Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• PL.1-1: están establecidos los objetivos anuales de seguridad de la información.
• PL.1-2: están definidas las acciones para lograr el cumplimiento de los objetivos.

Nivel 2

• PL.1-3: los objetivos forman parte de un plan de acción de seguridad de la información.
• PL.1-4: los objetivos están documentados y aprobados por el CSI.

Nivel 3

• PL.1-5: los objetivos anuales de seguridad de la información son difundidos al personal y partes interesadas.
• PL.1-6: el plan de acción para cumplir con los objetivos se desarrolla y ejecuta de manera coordinada con los distintos actores de la organización.
• PL.1-7: se definen indicadores para el seguimiento del cumplimiento de los objetivos.

Nivel 4

• PL.1-8: los objetivos se traducen en proyectos o iniciativas de seguridad de la información.
• PL.1-9: se revisa periódicamente el cumplimiento de los objetivos y el avance del plan de acción.

Estrategia y objetivos
Se debe establecer una estrategia de ciberseguridad y seguridad de la información alineada a la estrategia de la organización. La Dirección debe proporcionar lineamientos claros y un apoyo de gestión visible para las iniciativas de seguridad de la información dentro de la organización.

Se deben establecer objetivos de seguridad de la información, al menos anualmente, a nivel de la organización. Estos objetivos pueden estar asociados a la adopción del marco de ciberseguridad, implementar nuevos requisitos y/o avanzar en el modelo de madurez. Los objetivos deberán organizarse en un plan de acción.

Es recomendable que los lineamientos y objetivos vinculados a seguridad de la información sean planteados por el Comité de Seguridad de la Información (CSI) y sean difundidos a las partes interesadas. Del plan de acción deben derivar proyectos concretos de seguridad de la información.

Se pueden establecer indicadores para el seguimiento del cumplimiento de los objetivos planteados.