¿Qué requiere el control A.3.3?
Las políticas de seguridad de la información relacionadas con el procesamiento de información de identificación personal (PII) deberán definirse, aprobarse por la dirección, publicarse, comunicarse al personal pertinente y a las partes interesadas pertinentes, quienes deberán confirmar su recepción, y revisarse a intervalos planificados y si se producen cambios significativos.
Este es el primer control en el controles de seguridad compartidos (Cuadro A.3), que se aplican a las organizaciones que actúan como responsables del tratamiento de datos personales, encargados del tratamiento de datos personales o ambos. Amplía el requisito de la norma ISO 27001 sobre políticas de seguridad de la información para que cubra explícitamente la privacidad y la protección de los datos personales.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.3.3) proporciona la siguiente orientación:
- Desarrolla políticas de privacidad separadas o complementar las políticas de seguridad de la información existentes para abordar los requisitos de procesamiento de información de identificación personal.
- Incluir un compromiso con el cumplimiento con la legislación aplicable en materia de protección de datos personales y los términos contractuales.
- Tenga en cuenta los requisitos legales durante el desarrollo, la aprobación y el mantenimiento continuo de las políticas.
- Las políticas deben ser apropiadas a la naturaleza, la escala y el contexto de las actividades de procesamiento de información de identificación personal.
- Revise las políticas a intervalos planificados y cuando se produzcan cambios significativos, como nueva legislación, nuevas actividades de procesamiento o reestructuración organizativa.
- Vea también A.3.13: Requisitos legales y reglamentarios para requisitos relacionados
- Vea también A.3.15: Revisión independiente de la seguridad de la información para requisitos relacionados
Las directrices ofrecen a las organizaciones flexibilidad en la estructura de sus políticas. Se acepta una política integrada que abarque tanto la seguridad de la información como la privacidad, así como un conjunto de documentos separados pero vinculados. Lo importante es que el tratamiento de la información personal se aborde explícitamente y que las políticas se comuniquen y reconozcan de forma demostrable.
¿Cómo se relaciona esto con el RGPD?
El control A.3.3 se asigna a GDPR Artículo 5(1)(f) (principio de integridad y confidencialidad) y artículo 32(2) (obligación de aplicar medidas técnicas y organizativas adecuadas). GDPR No prescribe la forma exacta de las políticas de seguridad, pero espera que las organizaciones cuenten con medidas documentadas que sean proporcionales al riesgo.
Estos artículos del RGPD se encuentran integrados en el grupo más amplio de controles compartidos B.3.5–B.3.16, lo que refleja que la política es la base de la que se derivan todas las demás medidas de seguridad.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Como control de seguridad compartido, A.3.3 respalda el marco más amplio de ISO 29100, principios. Las políticas de seguridad de la información bien definidas que abordan el procesamiento de información de identificación personal (PII) proporcionan la base de gobernanza para implementar principios como la seguridad de la información, la rendición de cuentas y el cumplimiento.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.3, los auditores generalmente buscarán lo siguiente:
- Documentos de política aprobados — Políticas de seguridad de la información que aborden explícitamente el procesamiento de información de identificación personal (PII), con evidencia de la aprobación de la gerencia (firmas, actas de la junta directiva, registros de aprobación).
- Registros de comunicación — Pruebas de que las políticas se han publicado y comunicado a todo el personal pertinente y a las partes interesadas.
- Registros de acuse de recibo — Acuses de recibo firmados o electrónicos del personal que confirmen que han leído y comprendido las políticas.
- Revisar registros — Evidencia de revisiones planificadas con fechas, revisores y cualquier cambio realizado.
- compromiso de cumplimiento legal — Una declaración explícita en la política que comprometa el cumplimiento de la ley de protección de información personal aplicable y los términos contractuales.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.4 Funciones y responsabilidades en materia de seguridad de la información | Las políticas definen las expectativas; los roles y las responsabilidades aseguran que alguien sea responsable de su implementación. |
| A.3.5 Clasificación de la información | Las políticas de clasificación deben abordar explícitamente la información de identificación personal (PII) según lo exige A.3.3. |
| A.3.6 Etiquetado de la información | Los procedimientos de etiquetado implementan los requisitos de la política para la identificación de la información de identificación personal (PII). |
| A.3.7 Transferencia de información | Las normas de transferencia deben basarse en la política de seguridad general. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Las políticas establecen el marco de gobernanza dentro del cual se mantienen los registros de procesamiento. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se dividió entre las cláusulas 6.2.1.1 y 6.2.1.2. La cláusula 6.2.1.1 cubría el requisito general de que las políticas de seguridad de la información consideraran el procesamiento de PII, mientras que la 6.2.1.2 abordaba el aspecto del compromiso de la dirección. La edición de 2025 consolida estos en un único control (A.3.3) con una guía de implementación unificada en B.3.3. El contenido es el mismo, pero la estructura es más clara. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para gestionar las políticas de seguridad de la información?
SGSI.online Te proporciona todo lo que necesitas para crear, comunicar y mantener políticas que cumplan con la normativa:
- Plantillas de políticas predefinidas — Empiece con plantillas alineadas con las normas ISO 27001 e ISO 27701, y luego personalícelas para las actividades de procesamiento de información de identificación personal (PII) de su organización.
- Control de versiones — Realice un seguimiento de cada cambio en cada política con un historial de versiones completo, para que siempre sepa qué estaba vigente y cuándo.
- Seguimiento de acuses de recibo — Asigne políticas al personal y realice un seguimiento de quién las ha leído y confirmado su lectura, con recordatorios automáticos para las confirmaciones pendientes.
- Revisiones programadas — Establezca fechas de revisión para cada póliza y reciba alertas cuando venzan las revisiones, garantizando que las pólizas nunca queden obsoletas.
- Evidencia vinculada — Vincular las políticas con los controles que respaldan, creando un registro de auditoría claro desde la política hasta la implementación.
Preguntas Frecuentes
¿Deberíamos crear una política de privacidad independiente o actualizar las políticas de seguridad existentes?
La norma permite ambos enfoques. Una política de privacidad independiente funciona bien para organizaciones con un procesamiento complejo de información personal identificable (PII), ya que puede abordar temas específicos de privacidad en detalle. Complementar las políticas existentes es más práctico para organizaciones más pequeñas o con actividades de procesamiento más sencillas. El requisito fundamental es que el procesamiento de PII se aborde de forma explícita y adecuada, independientemente del enfoque elegido.
¿Quién debe reconocer las políticas?
Todo el personal pertinente y las partes interesadas pertinentes. El término «personal pertinente» incluye a cualquier persona que procese información personal identificable (IPI) o tenga acceso a sistemas que la procesen. Las «partes interesadas pertinentes» pueden incluir contratistas, personal temporal, procesadores externos o incluso clientes cuyas obligaciones contractuales requieran el conocimiento de las políticas de seguridad de la organización. El alcance debe definirse en función del contexto de la organización.
¿Con qué frecuencia se deben revisar las políticas?
A intervalos planificados (normalmente anuales) y cuando se producen cambios significativos. Estos cambios incluyen nuevas actividades de procesamiento de información personal identificable (PII), modificaciones en la legislación aplicable, reestructuraciones organizativas, incidentes de seguridad que revelen deficiencias en las políticas o cambios en el entorno tecnológico. El enfoque más común consiste en una revisión anual fija combinada con un proceso de revisión basado en desencadenantes.
Los CISO responsables de la gobernanza de la política de privacidad deben leer nuestra Guía del CISO sobre la norma ISO 27701:2025.
La Declaración de aplicabilidad Debe hacer referencia a las políticas que respaldan cada control seleccionado.
