5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Objetivo: brindar apoyo y orientación a la dirección con respecto a la seguridad de lainformación, de acuerdo con los requisitos del negocio y los reglamentos y las leyes
pertinentes.
Las directivas deberían establecer una dirección clara de la política según los objetivos
del negocio y demostrar apoyo y compromiso con la seguridad de la información a través
de la emisión y el mantenimiento de la política de seguridad de la información en toda la
organización.
5.1.1 Documento de la política de seguridad de la información
Control
La dirección debería aprobar un documento de política de seguridad de la información y lodebería publicar y comunicar a todos los empleados y partes externas pertinentes.
Guía de implementación
El documento de la política de seguridad de la información debería declarar el compromiso de
la dirección y establecer el enfoque de ésta para la gestión de la seguridad de la información. El
documento de la política debería contener declaraciones relacionadas con:
a) definición de la seguridad de la información, sus objetivos generales y el alcance e
importancia de la seguridad como mecanismo que permite compartir la información
(véase la introducción);
b) declaración de la intención de la dirección, que apoye las metas y los principios de
seguridad de la información, de acuerdo con la estrategia y los objetivos del negocio;
c) estructura para establecer los objetivos de control y los controles, incluyendo la
estructura de la evaluación de riesgos y de la gestión del riesgo;
d) explicación breve sobre las normas, las políticas y los principios de seguridad, así como
de los requisitos de cumplimiento de importancia particular para la organización
incluyendo los siguientes:
1) cumplimiento de los requisitos legales, reglamentarios y contractuales;
2) requisitos de educación, formación y concientización sobre seguridad;
3) gestión de la continuidad del negocio;
4) consecuencias de las violaciones de la política de seguridad;
e) definición de las responsabilidades generales y específicas para la gestión de la
seguridad de la información, incluyendo el reporte de los incidentes de seguridad de la
información;
f) referencias a la documentación que puede dar soporte a la política, tal como las
políticas de seguridad más detalladas para sistemas específicos de información o las
reglas de seguridad que deberían cumplir los usuarios.
Esta política de seguridad de la información se debería comunicar a través de toda la
organización a los usuarios de manera pertinente, accesible y comprensible para el lector.
Información adicional
La política de seguridad de la información podría formar parte de un documento de política
general. Si la política de seguridad de la información se distribuye fuera de la organización, es
necesario tener cuidado de no divulgar información sensible. Información adicional se puede
encontrar en la norma NTC 5411-1:2006.
5.1.2 Revisión de la política de seguridad de la información
Control
La política de seguridad de la información se debería revisar a intervalos planificados o cuandose producen cambios significativos, para garantizar que sigue siendo adecuada, suficiente y
eficaz.
Guía de implementación
La política de seguridad de la información debería tener un dueño con responsabilidad
aprobada por la dirección para el desarrollo, la revisión y la valoración de dicha política. Es
conveniente que la revisión incluya las oportunidades de evaluación para mejorar la política de
seguridad de la información de la organización y el enfoque para la gestión de la seguridad de
la información en respuesta a los cambios en el entorno de la organización, las circunstancias
del negocio, las condiciones legales o el entorno técnico.
Es conveniente que la revisión de la política de seguridad de la información tenga en cuenta los
resultados de la revisión por la dirección. Deberían existir procedimientos definidos para la
revisión por la dirección, incluyendo una programación o periodo de revisión.
Las entradas para la revisión por la dirección deberían incluir información sobre:
a) retroalimentación de las partes interesadas;
b) resultados de las revisiones independientes (véase el numeral 6.1.8);
c) estados de las acciones preventivas y correctivas (véanse los numerales 6.1.8 y 15.2.1);
d) resultados de las revisiones previas por parte de la dirección;
e) desempeño del proceso y cumplimiento de la política de seguridad de la información;
f) cambios que pudieran afectar el enfoque de la organización para la gestión de la
seguridad de la información, incluyendo cambios en el entorno de la organización, las
circunstancias del negocio, la disponibilidad de recursos, las condiciones contractuales,
reglamentarias o legales, o el entorno técnico;
g) tendencias relacionadas con las amenazas y las vulnerabilidades;
h) incidentes de seguridad de la información reportados (véase el numeral 13.1);
i) recomendaciones de las autoridades pertinentes (véase el numeral 6.1.6).
relacionadas con:
a) mejora del enfoque de la organización para la gestión de la seguridad de la información
y sus procesos;
b) mejora de los objetivos de control y de los controles;
c) mejora de la asignación de recursos y / o responsabilidades.
Es recomendable mantener un registro de la revisión por la dirección.
Se debería obtener la aprobación de la dirección para la política revisada.
No hay comentarios.:
Publicar un comentario