Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS 1. Versión: OPP-MEJ-PR-07 Página: 03 2/8 OBJETIVO Establecer los lineamientos y el procedimiento a seguir para definir los controles necesarios para la identificación, almacenamiento, protección, recuperación, conservación y disposición de los registros establecidos para el SGC y el SGSI de PROMPERÚ, bajo las normas ISO 9001:2008 e ISO/IEC 27001:2013, respectivamente. 2. ALCANCE El presente procedimiento es administrado por la Unidad de Racionalización de la OPP y es fuente de consulta y aplicación para las áreas que generan y mantienen los registros establecidos para el SGC ISO 9001:2008 y del SGSI ISO/IEC 27001:2013 de PROMPERÚ. El procedimiento se inicia con el establecimiento o redefinición de los registros necesarios para el SGC/SGSI por parte del Dueño del proceso y finaliza con la disposición de los registros que han cumplido su tiempo de conservación por parte del Custodio del registro. 3. DOCUMENTOS A CONSULTAR 3.1. Ley Nº 30075, Ley de Fortalecimiento de la Comisión de Promoción del Perú para la Exportación y el Turismo - PROMPERÚ. 3.2. Ley Nº 30114, Ley de Presupuesto del Sector Publico para el año fiscal 2014, Septuagésima Quinta Disposición Complementaria Final. 3.3. Reglamento de Organización y Funciones de la Comisión de Promoción del Perú para la Exportación y el Turismo - PROMPERÚ aprobado por Decreto Supremo Nº 013-2013-MINCETUR. 3.4. Manual de Perfiles de Puestos de PROMPERÚ, aprobado por Resolución de Secretaría General N° 028-2014PROMPERÚ/SG y modificatorias. 3.5. Manual de Funciones y Perfiles de PROMPERÚ, aprobado por Resolución de Secretaría General N° 102-2008PROMPERÚ/SG y modificatorias. 3.6. Manual de Calidad de la Comisión de Promoción del Perú para la Exportación y el Turismo. 3.7. Manual del Sistema de Gestión de Seguridad de la Información. 3.8. Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ. 3.9. Norma ISO 9001:2008. Sistemas de gestión de la calidad - Requisitos. 3.10. Norma ISO 9000:2005. Sistemas de gestión de la calidad - Fundamentos y vocabulario. 3.11. Norma ISO/IEC 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos. 3.12. UPRA-MEJ-PR-06: Procedimiento para el Control de los Documentos Internos. 3.13. UAAD-SGE-PR-01: Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ. 3.14. UAAD-SGE-PR-02: Procedimiento de Solicitud y Atención de Servicios Archivísticos. 4. SIGLAS Y ACRÓNIMOS 4.1. OPP: Oficina de Planeamiento y Presupuesto. 4.2. OTI: Oficina de Tecnologías de la Información. 4.3. SGC: Sistema de Gestión de Calidad. 4.4. SGSI: Sistema de Gestión de Seguridad de la Información. 4.5. URCN: Unidad de Racionalización. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS 5. OPP-MEJ-PR-07 Versión: Página: 03 3/8 DEFINICIONES Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran señaladas en la norma ISO 9000:2005: 5.1. Información: Datos que poseen significado. 5.2. Registro: Documento que presenta resultados obtenidos o proporciona evidencias de actividades desempeñadas. Nota 1: Los registros pueden utilizarse, por ejemplo, para documentar la trazabilidad y para proporcionar evidencia de verificaciones, acciones preventivas y acciones correctivas. Nota 2: En general los registros no necesitan estar sujetos al control del estado de revisión. Asimismo, para el caso específico del presente procedimiento se consideran las siguientes definiciones: 5.3. Acceso al registro: Decisión concerniente al permiso solamente para consultar el registro, o el permiso y la autoridad para consultarlo y modificarlo. 5.4. Almacenamiento del registro: Definición del lugar en el cual se archiva temporal o definitivamente un registro del SGC o SGSI. 5.5. Archivo: Conjunto ordenado de documentos que una persona, una sociedad, una institución, etc., producen en el ejercicio de sus funciones o actividades. 5.6. Archivo de gestión: Archivo establecido y organizado por cada uno de los órganos, unidades orgánicas o unidades funcionales de la entidad, en él se administra, custodia y conserva el acervo documentario de revisión o consulta frecuente de cada una de estas áreas. 