Política.
La alta dirección debe establecer una política de seguridad de la información que:
- Sea adecuada al propósito de la organización.
- Incluya objetivos de seguridad de la información (véase 6.2) o proporcione un marco de referencia para el establecimiento de los objetivos de seguridad de la información.
- Incluya el compromiso de cumplir con los requisitos aplicables a la seguridad de la información.
- Incluya el compromiso de mejora continua del sistema de gestión de la seguridad de la información.
La política de seguridad de la información debe:
- Estar disponible como información documentada.
- Comunicarse dentro de la organización.
- Estar disponible para las partes interesadas, según sea apropiado.
Algunos métodos de comunicación interna de la Política de Seguridad de la Información pueden ser los siguientes:
- Inducción y entrenamiento mediante charlas.
- Envío por correo electrónico.
- Entrega de manera personal.
- Publicación en tablones de anuncios (Declaración de Política de Seguridad de la Información).
- Publicación en la Intranet corporativa.
No obstante estos métodos pueden usarse de manera individual o de forma combinada como parte de un Programa permanente de Sensibilización en Seguridad de la Información y se debe asegurar que los colaboradores comprendan y entiendan la Política de Seguridad de la Información; estos resultados pueden medirse mediante la realización de evaluaciones periódicas y así generar registros con los resultados obtenidos y determinar mejoras.