Comité de Seguridad de la Información Se debe designar los integrantes del Comité de Seguridad de la Información (CSI). El CSI debe estar formado por representantes de todas las direcciones o gerencias de la organización incluyendo responsable de TI. Dependiendo de la realidad y tamaño de la organización, los cometidos del CSI podrían incluirse a otros grupos ya existentes como por ejemplo el “Gabinete ministerial” o la reunión “Gerencial”. Conformación En términos generales, su conformación refiere a directivos con toma de decisiones dentro de la organización. Si la organización pertenece a la Administración Central y el CSI está formado a nivel del inciso, su conformación es con los directores de las unidades ejecutoras. Si está formado a nivel de unidad ejecutora, se conforma con los directores de área. Esta situación también podría darse en otros escenarios, por ejemplo, en el ámbito privado con casa matriz y sucursales. Funcionamiento El CSI se debe reunir periódicamente. Cuando el CSI se reúna con el propósito de revisar temas referentes a la evaluación y tratamiento del riesgo de seguridad de la información, se debe incluir la participación del responsable de la Gestión de Riesgos. El CSI puede convocar a sus reuniones a otros expertos que considere pertinentes para el cumplimiento de sus cometidos. Cometidos Dentro de los principales cometidos del CSI se encuentran: - Establecer y aprobar sus pautas de funcionamiento.
- Promover, difundir y apoyar la seguridad de la información, garantizando que sea parte de los procesos de planificación.
- Definir las estrategias de seguridad de la información transversales a la organización.
- Aprobar los planes, políticas y todo aquello que incremente y mejore la seguridad de la información.
- Dar cuenta a la Dirección de la organización respecto a la no aprobación y/o no cumplimiento de las decisiones adoptadas por el referido Comité.
- Establecer los niveles aceptables de riesgo.
|