DOCUMENTOS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA
El documento de la política
de seguridad de la información debería declarar el compromiso de la dirección y establecer el enfoque de esta para la gestión de la seguridad de la
información. El documento de la política debería contener declaraciones
relacionadas con:
· Definición de la seguridad de la información, sus objetivos generales y el alcance e importancia de la seguridad como mecanismo que permite compartir la información.
· Declaración de la intención de la dirección, que apoye las metas y los principios de seguridad de la información, de acuerdo con la estrategias y los objetivos del negocio;
· Estructura para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación de riesgos y de la gestión del riesgos;
· Explicación breve sobre las normas, las políticas y los principios de seguridad, así como de los requisitos de cumplimiento de importancia particular para la organización incluyendo los siguientes:
1. Cumplimiento de los requisitos legales, reglamentarios y contractuales;
2. Requisitos de educación, formación y concientización sobre seguridad;
3. Gestión de la continuidad del negocio;
4. Consecuencias de las violaciones de la política de seguridad;
· Definiciones de las responsabilidades generales y específicas para la gestión de la seguridad de la información, incluyendo el reporte de los incidentes de seguridad de la información;
· Referencias a la documentación que puede dar soporte a la política, tal como las ´políticas de seguridad más detalladas para sistemas específicos de información o las reglas de seguridad que debería cumplir los usuarios.
· Definición de la seguridad de la información, sus objetivos generales y el alcance e importancia de la seguridad como mecanismo que permite compartir la información.
· Declaración de la intención de la dirección, que apoye las metas y los principios de seguridad de la información, de acuerdo con la estrategias y los objetivos del negocio;
· Estructura para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación de riesgos y de la gestión del riesgos;
· Explicación breve sobre las normas, las políticas y los principios de seguridad, así como de los requisitos de cumplimiento de importancia particular para la organización incluyendo los siguientes:
1. Cumplimiento de los requisitos legales, reglamentarios y contractuales;
2. Requisitos de educación, formación y concientización sobre seguridad;
3. Gestión de la continuidad del negocio;
4. Consecuencias de las violaciones de la política de seguridad;
· Definiciones de las responsabilidades generales y específicas para la gestión de la seguridad de la información, incluyendo el reporte de los incidentes de seguridad de la información;
· Referencias a la documentación que puede dar soporte a la política, tal como las ´políticas de seguridad más detalladas para sistemas específicos de información o las reglas de seguridad que debería cumplir los usuarios.
No hay comentarios:
Publicar un comentario