ISMS Copilot
Glosario de ISO 27001

¿Qué es una Política de Seguridad de la Información en ISO 27001?

Descripción General

Una Política de Seguridad de la Información es una declaración documentada de alto nivel que define el compromiso de su organización con la seguridad de la información y proporciona una dirección estratégica para el SGSI. Requerida por la cláusula 5.2 de ISO 27001:2022, es aprobada por la alta dirección y sirve como base para todas las políticas, procedimientos y controles de seguridad.

Esta política demuestra el compromiso de liderazgo y establece el tono para la cultura de seguridad de su organización.

La Política de Seguridad de la Información en la práctica

La cláusula 5.2 de ISO 27001:2022 exige que la alta dirección establezca una política de seguridad de la información que:

  • Sea adecuada al propósito de la organización

  • Incluya objetivos de seguridad de la información o proporcione el marco para establecerlos

  • Incluya un compromiso de satisfacer los requisitos de seguridad de la información aplicables

  • Incluya un compromiso con la mejora continua del SGSI

La política debe estar documentada, comunicarse dentro de la organización y estar disponible para las partes interesadas según corresponda.

La Política de Seguridad de la Información es un documento estratégico, no un procedimiento detallado. Establece la dirección; los controles y procesos específicos se definen en políticas y procedimientos de apoyo.

Elementos requeridos

1. Contexto y propósito de la organización

La política debe reflejar los objetivos comerciales, la industria y el entorno de riesgos de su organización.

Ejemplo: "Como proveedor de atención médica que maneja datos confidenciales de pacientes, [Organización] se compromete a proteger la confidencialidad, integridad y disponibilidad de la información de salud en cumplimiento con HIPAA y las mejores prácticas de la industria".

2. Marco de objetivos de seguridad de la información

Indique objetivos específicos o proporcione el marco para definirlos.

Ejemplo: "Mantendremos la certificación ISO 27001, lograremos una disponibilidad del sistema del 99,9% y responderemos a los incidentes de seguridad en un plazo de 4 horas".

3. Compromiso con los requisitos aplicables

Haga referencia a las obligaciones legales, reglamentarias y contractuales que debe cumplir.

Ejemplo: "Nos comprometemos a cumplir con GDPR, los requisitos de SOC 2 Tipo II y las obligaciones de seguridad contractuales de los clientes".

4. Compromiso con la mejora continua

Declare su dedicación a la mejora continua del SGSI.

Ejemplo: "Mejoraremos continuamente nuestras prácticas de seguridad de la información a través de evaluaciones de riesgos periódicas, auditorías internas y revisiones por la dirección".

La política debe ser aprobada y firmada por la alta dirección (CEO, Director General o equivalente). La delegación en niveles inferiores da lugar a una no conformidad.

Estructura y contenido

Aunque ISO 27001:2022 no impone un formato específico, las políticas efectivas suelen incluir:

Sección de encabezado

  • Título del documento y versión

  • Autoridad de aprobación y firma

  • Fecha de entrada en vigor y ciclo de revisión

Propósito y alcance

  • Por qué existe la política

  • Qué cubre (alineado con el alcance del SGSI de la Cláusula 4.3)

  • A quién se aplica (empleados, contratistas, socios)

Declaraciones de política

  • Principios básicos de seguridad de la información

  • Funciones y responsabilidades a alto nivel

  • Marco para los objetivos

  • Compromisos con los requisitos y la mejora

Documentos relacionados

  • Referencias a políticas de apoyo (p. ej., Uso aceptable, Control de acceso, Respuesta a incidentes)

  • Enlace a los procesos de evaluación y tratamiento de riesgos

Mantenga la Política de Seguridad de la Información concisa (generalmente de 2 a 4 páginas). Las reglas detalladas pertenecen a las políticas y procedimientos de apoyo, no a la política de nivel superior.

Requisitos de comunicación

La cláusula 5.2 exige que la política sea:

  • Documentada: Mantenida como información controlada

  • Comunicada: Puesta a disposición de todo el personal a través de capacitación, intranet, manuales

  • Disponible para las partes interesadas: Compartida con clientes, auditores y reguladores según sea necesario (puede ser una versión pública o confidencial)

Ejemplos de métodos de comunicación:

  • Incluir en la capacitación de incorporación de nuevos empleados

  • Publicar en la intranet de la empresa

  • Hacer referencia en los contratos de trabajo

  • Proporcionar a los clientes durante los cuestionarios de seguridad

Revisión y mantenimiento

La política debe revisarse y actualizarse:

  • A intervalos planificados (la anual es una práctica común)

  • Cuando ocurran cambios significativos (fusiones, nuevas regulaciones, incidentes graves)

  • Como parte de la revisión por la dirección (Cláusula 9.3)

  • A raíz de los hallazgos de auditorías internas o externas

Utilice ISMS Copilot para generar un borrador de Política de Seguridad de la Información adaptado a su industria, contexto organizacional y requisitos de cumplimiento. La herramienta puede sugerir objetivos adecuados y un lenguaje de compromiso.

Políticas de apoyo frente a la Política de Seguridad de la Información

La Política de Seguridad de la Información es el documento estratégico de nivel superior. Las políticas de apoyo proporcionan requisitos detallados para áreas específicas:

  • Política de Seguridad de la Información (Cláusula 5.2): Compromiso y dirección de alto nivel

  • Política de Control de Acceso: Detalla la autenticación, autorización y gestión de privilegios

  • Política de Uso Aceptable: Define el uso permitido de los recursos de TI

  • Política de Respuesta a Incidentes: Especifica los procedimientos de manejo de incidentes

  • Política de Continuidad del Negocio: Aborda la disponibilidad y la recuperación

Errores comunes a evitar

  • Hacer que la política sea demasiado técnica o detallada (debe ser estratégica)

  • No obtener la aprobación y firma de la alta dirección

  • No comunicar la política a todos los empleados

  • Establecer objetivos que no son medibles ni alcanzables

  • No revisar la política periódicamente

  • Copiar plantillas genéricas sin personalizarlas para su organización

Ejemplo de declaración de política

"[Nombre de la Organización] se compromete a proteger la confidencialidad, integridad y disponibilidad de los activos de información críticos para nuestras operaciones comerciales y la confianza de nuestros clientes. Esta Política de Seguridad de la Información establece nuestro marco para identificar, evaluar y gestionar los riesgos de seguridad de la información de acuerdo con ISO 27001:2022 y los requisitos reglamentarios aplicables, incluidos GDPR y SOC 2. Estamos comprometidos con la mejora continua de nuestro SGSI a través de evaluaciones de riesgos periódicas, auditorías internas, revisiones por la dirección y acciones correctivas".

Términos relacionados

¿Te fue útil?