La Alta Dirección.
La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles pertinentes a la seguridad de la información se asignen y comuniquen dentro de la organización.
La alta dirección debe asignar la responsabilidad y autoridad para:
- Asegurarse que el sistema de gestión de la seguridad de la información es conforme con los requisitos de esta norma internacional.
- Informar sobre el comportamiento del sistema de gestión de la seguridad de la información dentro de la organización.
NOTA: La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el comportamiento del sistema de gestión de la seguridad de la información dentro de la organización.
En esta fase se deben definir claramente los Roles, Responsabilidades y Autoridades sobre Seguridad de la Información, para ello es necesario designar al responsable de seguridad de la Información y establecer las autoridades que puede ser mediante la designación de un Comité SGSI.
Las buenas prácticas nos indican, que este Comité SGSI puede estar conformado por representantes de las áreas relevantes de la organización, como por ejemplo, Alta Dirección, Administración y Finanzas, Recursos Humanos, Tecnologías de la Información y Legal.
Asimismo, se deben establecer las responsabilidades para el Oficial de Seguridad de la Información, el Comité SGSI (de ser el caso) y los Colaboradores de la Organización.
Es importante tener en cuenta que el responsable de Seguridad de la Información no debe depender jerárquicamente del área de TI porque se debe tener independencia y permitir adecuadamente que se cumpla con la segregación de funciones.