5.7. Archivo Central: Archivo establecido y organizado por la Unidad de Asuntos Administrativos, en él se administra, custodia y conserva el acervo documentario transferido de los diversos archivos de gestión de PROMPERÚ. 5.8. Conservación de registros: Mantener la integridad física del medio de soporte y la información de los registros del SGC y SGSI, a través de la implementación de medidas de preservación y restauración. 5.9. Custodio del registro: Puesto responsable de la administración y protección de los registros del SGC/SGSI que le son asignados; se encarga de su almacenamiento, conservación, disposición y aplicación de los controles definidos en la Lista Maestra de Registros. La designación del custodio es realizada por el Propietario del registro, a través de la Lista Maestra de Registros. 5.10. Disposición de registros: Acción a tomar una vez que el registro ha superado su tiempo de retención. 5.11. Dueño del proceso: Puesto con la responsabilidad y autoridad para gestionar un proceso en términos de planificación, ejecución, seguimiento y mejora continua. Además, desempeña el rol de Propietario de los registros del SGC/SGSI identificados para su proceso. 5.12. Formato: Documento que indica la información que debe registrarse para mantener evidencia de la realización de un proceso, actividad o tarea. Cuando el formato contiene datos y/o información se convierte en registro. 5.13. Identificación del registro: Asignación de código y/o nombre único al registro, que permita diferenciarlo sin lugar a dudas de otro registro. 5.14. Protección: Asegurar la integridad, disponibilidad y confidencialidad de los registros durante todo su periodo de retención. 5.15. Recuperación: Conjunto de actividades orientadas a facilitar la localización de determinados registros previamente almacenados. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS 6. OPP-MEJ-PR-07 Versión: 03 Página: 4/8 CONDICIONES BÁSICAS 6.1. Los registros establecidos para proporcionar evidencia de la conformidad con los requisitos así como de la operación eficaz del SGC/SGSI bajo las normas ISO 9001:2008 e ISO/IEC 27001:2013 respectivamente, deben controlarse. Estos registros serán establecidos por el Dueño del proceso con la asistencia técnica de un Especialista de la URCN, de ser necesaria. 6.2. La Lista Maestra de Registros, es el documento en el cual se establecen los controles para cada registro, tales como: su identificación, clasificación, almacenamiento, protección, tiempo de retención y disposición. 6.3. Los registros pueden encontrarse o estar soportados en papel, de manera electrónica (discos duros, disquetes, CD, DVD, etc.) u otro medio (aquellos que no pueden ser incluidos en las categorías anteriores, tales como videocintas, rollos fotográficos, cintas de audio, etc.). 6.4. Los registros deben permanecer legibles, fácilmente identificables y recuperables para su uso, dónde y cuándo se necesiten. 6.5. No debe borrarse, bajo ninguna circunstancia, la información registrada originalmente en un registro; las correcciones a la información plasmada en los registros físicos, deben realizarse trazando una línea sobre la información a corregir, garantizando que ésta quede legible, para luego consignar la nueva información al margen de la información original, en el caso de registros electrónicos se colocará un comentario sobre la información modificada. La corrección debe ser efectuada por quien generó el registro. 6.6. Todas las correcciones a los registros físicos deben ser revisadas y firmadas por el Custodio del registro. 6.7. Los registros manuscritos, solo deben hacerse utilizando lapicero (no lápiz). 6.8. Los campos de los formatos que resulten no aplicables al momento de generar los registros, deben ser invalidados consignando el texto “No aplica” o “N/A”. 