Comprensión de las responsabilidades de liderazgo en la cláusula 27701 de la norma ISO 5.3
El liderazgo y la gestión organizacional es un tema recurrente en todas las normas ISO relacionadas con los sistemas de gestión de seguridad de la información.
Las políticas y los procedimientos sólo son eficaces si se reconocen y se respetan de manera uniforme. La alta dirección desempeña un papel clave a la hora de garantizar que PII y Actividades relacionadas con PIMS reciben el nivel de respeto y profesionalismo que garantiza su papel en la minimización de riesgos y la mejora de la seguridad de la información en todos los ámbitos.
Qué se cubre en la cláusula 27701 de la norma ISO 5.3
La cláusula 5.3 trata directamente del papel de la alta dirección en el establecimiento de un PIMS que cumpla con las obligaciones externas de una organización y los requisitos de PII desde cero, a través de tres áreas operativas clave:
- Liderazgo y compromiso.
- Política.
- Roles, responsabilidades y autoridades organizacionales.
Para lograr esto, ISO 27701-5.3 contiene tres subcláusulas que guía de referencia de 27001:2013.
Todas estas cláusulas deben verse a través del prisma del establecimiento y mantenimiento de un PIMS, seguridad de PII y protección de la privacidad, en lugar de aplicarse ampliamente a la seguridad de la información como concepto.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 5.3.1 – Liderazgo y Compromiso
Referencias ISO 27001 Control 5.1
ISO 27001:2013-5.1 contiene 7 puntos de orientación principales que brindan ayuda a la alta dirección para demostrar "liderazgo y compromiso" al redactar una política de seguridad de la información relacionada con la PII.
Durante todo el proceso de establecimiento de un PIMS, la alta dirección debería:
- Tener en cuenta los objetivos operativos del sistema de gestión en su conjunto y garantizar que las actividades relacionadas con PIMS estén alineadas con lo que la empresa intenta lograr;
- Garantizar que el PIMS de la organización esté integrado en el conjunto de procesos de seguridad de la información de la empresa;
- Poner a disposición una cantidad adecuada de recursos para implementar un PIMS que funcione, incluido el espacio presupuestario y la cantidad adecuada de empleados para implementarlo y mantenerlo;
- Comunicar los beneficios de un PIMS a todo el personal dentro de la organización (no solo a aquellos que interactúan directamente con él) para maximizar la aceptación de los empleados y mejorar la adherencia;
- Acordar un conjunto claro de resultados para medir el desempeño de un PIMS y su impacto en la seguridad de la PII;
- Proporcionar liderazgo y apoyo a cualquier empleado que desempeñe un papel en la mejora del desempeño del PIMS y fomentar una actitud proactiva hacia la salvaguardia de la PII;
- Ofrecer orientación y apoyo a los miembros del equipo directivo junior, dentro de áreas de su trabajo que se relacionan directamente con las actividades relacionadas con PIMS y la seguridad de PII.
ISO 27701 Cláusula 5.3.2 – Política
Referencias ISO 27001 Control 5.2
Las políticas de información son el pan de cada día de los esfuerzos más amplios de protección de la privacidad de una organización.
La alta dirección utiliza protocolos y procedimientos no solo para mejorar la gestión de riesgos de seguridad de la información en su conjunto, sino también como una herramienta para medir el desempeño del personal y demostrar a las autoridades legales y regulatorias que la organización está cumpliendo con sus obligaciones con respecto a la PII.
Las políticas de seguridad de la información relacionadas con la protección de la privacidad, PII y PIMS deberían:
- Seguir siendo relevantes y apropiados para las necesidades comerciales y relacionadas con los recursos únicas de la organización;
- Delinear un conjunto claro de objetivos relacionados con la PII, o cuando esto no sea relevante, ayuda a establecer un marco para el establecimiento de objetivos futuros de seguridad y privacidad (ver ISO 27001 Cláusula 6.2*);
- Tenga en cuenta cualquier requisito organizacional específico relacionado con la PII, incluidos aquellos de organismos legales, asesores y regulatorios de terceros;
- Promover un enfoque proactivo hacia la evaluación continua del PIMS de la organización, incluidas las mejoras que se pueden realizar;
Una vez establecidas, las políticas deben ponerse a disposición de todo el personal relevante como documentos con versión controlada y comunicarse ampliamente en toda la organización, ya sea en el momento de su creación o cuando se realicen modificaciones que puedan afectar la seguridad de la PII.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 5.3.3 – Roles, responsabilidades y autoridades organizacionales
Referencias ISO 27001 Control 5.3
A lo largo de su familia de estándares de seguridad de la información, ISO hace referencia continua a actividades basadas en roles, según el tipo de trabajo de una persona y las responsabilidades asignadas.
ISO 27701-5.3.3 pide a las organizaciones que se aseguren de que cualquier persona que utilice PII, interactúe con un PIMS o sea responsable de la protección de la privacidad tenga una función claramente definida y entienda con precisión de qué es responsable (incluido el de la propia alta dirección).
La alta dirección debe garantizar que todos los procedimientos relacionados con PIMS y PII cumplan con las normas ISO 27001 y delegar responsabilidades de presentación de informes a miembros del personal que analicen el desempeño del PIMS de la organización a intervalos regulares.
Controles de soporte de ISO 27001 y GDPR
*Controlar 6.2 – Objetivos de seguridad de la información y planificación para alcanzarlos (referenciados en la Cláusula 27701 de ISO 5.3.2)
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27001 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 5.3.1 | Liderazgo y Compromiso |
5.1 – Liderazgo y Compromiso por la ISO 27001 |
Ninguna |
| 5.3.2 | Privacidad |
5.2 – Política de Seguridad de la Información para ISO 27001 |
Ninguna |
| 5.3.3 | Roles organizacionales, responsabilidades y autoridades |
5.3 – Roles, responsabilidades y autoridades organizacionales para ISO 27001 |
Ninguna |
Cómo puede ayudar ISMS.online
Con nuestro PIMS preconfigurado puede organizar y gestionar rápida y fácilmente la información de clientes, proveedores y personal para cumplir plenamente con la norma ISO 27701.
Hacemos que el mapeo de datos sea una tarea sencilla. Es fácil registrarlo y revisarlo todo, agregando los detalles de su organización a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.
Deberá demostrar qué tan bien gestiona las solicitudes de derechos de los interesados (DRR). Nuestro espacio seguro de RRD lo mantiene todo en un solo lugar, respaldándolo con informes e información automatizados.
Hemos creado un banco de riesgos integrado y una variedad de otras herramientas prácticas que ayudarán en cada parte del proceso de evaluación y gestión de riesgos.
Descubre más por reservar una demostración.
