¿Contenido de la Política de Seguridad de la Información?

En 03.- Ciclo PDCA de un SGSI. Mencionaste que la política solo debe de tener 2 o 4 párrafos. ¿Que pasa con los detalles de las polítcas especificas de controles, procesos , procedimientos , estas se manejan en documentos separados? Osea que debo tener un documento de política corto con solo compromiso de la alta dirección con el SGSI, la importancia o relevancia de lo que es la información para la organización y de poder implementar, evaluar, mejorar etc el SGSI, y otros documentos con cada política específica?

Debes ser parte de la comunidad para poder comentar.

Gianncarlo Gómez ha comentado hace
más de 6 años

Hola,

La Politica de Seguridad de la Informacion debe ser un documento de alto nivel, donde se muestren las intenciones de la Alta Direccion para el SGSI, debe contener el compomiso de la AD, provicion de recursos e indicar o servir de marco de referencia para los indicadores segun la causula 5.2 del ISO/IEC 27001:2013, para ello no se necesita un documento extenso, es por ello que siempre sugiero que su contenido sea corto y no exceda los tres parrafos.

Algunos ejemplos: http://www.movistar.co/atencion-cliente/proteccion-al-usuario/regulacion_proteccion/politica-seguridad-de-la-informacion http://apps.tigo.com.gt/tigobusiness/certificaciones/politica_de_seguridad_de_informacion_tigo_business_publico.pdf

Ahora, las ¨PoliticaS de Seguridad de la Informacion (Notrese la "S"), son el conjunto de documentos que hace referencia el controle A.5 del ISO/IEC 27001:2013 y sirbven para decalrar poilticas relaciaodnas a, por ejemplo, Acceso a Internet, correo electronuico, contraseñas, boprrado seguro, etc.

Si colocas todas estas poticas (Es decir, La Pliitca de Seguridad de la Informacion y erl conjunto de Poiliticas de Seguridad) en un solo documento, pues tendras un libro muy extenso que dificilmente los trabajadorfes podran y querran leer.

Saludos.