7. CONDICIONES ESPECÍFICAS 7.1. Cada registro del SGC/SGSI debe tener una identificación única, siendo estos de tres (3) tipos: los que provienen de un formato establecido para el SGC/SGSI, los libres de formato (sin una estandarización) y los externos (que provienen de otras entidades). En el caso de formatos, estos se identifican por su nombre y el código del formato respectivo, definido de acuerdo con el Procedimiento para el Control de los Documentos Internos. El resto de los registros, se identifican únicamente por su nombre. Nota 1: Los correos electrónicos considerados como registros del SGC/SGSI se identifican a través del nombre que se encuentra en el campo “Asunto”. Nota 2: Eventualmente, para efecto de apoyo, se podrán conservar, manejar o administrar formatos u otro tipo de documentos impresos o en medios electrónicos que no estén controlados en el SGC o SGSI, siempre que los mismos no estén relacionados con el cumplimiento de requisitos o la operación eficaz de dichos sistemas. 7.2. Los registros físicos se almacenan en archivadores o cualquier otro elemento contenedor que garantice su conservación, y forman parte del Archivo de gestión del área que gestiona el proceso asociado al registro. 7.3. Los registros electrónicos deben almacenarse en la carpeta del SGC (SGC_ISO_9001) o del SGSI (respositorioSGSI) según corresponda, ubicadas en servidores administrados por la OTI, oficina responsable de realizar los respaldos (backup) correspondientes. Nota: Los correos electrónicos considerados como registros del SGC/SGSI deben almacenarse en formato de mensaje de Outlook (MSG). 7.4. Los criterios de ordenamiento para asegurar la recuperación inmediata de los registros almacenados son los siguientes: a. Alfabéticamente b. Numéricamente c. Alfanuméricamente Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS Versión: OPP-MEJ-PR-07 Página: 03 5/8 d. Cronológicamente 7.5. Los registros deben estar protegidos adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad). En el caso de los registros físicos, estos se deben proteger a fin de asegurar que se mantengan legibles e identificables, recuperables, por lo que estos deben ser almacenados en lugares apropiados y seguros a fin de evitar su deterioro. En el caso de los registros electrónicos, estos se deben proteger contra su pérdida y/o modificación mediante controles tales como: control de acceso a las instalaciones, claves o contraseñas de acceso a computadores, claves o contraseñas de usuario, claves o contraseñas de apertura de archivos, claves o contraseñas de protección de archivos contra escritura, respaldos (backup), entre otros. 7.6. El tiempo de retención (mínimo) de los registros se define en la Lista Maestra de Registros (Ver Anexo 2), tomando en consideración los requisitos legales, contractuales y reglamentarios vigentes. Para los registros obligatorios del SGC/SGSI se deberá tener en cuenta los tiempos de retención establecidos en el Anexo 3: Registros obligatorios del SGC/SGSI, del presente procedimiento. 7.7. El Custodio del registro, por lo menos una vez al año, debe realizar verificaciones para identificar los registros que ya cumplieron su tiempo de retención y coordinar su disposición con el Propietario del registro. 7.8. La disposición de los registros se define en la Lista Maestra de Registros, de acuerdo con lo siguiente: a. Los registros electrónicos deben ser eliminados en todos los casos. b. Los registros físicos pueden eliminarse o en su defecto ser transferidos al Archivo Central de PROMPERÚ por un periodo de tiempo definido antes de su eliminación. 7.9. En los casos en que los registros físicos que al vencimiento de su tiempo de conservación deban ser transferidos al Archivo Central de PROMPERÚ, se aplicará el Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ. La consulta de estos registros, se realizará mediante el Procedimiento de Solicitud y Atención de Servicios Archivísticos. 8. DESCRIPCIÓN DEL PROCEDIMIENTO Nº Actividad 1 Establece o redefine los registros necesarios para el SGC/SGSI dentro del alcance de su proceso, con la asistencia técnica de un Especialista de la URCN, de ser necesaria. Responsable Dueño del proceso Nota: Si se requiere crear, modificar o anular un formato, se debe seguir el Procedimiento para el Control de los Documentos Internos. 