Inicio / Documentación / Guía de Uso del Manual SGSI

Guía de Uso del Manual del Sistema de Gestión de Seguridad de la Información (SGSI)

Este manual representa el compromiso de la organización con la protección de la confidencialidad, integridad y disponibilidad de la información.

1

Introducción

El presente Manual del Sistema de Gestión de Seguridad de la Información (SGSI) tiene como finalidad describir la estructura, los componentes y el funcionamiento del SGSI implementado en la organización. Está alineado con la norma internacional ISO/IEC 27001:2022 y refleja el compromiso institucional de proteger la confidencialidad, integridad y disponibilidad de la información.

Propósito del SGSI

  • Garantizar la protección de los activos de información
  • Gestionar los riesgos de seguridad de la información
  • Cumplir con requisitos legales y contractuales
  • Generar confianza entre clientes y partes interesadas

Este manual sirve como guía para la comprensión, aplicación y mejora continua del SGSI, facilitando el cumplimiento de los requisitos legales, reglamentarios y contractuales vigentes.

2

Alcance del SGSI

El SGSI abarca todos los procesos, recursos humanos, tecnológicos y físicos relacionados con la información que se gestiona, almacena o transmite en la organización, conforme al DOC 001 Alcance del SGSI. Incluye todas las áreas, sedes y unidades que tienen acceso o manejan información crítica para la operación institucional.

✅ Incluido en el Alcance

  • Procesos de gestión de información
  • Recursos tecnológicos y sistemas
  • Personal y contratistas
  • Instalaciones físicas
  • Información en todos los formatos

❌ Excluido del Alcance

  • Procesos sin impacto en seguridad
  • Áreas especificadas en DOC-001
  • Actividades no relacionadas con SGSI

Quedan excluidos aquellos procesos o áreas expresamente detalladas en el citado documento, debido a la ausencia de impacto relevante en la seguridad de la información.

3

Definiciones y Términos Clave

Se utilizan en este manual términos conforme a la ISO/IEC 27001:2022 y otros documentos del SGSI.

Riesgo

Probabilidad de que una amenaza explote una vulnerabilidad causando un impacto negativo.

PRO 001 Evaluación de Riesgos →

Control

Medida adoptada para gestionar un riesgo o requisito.

PRO 008 Planificación de Controles →

Incidente de Seguridad

Evento que compromete la seguridad de la información.

PRO 012 Comunicación de Incidentes →

Partes Interesadas

Personas u organizaciones que pueden afectar o ser afectadas por el SGSI.

DOC 007 Análisis de Partes →

Para definiciones completas, consultar el glosario incluido en el SGSI.

4

Estructura del Manual del SGSI

La estructura de este manual se encuentra alineada con la arquitectura de alto nivel (HLS) de las normas ISO, facilitando su integración y aplicación coherente dentro de la organización.

4. Contexto de la Organización

  • Análisis del contexto interno y externo
  • Identificación de partes interesadas
  • Alcance definido del SGSI

5. Liderazgo

  • Compromiso de la alta dirección
  • Política de seguridad de la información
  • Roles, responsabilidades y autoridades

6. Planificación

  • Acciones para abordar riesgos y oportunidades
  • Objetivos de seguridad de la información
  • Planificación de cambios

7. Apoyo

  • Recursos necesarios
  • Competencia y concienciación
  • Comunicación y documentación

8. Operación

  • Planificación y control operacional
  • Gestión de incidentes de seguridad
  • Gestión de cambios

9. Evaluación del Desempeño

  • Seguimiento, medición, análisis y evaluación
  • Auditoría interna
  • Revisión por la dirección

10. Mejora

  • No conformidad y acción correctiva
  • Mejora continua
5

Estructura Documental del SGSI

Este manual se complementa con la siguiente estructura documental organizada por categorías:

📚 Manuales

MAN 002, MAN 003, MAN 004

📋 Políticas

POL 001 a POL 017

🔄 Procesos

PSC 001 a PSC 009

📝 Procedimientos

PRO 001 a PRO 021

📄 Documentos

DOC 001 a DOC 023

📊 Formularios

FOR 001 a FOR 037

🎯 Declaración de Aplicabilidad

SOA 001 - Documento clave que define los controles aplicables del Anexo A de ISO 27001

6

Cómo utilizar el Manual del SGSI

Este manual se utiliza como una herramienta esencial de consulta y orientación para:

Capacitación del personal

Sirve como base para los programas de inducción y formación continua en seguridad de la información.

Auditorías internas y externas

Guía a los auditores en la verificación de conformidad y eficacia del SGSI.

Gestión estratégica

Apoya la toma de decisiones informadas por parte de la alta dirección en materia de seguridad.

Operaciones diarias

Facilita la ejecución de actividades conforme a los requisitos de seguridad documentados.

Todos los colaboradores deben tener acceso a la versión actualizada del manual, comprender su contenido y aplicar sus lineamientos dentro de sus respectivas funciones y responsabilidades.

7

Responsabilidades en la Gestión del Manual

La correcta gestión del presente manual está respaldada por una asignación clara de responsabilidades:

Alta Dirección

  • Aprobar y mantener vigente el manual
  • Asegurar su difusión y cumplimiento organizacional
  • Asignar recursos necesarios para su implementación

Responsable del SGSI

  • Controlar las revisiones y actualizaciones
  • Coordinar la formación interna sobre su contenido
  • Garantizar su disponibilidad y consulta

Colaboradores

  • Aplicar los contenidos del manual en sus actividades
  • Sugerir mejoras o actualizaciones según necesidades operativas
  • Reportar incidentes de seguridad conforme a los procedimientos

El uso correcto y actualizado de este manual permite asegurar la protección de la información, el cumplimiento de los requisitos legales y la mejora continua del desempeño en seguridad de la información.