Requisito 27001 de ISO 5.1: Liderazgo y compromiso

¿Qué implica la Cláusula 5.1?

Esta cláusula identifica aspectos específicos del sistema de gestión donde se espera que la alta dirección demuestre tanto liderazgo como compromiso. Estos incluyen, entre otros:

• Responsabilidad por la eficacia del sistema de gestión;
• Asegurar que la política y los objetivos estén establecidos y sean compatibles con el contexto y la dirección estratégica de la organización;
• Asegurar que la integración del sistema de gestión esté integrada en los procesos de negocio;
• Promover el uso del enfoque de procesos y el pensamiento basado en riesgos.
• Garantizar que existan recursos adecuados;
• Asegurar que el sistema de gestión logre los resultados previstos;
• Involucrar, dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión.

La importancia del compromiso del liderazgo

Si los líderes no participan activamente, por ejemplo, no participan en las revisiones de la gestión o no pueden demostrarle al auditor externo que hay un representante del liderazgo que lo toma en serio durante una auditoría, entonces es casi seguro que la organización fracasará. Los auditores hablan de que el espíritu de ISO 27001 viene desde arriba y si no lo ven probablemente mirarán mucho más profundamente y con escepticismo durante la auditoría.

Como se ha dicho muchas veces antes, la gestión de la seguridad de la información es una filosofía crítica para el negocio y debe ser compatible con los objetivos y procesos comerciales de una organización para que funcione en la práctica. Sin el apoyo del liderazgo, o el requisito de hacer 25 cosas antes de que alguien realmente haga el trabajo que quiere hacer, el camino hacia la ISO 27001 tendrá dificultades para despegar.

Ser capaz de demostrar este compromiso de liderazgo es esencial para la cláusula 5.1, y ahí es donde entra en juego un sistema de gestión de seguridad de la información más serio que evidencie el compromiso del liderazgo de invertir en un SGSI y tener evidencia de que han estado involucrados, por ejemplo, en revisiones de la gestión y en procesos más amplios. Toma de decisiones SGSI, así como las auditorías externas anuales requeridas para ISO 27001. Si un contador financiero legal viera que toda la contabilidad financiera se realiza simplemente con hojas de cálculo en lugar de una aplicación de contabilidad profesional, podría cuestionar su integridad y pasar más tiempo que si el trabajo estuviera hecho. con xero, sage u otra solución reconocida. Lo mismo ocurre con la gestión de la seguridad de la información. Usar las herramientas adecuadas y tener involucradas a las personas adecuadas genera confianza.

Tener esas bases establecidas hace que esta cláusula sea fácil de demostrar y el cumplimiento simplemente requiere evidencia documentada como notas para reforzar que el liderazgo y el compromiso están vigentes y que abordan la cláusula 5.1 puntos ah de la norma ISO 27001. Todas las partes del SGSI integrado lo demostrarán en la práctica.

Hazlo más sencillo con ISMS.online

Hemos incluido un modelo de política con una declaración sugerida para que las organizaciones la adopten o adapten en relación con lo que la alta dirección está haciendo en torno y dentro del SGSI. Se vincula con las áreas en las que normalmente participará la alta dirección, lo que hace que sea realmente sencillo para los auditores ver la evidencia que necesitan.

Eso incluye el uso del servicio de software ISMS.online para evidenciar que se han llevado a cabo reuniones de revisión de la gerencia, que incluyen la evaluación de cómo se está desempeñando el ISMS en comparación con sus objetivos establecidos, todo lo cual se puede demostrar fácilmente en el software ISMS.y mostrar que la alta dirección ha estado involucrado. El hecho de que profundicen en el funcionamiento del SGSI, por ejemplo, al poseer riesgos orientados a la seguridad de la información, participar en auditorías de seguridad, observar las mejores prácticas de aseguramiento de la información y evaluar los problemas de privacidad actuales en la organización y gestionar los incidentes de seguridad, probablemente se base en la organización. tamaño y recursos invertidos.