A continuación encontrará los requisitos fundamentales de la norma ISO 27001:2013. Si busca la versión actualizada...
Requisitos básicos de la norma ISO 27001:2022. Haga clic en el botón a continuación.
¿Qué implica la Cláusula 5.3?
En pocas palabras, ISO 27001 busca claridad y enfoque en las partes clave del SGSI: quién es responsable en general, quién es responsable de ciertas partes, todas las prácticas comerciales buenas y lógicas. Debe demostrar que existen ciertos roles (no necesariamente personas), que han sido designados por la alta dirección y que se comunican a las partes interesadas relevantes y se documentan claramente para que no haya ambigüedad. El requisito aquí es de un nivel bastante alto y es fácil de documentar, y también encaja con otras partes del sistema de gestión de seguridad de la información, por ejemplo, propietarios de riesgos de seguridad en 6.1, propietarios de objetivos de seguridad de información en 6.2, etc.
Entonces, una persona puede desempeñar más de una función y usted puede unificar el trabajo, por ejemplo, haciendo que una junta directiva supervise todo para ayudar a demostrar las revisiones de la gerencia en línea con 9.3 y unir totalmente el sistema de gestión de seguridad de la información. Simplemente deje claro quién es responsable de qué. Piense en los roles teniendo en cuenta a las partes interesadas y la entrega práctica. Por ejemplo, el rol de CISO (director de seguridad de la información) podría implicar para sus clientes que usted se toma en serio la seguridad de la información y eso lo podría realizar un alto ejecutivo además de su trabajo diario, o si en una organización más grande podría ser un trabajo completo. -El tiempo tiene su propio papel.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
También puede optar por tener un TISO (Oficial técnico de seguridad de la información), o equivalente, que sería más técnico y capaz de centrarse en esos aspectos del SGSI si las otras funciones las desempeñan personas más comerciales/estratégicas. Consulte el Anexo A 6.1.1 (sobre la organización de la seguridad de la información) y asegúrese de alinear este requisito con el control del Anexo A.
ISO 27001 busca específicamente claridad en los roles y responsabilidades de:
- Asegurarse de que el sistema de gestión de seguridad de la información cumpla con los requisitos de la Organización Internacional de Normalización.
- La presentación de informes sobre el desempeño del SGSI (que es mucho más fácil cuando está todo en un solo lugar)
Es posible que un alto ejecutivo sea responsable del SGSI como parte del compromiso de liderazgo con la seguridad de la información (5.1), pero, por supuesto, puede delegar su gestión a otros miembros de la organización o subcontratarla a especialistas como el CISO virtual, para el cual muchos de los socios de ISMS.online ofrecen servicios. ¡Solo recuerde documentarlo!
Hazlo más sencillo con ISMS.online
La plataforma ISMS.online facilita a la alta dirección establecer una política de seguridad de la información que sea coherente con el propósito y el contexto de la organización.
Su SGSI incluirá una política de seguridad de la información prediseñadas que se puede adaptar fácilmente a su organización. Esta política sirve como marco para la revisión de objetivos e incluye compromisos para satisfacer los requisitos aplicables y mejorar continuamente el sistema de gestión. Esta política se puede compartir fácilmente con las partes interesadas y presentar para licitaciones u otras comunicaciones externas.