2 Identifica el registro asignando el nombre y/o código, según lo señalado en el numeral 7.1 del presente documento y registra esta información en una versión borrador de la Lista Maestra de Registros, en el campo correspondiente. Propietario del registro 3 Determina que puesto desempeñará el rol de Custodio del registro y registra esta información en el borrador de Lista Maestra de Registros, en el campo correspondiente. Propietario del registro 4 Determina la clasificación de información que le corresponde al registro, de acuerdo con la “Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ” y registra esta información en el borrador de Lista Maestra de Registros, en el campo correspondiente. Propietario del registro Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS Nº Versión: OPP-MEJ-PR-07 Actividad Página: 03 6/8 Responsable Determina las condiciones de almacenamiento y el acceso al registro, según lo señalado en los numerales 7.2, 7.3, 7.4, 7.5, y 7.6 del presente documento y tomando en consideración su medio de almacenamiento. 5 Esta información se registra en el borrador de Lista Maestra de Registros, en los campos correspondientes. Propietario del registro Nota: El acceso a los registros almacenados del SGC/SGSI por parte del “Personal de PROMPERÚ”, es administrado por el Custodio del registro respectivo. 6 Determina la disposición a aplicar al registro, según numeral 7.9 del presente documento, y registra esta información en el borrador de Lista Maestra de Registros, en los campos correspondientes. 7 Remite vía correo electrónico el borrador de Lista Maestra de Registros al Especialista de la URCN para su revisión. 8 Revisa que los campos del borrador de Lista Maestra de Registros se hayan establecido correctamente y actualiza la Lista Maestra de Registros, incorporando y/o actualizando la información de dicho borrador. Fin del procedimiento. Propietario del registro Propietario del registro Especialista de la URCN Nota: En caso se requiera, el Especialista de la URCN coordinará con el Propietario del registro los ajustes que correspondan. 9. REGISTROS Descripción Código Lista Maestra de Registros FO-MEJ-014 Nº de ejemplares Lugar de archivo Tiempo de archivo (Años) 1 Carpeta de red: SGC_ISO_9001 \1) Procesos del Sistema\Registros\1) Gestion Documental Permanente 10. HOJA DE CONTROL DE CAMBIOS 02 1 Párrafo/ Figura/ Tabla/ Nota --- 02 2 --- 02 3 --- Nº de Nº de versión capítulo/ Ítem Modificaciones Se modificó el Objetivo del procedimiento. Se modificó el Alcance del procedimiento. Se adicionaron como documentos a consultar: “Ley Nº 30075, Ley de Fortalecimiento de la Comisión de Promoción del Perú para la Exportación y el Turismo – PROMPERÚ”, “Ley Nº 30114, Ley de Presupuesto del Sector Publico para el año fiscal 2014, Septuagésima Quinta Disposición Complementaria Final”; “Manual de Perfiles de Puestos, aprobado por Resolución de Secretaría General N° 0282014-PROMPERÚ/SG y modificatorias”; “Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ”; “Procedimiento para el Control de Documentos Internos”; “Procedimiento de Transferencia Documental al Archivo Central de PROMPERÚ”; y, “Procedimiento de Solicitud y Atención de Servicios Archivísticos”. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS Nº de Nº de versión capítulo/ Ítem Párrafo/ Figura/ Tabla/ Nota 02 3 3.1 02 3 3.3 02 3 3.6 02 4 --- 02 5 5.2 02 5 --- 02 5 5.3 02 5 5.4 02 6 6.1 02 6 --- 02 6 6.3 02 6 --- 02 7 7.1 02 7 7.2 02 7 --- 02 7 --- 02 7 7.3 02 7 7.4 02 7 7.5 02 7 --- 02 7 7.6 02 7 7.7 Versión: OPP-MEJ-PR-07 03 Página: 7/8 Modificaciones Se actualizó la versión del ROF considerando el documento aprobado por Decreto Supremo Nº 013-2013-MINCETUR. Se modificó la denominación del “Manual de Calidad de la Dirección de Promoción de las Exportaciones” por “Manual de Calidad de la Comisión de Promoción del Perú para la Exportación y el Turismo”. Se actualizó utilizando la “Norma ISO/IEC 27001:2013. