Cláusula 5.3: Funciones, Responsabilidades y Autoridades de la Organización

ISO 27001: Sistema de Gestión de Seguridad de la Información

La alta dirección demuestra liderazgo y compromiso absoluto con el SGSI: establece y difunde la Política de Seguridad de la Información, asigna los recursos necesarios, define y comunica roles, responsabilidades y autoridades, e integra la seguridad en la estrategia corporativa. Gracias a este liderazgo visible, todo el personal comprende sus obligaciones y el SGSI opera con objetivos claros, decisiones oportunas y respaldo ejecutivo permanente.

5.3 Funciones, Responsabilidades y Autoridades de la Organización

La organización define, asigna y comunica claramente las funciones, responsabilidades y autoridades para todos los roles relacionados con el SGSI, garantizando una gestión efectiva y el cumplimiento de los objetivos de seguridad de la información.

Acciones implementadas:

Documentación de responsabilidades

Se establecen y documentan las responsabilidades y autoridades específicas para la gestión y operación del SGSI en todos los niveles.

Comunicación formal

Se comunica formalmente a todo el personal sus funciones y responsabilidades relacionadas con la seguridad de la información.

Actualización de estructura

Se mantiene actualizado el organigrama y los roles de usuario para reflejar cambios en la estructura y en el personal.

Mecanismos de supervisión

Se aseguran mecanismos para la supervisión y control del cumplimiento de funciones asignadas.

Documentos relacionados:

POL 007 – Política de roles y responsabilidades - Define los roles y responsabilidades en el SGSI.
DOC 002 – Organigrama - Muestra la estructura organizacional y asignación de roles.
DOC 012 – Listado actualizado de usuario con roles - Registro que detalla las asignaciones actuales de roles y permisos.
FOR 023 – Registro de Alta y Modificación de usuario - Evidencia los cambios y asignaciones de usuarios y roles.

Controles del Anexo A que respaldan 5.3:

A.5.2 Responsabilidades de la seguridad de la información

Roles y Responsabilidades Específicas

Alta Dirección

Establecer y aprobar la Política de Seguridad de la Información
Asignar recursos necesarios para el SGSI
Garantizar la integración del SGSI en los procesos de negocio
Presidir las revisiones por la dirección

Responsable del SGSI

Coordinar la implementación y mantenimiento del SGSI
Supervisar la gestión de riesgos de seguridad
Informar a la alta dirección sobre el desempeño del SGSI
Coordinar las auditorías internas del SGSI

Propietarios de Procesos

Implementar controles de seguridad en sus áreas
Garantizar el cumplimiento de políticas y procedimientos
Reportar incidentes de seguridad
Participar en la gestión de riesgos de sus procesos

Todo el Personal

Cumplir con las políticas y procedimientos de seguridad
Reportar incidentes y vulnerabilidades de seguridad
Participar en actividades de concienciación y capacitación
Proteger los activos de información bajo su responsabilidad

Consideraciones Adicionales

La definición clara de roles y responsabilidades es fundamental para el éxito del SGSI. La organización garantiza que todas las funciones relacionadas con la seguridad de la información estén claramente asignadas, comunicadas y comprendidas por todo el personal.

Cómo cumplimos

Mediante la documentación formal de roles y responsabilidades, comunicación efectiva a todo el personal, mantenimiento actualizado de la estructura organizacional y establecimiento de mecanismos de supervisión y control.

Responsables

La Alta Dirección es responsable de asignar roles y responsabilidades, con el apoyo del Responsable del SGSI en la definición e implementación de las asignaciones específicas.