ISO 27001 Cláusula 6.1.2 + A.5.8 ISO 27002:2022
¿Existe un Acta SGSI con criterios de aceptación de riesgo aprobados por la Dirección, que defina niveles de tolerancia, responsables de aceptar excepciones y revisión periódica de los riesgos aceptados?
Solicitar el Acta SGSI vigente con los criterios de aceptación de riesgo. Verificar que defina escalas de impacto y probabilidad, niveles de tolerancia (Bajo/Medio/Alto/Catastrófico), responsable autorizado para aceptar cada nivel y frecuencia de revisión. Validar que la Matriz de Riesgos haya sido actualizada al menos en el último año.
Acta SGSI-001 firmada por Gerencia con los criterios. Matriz de Riesgos vigente coherente con esos criterios. Evidencia de aplicación efectiva (decisiones de aceptación documentadas).
El análisis de contexto de OmniControl menciona explícitamente el Acta SGSI-001 del 2026-03-15 como criterios de aceptación de riesgos. Aunque otros elementos del SGSI están incompletos (P-01), este Acta SÍ existe formalmente y constituye una base aprovechable.
- 01¿Existe un Acta SGSI firmada por la Gerencia?
- 02¿Define escalas de impacto y probabilidad consistentes con la Matriz de Riesgos?
- 03¿Establece niveles de tolerancia y responsables autorizados para aceptar excepciones?
- 04¿Se revisa con frecuencia definida (mínimo anual)?
- 05¿Hay evidencia de decisiones de aceptación documentadas con base en este Acta?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.