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos”. Se incorporó el término “OPP”; y se cambiaron lo términos “UTIN” por “OTI” y “UPRA” por “URCN”. Se agregó dos notas a la definición “Registro” Se incorporaron las definiciones “5.3 Acceso al registro”, “5.4 Almacenamiento del registro”, “5.5 Archivo”, “5.8 Conservación de registros”, “5.9 Custodio del registro”, “5.10 Disposición de registros”, “5.11 Dueño del proceso”, “5.9 Propietario del registro”, “5.12 Recuperación”, “5.13 identificación del registro”, y “5.14 Protección”. Se cambió la definición “Archivo activo” por “Archivo de gestión” y se alineó dicha definición con la que figura en los procedimientos de archivo. Se cambió la definición “Archivo pasivo” por “Archivo Central” y se alineó dicha definición con la que figura en los procedimientos de archivo. Se eliminó el numeral por ser redundante con la definición de registro. Se incorporó el nuevo numeral 6.1, el cual señala qué registros deben controlarse y cómo se controlan. Se eliminó el numeral debido a que no corresponde al alcance del procedimiento. Se incorporaron nuevos numerales 6.3, 6.4, 6.5, 6.6, 6.7, y 6.8, buscando definir claramente las condiciones generales del procedimiento. Se eliminó por ser redundante con el desarrollo del procedimiento. Se eliminó debido a que la responsabilidad señalada se desarrolla como parte del procedimiento. Se incorporó el nuevo numeral 7.1 a fin de definir claramente el cómo se identificarán los registros. Se incorporaron los nuevos numerales 7.2 y 7.3 a fin establecer cómo se almacenan los registros. Se eliminó condición por estar comprendida dentro de la condición básica 6.1. Se precisó que son criterios para asegurar la recuperación de los registros. Se modificó el numeral 7.5 a fin de hacer explícito el sentido de los controles aplicables a los registros físicos durante su almacenamiento. Se incorporó el nuevo numeral 7.7, que hace referencia al establecimiento de los tiempos de retención de los registros. Se eliminó por estar comprendido dentro de la nueva condición específica 7.3. Se eliminó condición por está comprendida en diversos numerales del nuevo procedimiento. Título: Código: PROCEDIMIENTO PARA EL CONTROL DE REGISTROS Nº de Nº de versión capítulo/ Ítem Párrafo/ Figura/ Tabla/ Nota Versión: OPP-MEJ-PR-07 Página: 03 8/8 Modificaciones 02 7 7.8 02 7 7.9 02 7 7.10 02 7 7.11 02 7 7.12 y 7.13 02 7 7.14 02 7 7.15 y 7.16 02 7 --- 02 8 --- 02 11 Anexo A Se eliminó condición por estar comprendida en la nueva condición específica 7.3. Se eliminó condición por estar comprendida en la nueva condición básica 6.3. Se eliminó condición por estar comprendida en la nueva condición básica 6.3. Se eliminó condición por estar comprendida en la nueva condición básica 6.3. Se eliminaron por estar comprendidas en la nueva condición específica 7.1. Se eliminó condición por estar comprenda en las nuevas condiciones 7.1 y 7.3. Se fusionan en la nueva condición específica 7.8, siendo el Custodio del registro el nuevo responsable del cumplimiento de la condición. Se incorporó las nuevas disposiciones 7.9 y 7.10 respecto a la disposición de los registros. Se modificó el procedimiento, de acuerdo con el nuevo alcance establecido. Se actualizó el diagrama de flujo. 02 11 Anexo B Se modificó el formato Lista Maestra de Registros 02 11 -- Se incorporó un nuevo Anexo 3: Registros obligatorios del SGC/SGSI 11. ANEXOS Descripción Anexo Diagrama de Flujo 1 Formato Lista Maestra de Registros 2 Registros obligatorios del SGC/SGSI 3 ANEXO Nº 1 DIAGRAMA DE FLUJO Dueño del proceso Propietario del Registro Especialista de la URCN Inicio 1 Establece o redefine los registros necesarios para el SGC/SGSI, con la asistencia técnica de un Especialista de la URCN, de ser necesaria 2 Identifica el registro asignando el nombre y/o código y registra esta información en una versión borrador de la Lista Maestra de Registros, en campo correspondiente 3 Determina que puesto desempeñará el rol de Custodio del registro y registra