Cláusula 5.3: Funciones, Responsabilidades y Autoridades de la Organización

La alta dirección demuestra liderazgo y compromiso absoluto con el SGSI: establece y difunde la Política de Seguridad de la Información, asigna los recursos necesarios, define y comunica roles, responsabilidades y autoridades, e integra la seguridad en la estrategia corporativa. Gracias a este liderazgo visible, todo el personal comprende sus obligaciones y el SGSI opera con objetivos claros, decisiones oportunas y respaldo ejecutivo permanente.

ISO 27001: Sistema de Gestión de Seguridad de la Información

Funciones, responsabilidades y autoridades de la organización

La organización define, asigna y comunica claramente las funciones, responsabilidades y autoridades para todos los roles relacionados con el SGSI, garantizando una gestión efectiva y el cumplimiento de los objetivos de seguridad de la información.

Acciones implementadas:

Establecimiento y documentación de responsabilidades

Se establecen y documentan las responsabilidades y autoridades específicas para la gestión y operación del SGSI en todos los niveles.

Comunicación formal de funciones

Se comunica formalmente a todo el personal sus funciones y responsabilidades relacionadas con la seguridad de la información.

Actualización de estructura organizacional

Se mantiene actualizado el organigrama y los roles de usuario para reflejar cambios en la estructura y en el personal.

Mecanismos de supervisión y control

Se aseguran mecanismos para la supervisión y control del cumplimiento de funciones asignadas.

Documentos relacionados:

POL 007 – Política de roles y responsabilidades - Define los roles y responsabilidades en el SGSI.
DOC 002 – Organigrama - Muestra la estructura organizacional y asignación de roles.
DOC 012 – Listado actualizado de usuario con roles - Registro que detalla las asignaciones actuales de roles y permisos.
FOR 023 – Registro de Alta y Modificación de usuario - Evidencia los cambios y asignaciones de usuarios y roles.

Controles del Anexo A que respaldan 5.3:

A.5.2 Responsabilidades de la seguridad de la información
A.9.2 Gestión de acceso de usuarios

Consideraciones Adicionales

La definición clara de funciones, responsabilidades y autoridades es fundamental para el funcionamiento efectivo del SGSI. Esta claridad asegura que todas las actividades relacionadas con la seguridad de la información sean ejecutadas por personal competente y autorizado, facilitando la rendición de cuentas y la gestión coordinada.

Cómo cumplimos

Mediante la documentación formal de roles y responsabilidades, comunicación efectiva a todo el personal, mantenimiento actualizado de la estructura organizacional, e implementación de mecanismos de supervisión para asegurar el cumplimiento de las funciones asignadas.

Responsables

La alta dirección es responsable de definir y aprobar las funciones, responsabilidades y autoridades, con el apoyo del responsable del SGSI para la implementación, comunicación y seguimiento del cumplimiento de las asignaciones establecidas.