5.3 Roles, Responsabilidades y Autoridades.
Requisito.
La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles pertinentes a la seguridad de la información se asignen y comuniquen dentro de la organización.
Explicación.
El propósito de este requisito es asignar responsabilidades y autoridades para asegurar la conformidad del SGSI con los requisitos de ISO IEC 27001:2022 y para garantizar la presentación de informes sobre el desempeño del SGSI a la alta dirección.
La alta dirección debe garantizar periódicamente que las responsabilidades y autoridades del SGSI sean asignados para que el sistema de gestión cumpla con los requisitos establecidos en la norma ISO IEC 27001:2022. No es necesario asignar todos los roles, responsabilidades y autoridades, pero debe hacerlo adecuadamente al delegar autoridad para hacer esto.
La alta dirección debe aprobar los principales roles, responsabilidades y autoridades del SGSI.
Guía.
Se deberían asignar las responsabilidades y las autoridades con las siguientes actividades de seguridad de la información:
- Coordinar el establecimiento, implementación, mantenimiento, reporte de desempeño y mejora del SGSI.
- Asesorar con relación a la valoración y tratamiento de riesgos de seguridad de la información.
- Diseñar procesos y sistemas de seguridad de la información.
- Establecer estándares acerca de la determinación, configuración y operación de controles de seguridad de la información.
- Gestionar los incidentes de seguridad de la información.
- Revisar y auditar el SGSI.
Responsabilidades y autoridades de seguridad de la información pertinentes que se deberían incluir dentro de otras funciones.
Por Ejemplo, las responsabilidades de seguridad de la información se pueden incorporar en los roles de:
- Dueños de la información
- Dueños de procesos
- Dueños de activos (por ejemplo, dueños de aplicaciones o de infraestructura)
- Dueños de riesgos
- Las funciones o personas que coordinan la seguridad de la información (este rol particular normalmente es un rol de soporte en el SGSI)
- Gerentes de proyecto
- Gerentes de línea
- Usuarios de información
La información documentada sobre esta actividad y su resultado es obligatoria sólo en la forma y medida que la organización considere necesaria para la eficacia de su sistema de gestión.