ISO 27001 – Como implantar políticas de Gestión de un Sistema de Gestión de Seguridad de la Información.
ISO 27001 establece una política para el SGSI, la cual establece los objetivos de una organización.
Esta política se aplica y atañe a todo el conjunto de la empresa, y se publicará y distribuirá por parte del responsable de seguridad. La dirección de la organización tiene que definir y aprobar la política y sus objetivos de seguridad.
La política del SGSI cobijada por ISO-27001 define la misión, visión y valores de la organización, logrando una seguridad sobre la información y respeto de los datos personales que maneja la empresa, incluyendo:
- Preservación de la confidencialidad de la información, evitar su divulgación y acceso a personas no autorizadas.
- Evitar el deterioro de la información, manteniendo su integridad.
- Garantizar la disponibilidad de la información en cualquier soporte.
Así la organización debe mostrar su compromiso de desarrollar, implantar, mantener y mejorar de manera continua el SGSI, esto motiva a que la política incluya:
- Ejecución de actividades de formación y concienciación relativas a Seguridad de la Información para todo el personal de la organización.
- Cumplimiento con los requisitos del negocio, legales y reglamentarios y otras obligaciones contractuales.
- Establecimiento anual de objetivos relacionados con la Seguridad de la Información.
- Establecimiento de los medios necesarios para asegurar la continuidad del negocio de la organización.
- Despliegue de un proceso de análisis de riesgos para los activos de información.
- Respeto hacia las políticas y procedimientos ligados al SGSI de ISO27001.
- Creación de los objetivos de control y controles correspondientes para paliar los riesgos detectados.
- Instauración de la responsabilidad de los empleados en relación a seguridad, confidencialidad, integridad y disponibilidad de los activos.
El Responsable de Seguridad es el encargado del mantenimiento de la política, ofreciendo consejos y orientaciones para su implementación.
La Plataforma Tecnológica ISOTools facilita la creación y mantenimiento de la política del SGSI, de manera que la empresa muestre su respeto por el sistema y por la información.