En el post de hoy explicaremos qué es una política de seguridad de la información según ISO 27001 y qué debe incluir. Sin embargo, conviene recordar la definición de seguridad de la información, que no es otra cosa que “el conjunto de medidas y procedimientos puesto en marcha por las organizaciones para proteger la confidencialidad de la información y la disponibilidad e integridad de los datos”.
A la hora de implementar y/o certificar ISO 27001, es imprescindible demostrar que la compañía cuenta con la documentación adecuada para ello, por lo que se recomienda crear una política de seguridad de la información y un plan de evaluación y tratamiento de riesgos.
La política de seguridad consiste en desarrollar el marco de actuación apropiado para salvaguardar la información de la empresa. Su objetivo principal es indicar el propósito del Sistema de Gestión de Seguridad de la Información (SGSI) y del documento en sí.
Además de indicar la finalidad de la política de seguridad, se debe señalar cómo se prevé conseguirlo, cómo ha sido aprobada y cómo se realizará su seguimiento, ya que debe revisarse de forma continua. Es importante destacar que esta política tiene que adaptarse a las características de la organización, comunicarse a todos los interesados y contar con el compromiso de la alta dirección.
La cláusula 6.2 de la norma ISO 27001 establece los puntos que las organizaciones tienen que cumplir a la hora de establecer los objetivos de seguridad de la información. Uno de los más relevantes es que sean medibles, para lo cual ayudará tener presente los tres principios claves de este estándar internacional:
- Confidencialidad: solo las personas autorizadas para ello deben conocer los datos.
- Integridad: la información tiene que ser completa, válida, veraz, exacta y no estar manipulada.
- Disponibilidad: la información ha de ser accesible de forma que los usuarios autorizados para ello puedan disponer de ella cuando la necesiten y garantizar su protección.
Kit de herramientas de documentos ISO 27001
Este completo set de documentos contiene las plantillas necesarias para personalizar tu información corporativa bajo las especificaciones ISO 27001. Desarrollado por profesionales con más de 20 años de experiencia, en el kit encontrarás todas las pautas para empezar a usarlo y poner en marcha tu proyecto ISO 27001-SGSI: guía de inicio rápido, manual de seguridad de la información, hoja de entrada de usuarios… y ¡mucho más!