¿Cuál es el objetivo del Anexo A.5.1?
El anexo A.5.1 trata sobre la dirección de gestión para la seguridad de la información. El objetivo de este Anexo es gestionar la dirección y el soporte para la seguridad de la información de acuerdo con los requisitos de la organización, así como de acuerdo con las leyes y regulaciones pertinentes.
Incluye los dos controles que se enumeran a continuación. Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001. Ahora comprendamos esos requisitos y lo que significan con un poco más de profundidad.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
A.5.1.1 Políticas de Seguridad de la Información
Se debe definir, aprobar por la dirección, publicar y comunicar a los empleados y partes externas relevantes un conjunto de políticas de seguridad de la información. Las políticas deben estar guiadas por las necesidades del negocio, junto con las regulaciones y leyes aplicables que también afectan a la organización.
Estas políticas vigentes son los controles del Anexo A, también resumidos en un documento maestro de política de seguridad de la información de nivel superior que refuerza las declaraciones clave de la organización en materia de seguridad para compartir con las partes interesadas, como los clientes.
Esa política general se vuelve mucho más creíble y poderosa con el respaldo de la certificación independiente ISO 27001 de UKAS.
Las políticas también proporcionan la columna vertebral de la seguridad de la información y deben ser parte del programa de educación, capacitación y concientización de acuerdo con A7.2.2.
Las políticas establecen los principios que deben seguir los miembros de la organización y partes clave como proveedores. Estas políticas deben revisarse periódicamente y actualizarse cuando sea necesario de acuerdo con A.5.1.2 a continuación.
A.5.1.2 Revisión de las políticas de seguridad de la información
Las políticas de seguridad de la información deben revisarse a intervalos planificados, o si se producen cambios significativos, para garantizar su idoneidad, adecuación y eficacia continuas.
Siempre que se realicen cambios en el negocio, sus riesgos y problemas, tecnología o legislación y regulación o si las debilidades, eventos o incidentes de seguridad indican la necesidad de un cambio de política.
Las políticas también deben revisarse y actualizarse periódicamente. ISO considera que "regular" es al menos una vez al año, lo que puede ser un trabajo duro si se gestionan manualmente tantas revisiones y también se combinan con la revisión independiente como parte de A.18.2.1.
¿Cómo ayuda ISMS.online con las políticas de seguridad de la información?
Además de muchas otras funciones, ISMS.online incluye procesos visibles y automatizados para ayudar a simplificar todo el requisito de revisión y ahorrar enormes cantidades de tiempo administrativo en comparación con otras formas de trabajar.
ISMS.online le brinda políticas y controles ISO 27001 procesables para brindarle esta gran ventaja.
