6 1 Organización Interna


User:Admin/objetivo.gif Gestionar la seguridad de la información dentro de la Organización.
User:Admin/principios.gif Se debería establecer una estructura de gestión con objeto de iniciar y controlar la implantación de la seguridad de la información dentro de la Organización.

El órgano de dirección debería aprobar la política de seguridad de la información, asignar los roles de seguridad y coordinar y revisar la implantación de la seguridad en toda la Organización.

Si fuera necesario, en la Organización se debería establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la información. Deberían desarrollarse contactos con especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolución de las normas y los métodos de evaluación, así como proporcionar enlaces adecuados para el tratamiento de las incidencias de seguridad.

Debería fomentarse un enfoque multidisciplinario de la seguridad de la información, que, por ejemplo, implique la cooperación y la colaboración de directores, usuarios, administradores, diseñadores de aplicaciones, auditores y el equipo de seguridad con expertos en áreas como la gestión de seguros y la gestión de riesgos.
Consejos de implantación

Reproduzca la estructura y tamaño de otras funciones corporativas especializadas, como Legal, Riesgos y Compliance.

métrica

Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para mantener los riesgos de seguridad de la información por debajo de umbrales explícitamente aceptados por la dirección.

Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de seguridad de la información.


    Post a comment

    Your Name or E-mail ID (mandatory)




     RSS of this page

    Written by:   Version:   Edited By:   Modified

    Información de contacto

    http://www.iso27000.es/ISO27002/contacto.gif