ISO 27001:2013 Política, roles, responsabilidades y autoridades de la organización
ISO 27001
ISO 27001 cuenta con unas secciones que se dedican, tal y como se nombra en el título, a la política de seguridad, roles, responsabilidades y autoridades de la organización.
Ambas secciones están incluidas en una cláusula denominada Liderazgo, localizada en el punto 5. En el artículo anterior ya tratamos esta cláusula, estuvimos analizando la sección 5.1 Liderazgo y Compromiso, en este post estudiaremos las secciones restantes:
5.2 Política
ISO 27001:2013 aporta una serie de prescripciones que ha de tener toda política de seguridad de la información creada bajo este estándar. Así, la alta dirección de cualquier organización debe crear una política de seguridad de la información que:
- Sea idónea para el propósito de la organización.
- Incluya los objetivos de seguridad de la información o aporte un marco de referencia para la instauración de los objetivos de la seguridad de la información.
- Considere el compromiso de cumplir con los requisitos aplicables.
- Tenga en cuenta el compromiso de mejora continua del Sistema de Gestión de la Seguridad de la Información.
Además, existen otras obligaciones importantes para este estándar a la hora de manejar la política de seguridad de la información. En esta línea la política debe:
- Estar disponible como información documentada.
- Ser comunicada dentro de la organización.
- Estar disponible para las partes interesadas.
5.3 Roles, responsabilidades y autoridades de la organización.
La norma ISO 27001:2013 se preocupa porque la alta dirección de una organización asigne responsabilidades y autoridades para cada uno de los roles relativos a la seguridad de la información.
Estas responsabilidades y autoridades deben:
- Asegurarse de que el Sistema de Gestión de Seguridad de la Información sea conforme a los requisitos de la norma.
- Informar a la alta dirección sobre el desempeño del Sistema de Gestión de la Seguridad de la Información.
La Plataforma Tecnológica ISOTools tiene un diseño idóneo para crear una política de seguridad de la información y difundirla a todo el personal de la organización, y para hacer una distribución práctica de responsabilidades y autoridades.