Saltar al tema
¿Qué implica la Cláusula 5.3?
En pocas palabras, ISO 27001 busca claridad y enfoque en las partes clave del SGSI: quién es responsable en general, quién es responsable de ciertas partes, todas las prácticas comerciales buenas y lógicas. Debe demostrar que existen ciertos roles (no necesariamente personas), que han sido designados por la alta dirección y que se comunican a las partes interesadas relevantes y se documentan claramente para que no haya ambigüedad. El requisito aquí es de un nivel bastante alto y es fácil de documentar, y también encaja con otras partes del sistema de gestión de seguridad de la información, por ejemplo, propietarios de riesgos de seguridad en 6.1, propietarios de objetivos de seguridad de información en 6.2, etc.
Cómo le ayuda ISMS.online
ISMS.online también facilita en la práctica gran parte de la propiedad y el compromiso del SGSI con sus miembros de equipos colaborativos, propietarios de actividades de políticas, propietarios de riesgos, incidentes, mejoras, etc., todo lo cual puede surgir de la claridad de la alta dirección que surge de esta cláusula. 5.3.
Reserve una demostración de la plataforma para verla en acción.
Reserve una demostración de la plataformaEntonces, una persona puede desempeñar más de una función y usted puede unificar el trabajo, por ejemplo, haciendo que una junta directiva supervise todo para ayudar a demostrar las revisiones de la gerencia en línea con 9.3 y unir totalmente el sistema de gestión de seguridad de la información. Simplemente deje claro quién es responsable de qué. Piense en los roles teniendo en cuenta a las partes interesadas y la entrega práctica. Por ejemplo, el rol de CISO (director de seguridad de la información) podría implicar para sus clientes que usted se toma en serio la seguridad de la información y eso lo podría realizar un alto ejecutivo además de su trabajo diario, o si en una organización más grande podría ser un trabajo completo. -El tiempo tiene su propio papel.
También puede optar por tener un TISO (Oficial técnico de seguridad de la información), o equivalente, que sería más técnico y capaz de centrarse en esos aspectos del SGSI si las otras funciones las desempeñan personas más comerciales/estratégicas. Consulte el Anexo A 6.1.1 (sobre la organización de la seguridad de la información) y asegúrese de alinear este requisito con el control del Anexo A.
ISO 27001 busca específicamente claridad en los roles y responsabilidades de:
- Asegurarse de que el sistema de gestión de seguridad de la información cumpla con los requisitos de la Organización Internacional de Normalización.
- La presentación de informes sobre el desempeño del SGSI (que es mucho más fácil cuando está todo en un solo lugar)
Bien podría ser que un alto ejecutivo tenga la responsabilidad del SGSI como parte del compromiso de liderazgo con la seguridad de la información (5.1) pero, por supuesto, pueda delegar su gestión a otros en la organización, o subcontratar a partes especializadas como el virtual. CISO, alrededor del cual muchos de los socios de ISMS.online ofrecen servicios. ¡Solo recuerda documentarlo!
Hazlo más sencillo con ISMS.online
La plataforma ISMS.online facilita a la alta dirección establecer una política de seguridad de la información que sea coherente con el propósito y el contexto de la organización.
Su SGSI incluirá una política de seguridad de la información prediseñadas que se puede adaptar fácilmente a su organización. Esta política sirve como marco para la revisión de objetivos e incluye compromisos para satisfacer los requisitos aplicables y mejorar continuamente el sistema de gestión. Esta política se puede compartir fácilmente con las partes interesadas y presentar para licitaciones u otras comunicaciones externas.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
