Guía de implementación

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

OR 2 Conformar un Comité de Seguridad de la Información.

ObjetivoContar con un equipo de personas con capacidad de decisión sobre los objetivos de la organización, que vele por la seguridad de la información, marque los lineamientos estratégicos en la materia y defina los objetivos anuales.
AlcanceCualquier organización
Referencia ISO 27001A.6.1.1, A.6.1.3 y Cláusula 5.3
Guía de implementación

Comité de Seguridad de la Información 

Se debe designar los integrantes del Comité de Seguridad de la Información (CSI). 

El CSI debe estar formado por representantes de todas las direcciones o gerencias de la organización incluyendo responsable de TI. 

Conformación

En términos generales, su conformación refiere a directivos con toma de decisiones dentro de la organización. 

Funcionamiento

El CSI se debe reunir periódicamente. Cuando el CSI se reúna con el propósito de revisar temas referentes a la evaluación y tratamiento del riesgo de seguridad de la información, se debe incluir la participación del responsable de la Gestión de Riesgos. El CSI puede convocar a sus reuniones a otros expertos que considere pertinentes para el cumplimiento de sus cometidos. 

Cometidos

Dentro de los principales cometidos del CSI se encuentran: 

  • Establecer y aprobar sus pautas de funcionamiento. 
  • Promover, difundir y apoyar la seguridad de la información, garantizando que sea parte de los procesos de planificación.
  • Definir las estrategias de seguridad de la información transversales a la organización. 
  • Aprobar los planes, políticas y todo aquello que incremente y mejore la seguridad de la información. 
  • Dar cuenta a la Dirección de la organización respecto a la no aprobación y/o no cumplimiento de las decisiones adoptadas por el referido Comité. 
  • Establecer los niveles aceptables de riesgo. 
Administración CentralEl CSI debe estar formado por un equipo de personas con capacidad de decisión sobre los objetivos del organismo o inciso (según corresponda su alcance). Si el organismo pertenece a la Administración Central y el CSI está formado a nivel del inciso, su conformación es con los directores de las unidades ejecutoras. Si está formado a nivel de unidad ejecutora, se conforma con los directores de área.
Dependiendo de la realidad y tamaño del organismo, los cometidos del CSI podrían incluirse a otros grupos ya existentes como el “Gabinete ministerial”.
Instituciones de saludAdemás de lo planteado en términos generales, el CSI debe contar con al menos un miembro perteneciente al área asistencial. 
Guía de evidencia para auditoría
  • Resolución de la creación del CSI.
  • Responsabilidades del CSI aprobados por la Dirección.
  • Pautas de funcionamiento del CSI.
  • Evidencia de las reuniones mantenidas por el CSI durante el período auditado (actas, orden del día, correos, otros).
Normativa asociadaN/A

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay