años
19
8.3
De la naturaleza de las no conformidades del producto y cualquier acción subsecuente
tomada, incluyendo la concesión obtenida.
X
20
8.5.2
De resultados de acciones correctivas tomadas.
X
21
8.5.3
De resultados de las acciones preventivas tomadas.
X
3 años
3 años
Registros obligatorios para el Sistema de Gestión de Seguridad de la Información – ISO 27001:2013
Tiempo de retención
Nº
Clausula
Tipo de Registro
Permanente
No permanente
(mínimo)
1
7.2
De capacitación, habilidades, experiencia y calificaciones.
x
2
9.1
Resultados de supervisión y medición.
x
3
9.2
De programa de auditoría interna.
6 años
4
9.2
De resultados de auditorías internas
6 años
5
9.3
De resultados de la revisión por parte de la dirección.
x
Registros obligatorios para el Sistema de Gestión de Seguridad de la Información – ISO 27001:2013
Tiempo de retención
Nº
Clausula
Tipo de Registro
Permanente
6
10,1
7
A.12.4.1, y
A.12.4.3
Resultados de acciones correctivas.
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
No permanente
(mínimo)
x
3 años
Descargar