ISO 27001 ¿Cómo redactar una política de Seguridad de la Información?
ISO 27001
ISO 27001 requiere que para redactar una política de Seguridad de la Información se sigan una serie de pasos los cuales son explicados a continuación.
1. Estudiar los requisitos
En primer lugar, hay que estudiar de forma muy detallada si existe alguna legislación que exija incluir algo específico de forma escrita, además de estudiar los requisitos propios del estándar ISO-27001.
2. Tener los resultados de su evaluación de riesgos
La evaluación de riesgos especificará los temas y el grado que se debe abordar en el documento.
Este paso no es de vital importancia si su política no se encuentra anexionada con la seguridad de la información o con la continuidad del negocio. En el caso que nos encontramos, es decir, en la ISO27001 se debe de establecer hasta qué punto es importante un proceso para su gestión de calidad y dependiendo de esto, se decidirá si se documentará o no.
3. Optimizar y alinear los documentos
Es de vital importancia tener presente la cantidad total de documentos. Además, se debe de alinear el documento con otros escritos similares.
4. Estructurar el documento
Se debe de tener especial cuidado el respeto a las normas de la organización para poder darle un formato al documento.
Si ya se ha llevado a cabo la adopción de la norma ISO27001 se debe de respetar un procedimiento para el control de documentos. Esta clase de procedimiento no solo da el formato del documento sino que también proporciona la distribución y aprobación, entre otros.
5. Narrar el documento
La regla general es que cuánto más pequeña sea la empresa y los riesgos sean menores, menos complejo será su documento.
6. Alcanzar la aprobación del documento
Las personas que no pertenezcan a la alta dirección no tienen la capacidad de hacer cumplir este documento.
Sólo la alta dirección puede aprobarlo y requerir de forma activa su adopción.
7. Concienciación y capacidad de sus trabajadores
Es el paso más importante pero muchas empresas no lo llevan a cabo. Es fundamental explicarle a los trabajadores de la organización los motivos de por qué es necesaria este procedimiento o política.
Una vez finalizados estos pasos es necesario mantener el proceso. Se debe actualizar y mejorar continuamente el proceso.
La Plataforma Tecnológica ISOTools ayuda a las organizaciones a llevar a cabo la redacción de una política de Seguridad de la Información según la norma ISO 27001 y a implantarla en busca del éxito.