Qué debe incluir la Política de Seguridad de la Información según ISO 27001 - Software ISO
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

Qué debe incluir la Política de Seguridad de la Información según ISO 27001

Qué debe incluir la Política de Seguridad de la Información según ISO 27001

La redacción del documento de política de Seguridad de la Información según ISO 27001, suele ser una labor que genera controversia al interior de la organización. Y lo es, porque se tiende a creer que este documento, en cumplimiento de la norma, deben estar contemplados todos los aspectos que atañen a la seguridad de la información, de forma directa o indirecta.

Es importante saber que la misma norma dispone en forma precisa que debe incluir la política de Seguridad de la Información según ISO 27001. ¿Cuál es el propósito de este documento? ¿Cuáles son sus alcances y cuál su contenido?

¿Para qué sirve la política de Seguridad de la Información según ISO 27001?

Para algunas organizaciones, el concepto de Seguridad de laInformación no es claro aún. Al ser esto así, es obvio que se desconoce la importancia del mismo, y el papel que cumple en la protección de los intereses de la organización.

IC-ISO-CTA Boton ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

Así las cosas, el primer propósito que cumple la política de Seguridad de la Información según ISO 27001, es transmitir los objetivos que la alta dirección pretende alcanzar con la implementación del sistema.

Por supuesto, obtener un documento que resulte fácil de entender para las partes interesadas -sin que necesariamente ellas tengan que conocer los detalles intrínsecos del sistema, como los factores de evaluación del riesgo, o quiénes son los responsables directos del sistema -, es el segundo propósito del documento.

Entendido esto, podemos ir a la parte que nos interesa:

Esto es lo que debe Incluir la #PolíticaSeguridadInformación según #ISO27001 Clic para tuitear

Qué debe incluir la política de Seguridad de la información según ISO 27001

La norma no plantea grandes exigencias a la hora de elaborar el documento de política de Seguridad de la Información. Algunas de las observaciones relacionadas con el tema, y contenidas en la norma, son las siguientes:

Adaptabilidad

La organización no debe adaptarse a un documento. La política debe adaptarse a los requerimientos de la organización. Por ello, se descarta la opción de copiar el documento de otra organización, más aún, si tenemos en cuenta que son diferentes los requerimientos de un fabricante industrial que los de una gran tienda virtual.

Definición de los objetivos

El documento precisa definir los objetivos de seguridad de la información, su forma de aprobación y la manera en que han de ser revisados, sin entrar en detalles acerca de estos procesos.

Compromiso

Es tal vez la parte introductoria del documento. La Alta Dirección de la organización debe expresar sin lugar a dudas, su compromiso total con el sistema y con su propósito final, que no debe ser otro que cumplir con los requerimientos en materia de seguridad de la información de las partes interesadas en el sistema.

Comunicación

El documento debe establecer quién o quiénes son los encargados de comunicar a las partes interesadas los alcances y la evolución del sistema, no solo durante la implementación del mismo, sino en adelante, en la medida en que se presenten revisiones, actualizaciones o mejoras.

Revisiones

La política de Seguridad de la Información según ISO 27001, debe ser revisada en forma periódica, y estas revisiones, así como los responsables de las mismas, y los periodos de tiempo en los que se efectuarán, son temas que se deben incluir en el documento.

Es claro, a la luz de lo expuesto hasta este punto, que la política de Seguridad de la Información no debe ser un documento extenso que contenga los pormenores de los procesos, las verificaciones o las auditorías del sistema. Estos propósitos los cumplen otros documentos accesorios del sistema, como la política de control de acceso, la de uso aceptable o la de clasificación. Mayor brevedad, a veces, como en este caso, puede representar mayor precisión y claridad.

Software ISOTools Excellence

A través de la plataforma Software ISOTools Excellence podrá realizar una sencilla y eficaz adaptación a la norma ISO 27001. Si quiere ampliar información acerca de la Seguridad de la Información, con el software ISO podrá englobar todos aquellos elementos sobre la Gestión de los Riesgos y la Seguridad que se enmarcan dentro del Sistema de Seguridad de la Información.

IC-ISO-CTA Tira ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
top