Cláusula 5: Liderazgo

La alta dirección demuestra liderazgo y compromiso absoluto con el SGSI: establece y difunde la Política de Seguridad de la Información, asigna los recursos necesarios, define y comunica roles, responsabilidades y autoridades, e integra la seguridad en la estrategia corporativa. Gracias a este liderazgo visible, todo el personal comprende sus obligaciones y el SGSI opera con objetivos claros, decisiones oportunas y respaldo ejecutivo permanente.

ISO 27001: Sistema de Gestión de Seguridad de la Información

Liderazgo

5.1 Liderazgo y compromiso

La alta dirección demuestra liderazgo y compromiso activo con el Sistema de Gestión de Seguridad de la Información (SGSI), asegurando su alineación con los objetivos estratégicos de la organización y promoviendo una cultura de seguridad en todos los niveles.

Acciones implementadas:

La alta dirección establece políticas claras y proporciona recursos necesarios para el funcionamiento efectivo del SGSI.
Se comunica la importancia de cumplir con los requisitos del SGSI y de mejorar continuamente su eficacia.
Se aseguran roles, responsabilidades y autoridades definidos para la gestión del SGSI en toda la organización.
Se promueve la integración del SGSI en los procesos de negocio y se fomenta la participación activa de todo el personal.

Documentos relacionados:

POL 002 – Liderazgo y Compromiso en Seguridad de la Información - Política que establece el compromiso formal de la alta dirección.
PSC 001 – Liderazgo - Procedimiento que define las responsabilidades y acciones de liderazgo en el SGSI.
DOC 002 – Organigrama - Evidencia la estructura organizacional y responsabilidades en seguridad de la información.
PRO 001 – Evaluación de Riesgos de Seguridad de la Información - Demuestra la participación de la alta dirección en la gestión de riesgos.

Controles del Anexo A que respaldan 5.1:

5.2 Política de Seguridad de la Información

La organización establece, implementa y mantiene una política de seguridad de la información que proporciona un marco para establecer los objetivos del SGSI y que es comunicada y entendida en todos los niveles de la organización.

Acciones implementadas:

Se ha desarrollado y aprobado una política de seguridad de la información alineada con los objetivos estratégicos y requisitos legales aplicables.
La política es comunicada a todo el personal y partes interesadas relevantes, asegurando su comprensión y compromiso.
Se revisa periódicamente para asegurar su adecuación continua al contexto y necesidades organizacionales.
Se promueve el cumplimiento de la política mediante formación, sensibilización y controles establecidos.

Documentos relacionados:

POL 001 – Política de Seguridad de la Información - Documento que define la política y los principios fundamentales del SGSI.
DOC 009 – Acta de reunión aprobación de políticas - Evidencia formal de la aprobación de la política por la alta dirección.
DOC 010 – Acta de reuniones socialización de las políticas - Registra la difusión y socialización de la política con el personal.
PSC 009 – Sensibilización y Capacitación - Procedimiento que asegura la formación continua respecto a la política.

Controles del Anexo A que respaldan 5.2:

5.3 Funciones, responsabilidades y autoridades de la organización

La organización define, asigna y comunica claramente las funciones, responsabilidades y autoridades para todos los roles relacionados con el SGSI, garantizando una gestión efectiva y el cumplimiento de los objetivos de seguridad de la información.

Acciones implementadas:

Se establecen y documentan las responsabilidades y autoridades específicas para la gestión y operación del SGSI en todos los niveles.
Se comunica formalmente a todo el personal sus funciones y responsabilidades relacionadas con la seguridad de la información.
Se mantiene actualizado el organigrama y los roles de usuario para reflejar cambios en la estructura y en el personal.
Se aseguran mecanismos para la supervisión y control del cumplimiento de funciones asignadas.

Documentos relacionados:

POL 007 – Política de roles y responsabilidades - Define los roles y responsabilidades en el SGSI.
DOC 002 – Organigrama - Muestra la estructura organizacional y asignación de roles.
DOC 012 – Listado actualizado de usuario con roles - Registro que detalla las asignaciones actuales de roles y permisos.
FOR 023 – Registro de Alta y Modificación de usuario - Evidencia los cambios y asignaciones de usuarios y roles.

Controles del Anexo A que respaldan 5.3:

A.5.2 Responsabilidades de la seguridad de la información
A.9.2 Gestión de acceso de usuarios

Consideraciones Adicionales

El liderazgo de la alta dirección es fundamental para el éxito del SGSI, ya que establece el tono, asigna recursos, define responsabilidades y garantiza que la seguridad de la información esté integrada en todos los procesos organizacionales.

Cómo cumplimos

Mediante el compromiso activo de la alta dirección, la definición de políticas claras, la asignación de recursos adecuados, la comunicación efectiva de responsabilidades y la integración del SGSI en la estrategia corporativa.

Responsables

La alta dirección es responsable del liderazgo y compromiso con el SGSI, mientras que los gerentes y supervisores aseguran la implementación y cumplimiento en sus respectivas áreas.