Políticas y organización para la seguridad de la información: control, revisión y responsabilidades
Clasificado en Formación y Orientación Laboral
Escrito el en 
español con un tamaño de 3,92 KB
Políticas de seguridad de la información
5.1 Lineamientos de gestión para la seguridad de la información
Objetivo
Objetivo: Proporcionar orientación y apoyo a la gestión para la seguridad de la información, en concordancia con los requisitos del negocio y las leyes y regulaciones relevantes.
Control
Control: Un conjunto de políticas para la seguridad de la información debería ser definido, aprobado por la gerencia, publicado y comunicado a los empleados y a las partes externas relevantes.
Guía de implementación
Al más alto nivel, las organizaciones deberían definir una política de seguridad de la información que sea aprobada por la dirección y que establezca el enfoque de la organización para gestionar sus objetivos de seguridad de la información.
Las políticas de seguridad de la información deberían considerar los requisitos creados por:
- la estrategia del negocio;
- las regulaciones, las leyes y los contratos;
- el entorno de amenazas para la seguridad de la información, actual y previsto.
La política de seguridad de la información debería contener declaraciones respecto a:
- la definición de la seguridad de la información, sus objetivos y principios para orientar todas las actividades relacionadas con la seguridad de la información;
- los procesos para el manejo de desviaciones y excepciones.
Algunos ejemplos de estos temas detallados en políticas son:
- control de acceso;
- clasificación (y manejo) de la información;
- seguridad física y del entorno.
5.2 Revisión de las políticas para la seguridad de la información
Control
Control: Las políticas para la seguridad de la información deberían ser revisadas a intervalos planificados o si ocurren cambios significativos para asegurar su conveniencia, adecuación y efectividad continuas.
Guía de implementación
Cada política debería tener un propietario con responsabilidad de gestión aprobada para el desarrollo, la revisión y la evaluación de las políticas. La revisión debería incluir la evaluación de las oportunidades de mejora de las políticas de la organización y del enfoque de gestión de la seguridad de la información en respuesta a cambios en el entorno de la organización, a las circunstancias del negocio, a las condiciones legales o al entorno técnico.
6. Organización de la seguridad de la información
6.1 Organización interna
Objetivo
Objetivo: Establecer un marco de referencia de la gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.
6.1.1 Roles y responsabilidades para la seguridad de la información
Control: Todas las responsabilidades de seguridad de la información deberían definirse y asignarse.
Guía de implementación
La asignación de las responsabilidades de seguridad de la información debería hacerse de acuerdo con las políticas de seguridad de la información (véase 5.1). Deberían identificarse las responsabilidades para la protección de los activos individuales y para la realización de procesos específicos de seguridad de la información.
Deberían definirse las responsabilidades de las actividades de gestión de riesgos de seguridad de la información y, en particular, para la aceptación de riesgos residuales. Estas responsabilidades deberían complementarse, cuando sea necesario, con una guía más detallada para sitios específicos y para las instalaciones de procesamiento de información. Deberían definirse las responsabilidades locales para la protección de activos y para llevar a cabo los procesos específicos de seguridad.