en borrador de Lista Maestra de Registros, en campo correspondiente 4 Determina la clasificación de información del registro, de acuerdo con la “Política de Clasificación, Etiquetado y Tratamiento de la Información Administrada por PROMPERÚ” y registra en el borrador de Lista Maestra de Registros, en los campos correspondientes 5 Determina las condiciones de almacenamiento y el acceso al registro, y registra en borrador de Lista Maestra de Registros, en los campos correspondientes 6 Determina la disposición a aplicar al registro y registra esta información en borrador de Lista Maestra de Registros, en los campos correspondientes 7 Remite vía correo electrónico el borrador de Lista Maestra de Registros al Especialista de la URCN para su revisión 8 Revisa que campos del borrador de Lista Maestra de Registros y actualiza la Lista Maestra de Registros, incorporando y/o actualizando la información de dicho borrador Fin ANEXO Nº 2 ANEXO Nº 3 Registros obligatorios para el Sistema de Gestión de la Calidad – ISO 9001:2008 Tiempo de retención Nº Clausula Tipo de Registro Permanente De las revisiones de la dirección. X De educación, entrenamiento, habilidades y experiencia (competencia). X No permanente (mínimo) 1 5.6.1 2 6.2.2 (e) 3 7.1 (d) De evidencia de que los procesos de realización y el producto resultante cumplen los requisitos. 3 años 4 7.2.2 De resultados de la revisión de los requisitos relacionados con el producto y las acciones derivadas de la revisión. 3 años 5 7.3.2 De entradas de diseño y desarrollo. 3 años 6 7.3.4 De resultados de las revisiones de diseño y desarrollo y cualquier acción derivada. 3 años 7 7.3.5 De resultados de las verificaciones del diseño y desarrollo y cualquier acción derivada. 3 años 8 7.3.6 De resultados de la validación del diseño y desarrollo y cualquier acción derivada. X 9 7.3.7 De resultados de los cambios del diseño y desarrollo y cualquier acción derivada. X 10 7.4.1 De resultados de las evaluaciones a proveedores y las acciones derivadas de las evaluaciones. X 11 7.5.2 (d) De validación de los procesos de producción del producto donde el resultado no puede ser verificado por un monitoreo o medición posterior. X 12 7.5.3 De la identificación única del producto, donde la rastreabilidad es un requerimiento. X 13 7.5.4 De propiedad del cliente perdida, dañada o considerada no apta para su uso. 14 7.6 De validez de los resultados previos cuando se encuentre un equipo de medición no conforme con sus requisitos. 15 7.6 De resultados de calibración y verificación del equipo de medición. No aplica No aplica 16 7.6 (a) De estándares usados para la calibración o verificación del equipo de medición, donde no existan estándares de medición internacionales o nacionales. No aplica No aplica 17 8.2.2 De resultados de auditorías internas. 6 años 18 8.2.4 De evidencia de la conformidad del producto con el criterio de aceptación y la indicación de la autoridad responsable de la liberación del producto. 3 años 19 8.3 De la naturaleza de las no conformidades del producto y cualquier acción subsecuente tomada, incluyendo la concesión obtenida. X 20 8.5.2 De resultados de acciones correctivas tomadas. X 21 8.5.3 De resultados de las acciones preventivas tomadas. X 3 años 3 años Registros obligatorios para el Sistema de Gestión de Seguridad de la Información – ISO 27001:2013 Tiempo de retención Nº Clausula Tipo de Registro Permanente No permanente (mínimo) 1 7.2 De capacitación, habilidades, experiencia y calificaciones. x 2 9.1 Resultados de supervisión y medición. x 3 9.2 De programa de auditoría interna. 6 años 4 9.2 De resultados de auditorías internas 6 años 5 9.3 De resultados de la revisión por parte de la dirección. x Registros obligatorios para el Sistema de Gestión de Seguridad de la Información – ISO 27001:2013 Tiempo de retención Nº Clausula Tipo de Registro Permanente 6 10,1 7 A.12.4.1, y A.12.4.3 Resultados de acciones correctivas. Registros sobre actividades de los usuarios, excepciones y eventos de seguridad No permanente (mínimo) x 3 años