política de Seguridad de la Información según ISO 27001

Qué debe incluir la Política de Seguridad de la Información según ISO 27001

Inicio / Qué debe incluir la Política de Seguridad de la Información según ISO 27001
4.5/5 - (2 votos)

Qué debe incluir la Política de Seguridad de la Información según ISO 27001

La redacción del documento de política de Seguridad de la Información según ISO 27001, suele ser una labor que genera controversia al interior de la organización. Y lo es, porque se tiende a creer que este documento, en cumplimiento de la norma, deben estar contemplados todos los aspectos que atañen a la seguridad de la información, de forma directa o indirecta.

Es importante saber que la misma norma dispone en forma precisa que debe incluir la política de Seguridad de la Información según ISO 27001. ¿Cuál es el propósito de este documento? ¿Cuáles son sus alcances y cuál su contenido?

¿Para qué sirve la política de Seguridad de la Información según ISO 27001?

Para algunas organizaciones, el concepto de Seguridad de laInformación no es claro aún. Al ser esto así, es obvio que se desconoce la importancia del mismo, y el papel que cumple en la protección de los intereses de la organización.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

Así las cosas, el primer propósito que cumple la política de Seguridad de la Información según ISO 27001, es transmitir los objetivos que la alta dirección pretende alcanzar con la implementación del sistema.

Por supuesto, obtener un documento que resulte fácil de entender para las partes interesadas -sin que necesariamente ellas tengan que conocer los detalles intrínsecos del sistema, como los factores de evaluación del riesgo, o quiénes son los responsables directos del sistema -, es el segundo propósito del documento.

Entendido esto, podemos ir a la parte que nos interesa:

Esto es lo que debe Incluir la #PolíticaSeguridadInformación según #ISO27001 Clic para tuitear

Qué debe incluir la política de Seguridad de la información según ISO 27001

La norma no plantea grandes exigencias a la hora de elaborar el documento de política de Seguridad de la Información. Algunas de las observaciones relacionadas con el tema, y contenidas en la norma, son las siguientes:

Adaptabilidad

La organización no debe adaptarse a un documento. La política debe adaptarse a los requerimientos de la organización. Por ello, se descarta la opción de copiar el documento de otra organización, más aún, si tenemos en cuenta que son diferentes los requerimientos de un fabricante industrial que los de una gran tienda virtual.

Definición de los objetivos

El documento precisa definir los objetivos de seguridad de la información, su forma de aprobación y la manera en que han de ser revisados, sin entrar en detalles acerca de estos procesos.

Compromiso

Es tal vez la parte introductoria del documento. La Alta Dirección de la organización debe expresar sin lugar a dudas, su compromiso total con el sistema y con su propósito final, que no debe ser otro que cumplir con los requerimientos en materia de seguridad de la información de las partes interesadas en el sistema.

Comunicación

El documento debe establecer quién o quiénes son los encargados de comunicar a las partes interesadas los alcances y la evolución del sistema, no solo durante la implementación del mismo, sino en adelante, en la medida en que se presenten revisiones, actualizaciones o mejoras.

Revisiones

La política de Seguridad de la Información según ISO 27001, debe ser revisada en forma periódica, y estas revisiones, así como los responsables de las mismas, y los periodos de tiempo en los que se efectuarán, son temas que se deben incluir en el documento.

Es claro, a la luz de lo expuesto hasta este punto, que la política de Seguridad de la Información no debe ser un documento extenso que contenga los pormenores de los procesos, las verificaciones o las auditorías del sistema. Estos propósitos los cumplen otros documentos accesorios del sistema, como la política de control de acceso, la de uso aceptable o la de clasificación. Mayor brevedad, a veces, como en este caso, puede representar mayor precisión y claridad.

Software ISOTools Excellence

A través de la plataforma Software ISOTools Excellence podrá realizar una sencilla y eficaz adaptación a la norma ISO 27001. Si quiere ampliar información acerca de la Seguridad de la Información, con el software ISO podrá englobar todos aquellos elementos sobre la Gestión de los Riesgos y la Seguridad que se enmarcan dentro del Sistema de Seguridad de la Información.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Pensamiento Estrategico
¿Cómo integrar el Pensamiento Estrategico con la Norma ISO 45001?
22 abril, 2024
Integrar el Pensamiento Estrategico con la Norma ISO 45001 es esencial para que las organizaciones...
Ver más
50 Excelentes De ISOTools
Ya puedes leer los 50 Excelentes de ISOTools en 2023
19 abril, 2024

Nos complace presentaros una vez más los 50 excelentes de ISOTool...

Ver más
Calidad De Servicio Al Cliente
3 estrategias de calidad de servicio al cliente
18 abril, 2024

La calidad del servicio al cliente se refiere a la capacidad de una empresa...

Ver más
Esquema Nacional De Seguridad
Esquema Nacional de Seguridad (ENS): cómo certificarse
17 abril, 2024
La seguridad de la información se ha convertido en una preocupación central para gobiernos...
Ver más

Volver arriba