Politique de sécurité selon ISO 27001 et ENS
Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.
Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.
La politique de sécurité de l'information est le document approuve par la direction qui fixe les objectifs, roles et responsabilités du SMSI.
La politique de sécurité de l'information est le document approuve par la direction que fija objectifs, roles et responsabilités du SMSI.
La politique de sécurité de l'information est le document fundacional sur le que se construit tout le système de management de sécurité. Est le premier que examinent les auditores, autant du ENS comme de ISO 27001, et sont qualité etablit le tono pour le resto de la audit. Une politique bien redactada demontre engagement de la direction, claridad en les objectifs et madurez organisationnelle. Une politique deficiente ou generica levanta toutes les alarmas. Est guide le ayudara a redactar une politique que satisfaga simultaneamente les exigences de les deux marcos.
🔗 ENLACE INTERNO: Consulte nos guides du ENS et ISO 27001 pour comprendre les exigences complets de chaque cadre.
- Quels sont les exigences de ENS pour la politique de sécurité?
- Quels sont les exigences de ISO 27001 pour la politique?
- Structure recomendada pour une politique que cumpla les deux marcos
- Encabezamiento et contrôle documental
Quels sont les exigences de ENS pour la politique de sécurité?
Le Anexo II du Decret Royal 311/2022 (Espagne) etablit le contenu minimum obligatoire de la politique de sécurité (contrôle org.1). Ce contenu inclut les objectifs ou mision de la organisation, le cadre regulatorio en que se développé la actividad, les roles de sécurité avec ses funciones et responsabilités, la structure du comite de sécurité, les directives pour la categorizacion de les systèmes, les directives pour le analyse et gestion des risques, et les directives de formation et concienciacion en materia de sécurité.
En outre, la politique doit être signee par le titulaire du organe superieur correspondiente (en la Administracion) ou par la direction générale (en le secteur prive), et doit être communiquee a tout le personnel.
Quels sont les exigences de ISO 27001 pour la politique?
ISO 27001 exige en sont clause 5.2 que la direction générale establezca une politique de sécurité de l'information que soit apropiada au proposito de la organisation, incluya objectifs de sécurité ou le cadre pour establecerlos, incluya le engagement de satisfacer les exigences aplicables, et incluya le engagement de amélioration continue du SMSI.
La politique doit être disponible comme information documentee, être communiquee au sein de la organisation, et être disponible pour les parties prenantes lorsque soit apropiado.
Structure recomendada pour une politique que cumpla les deux marcos
Une politique que satisfaga simultaneamente ENS et ISO 27001 peut estructurarse en les suivants secciones.
Encabezamiento et contrôle documental
Incluya le nombre du document, la version, la date de approbation, le nombre et cargo de qui la approuve, et la classification de sécurité du propre document (habitualmente INTERNO ou PUBLICO).
Objeto et périmètre
Defina que pretende la politique (etablir les principes et directives de sécurité de l'information), a que systèmes de information applique (périmètre du SMSI pour ISO 27001 et du système pour ENS) et a que personnes oblige (tout le personnel, fournisseurs, colaboradores).
Cadre réglementaire
Enumere la legislation et réglementation de referencia: Decret Royal 311/2022 (Espagne) (ENS), ISO/IEC 27001:2022, RGPD, LOPDGDD, NIS2 et cualquier autre réglementation sectorial aplicable.
Principes de sécurité
Establezca les principes que guian la sécurité en la organisation. Le ENS definit principes basicos (sécurité integral, gestion des risques, prevention, reaccion et reprise, lineas de defensa, reevaluacion periodica, funcion diferenciada) que doivent reflejarse en la politique.
Organisation de la sécurité: roles et responsabilités
Est seccion est critique pour le ENS, que exige une segregacion formal de funciones entre quatre roles. Le responsable de la information determina les exigences de sécurité de l'information tratada. Le responsable du service determina les exigences de sécurité de les services prestados. Le responsable de sécurité determina les decisiones pour satisfacer les exigences de sécurité de l'information et de les services. Y le responsable du système se encarga de la opération du système de information.
Le ENS exige que les roles de responsable de la information et du service esten separados du responsable de sécurité, et que le responsable de sécurité ce separado du responsable du système. En organisations pequenas, est posible que une meme personne asuma plusieurs roles, mais les funciones doivent être formalmente diferenciadas.
Comite de sécurité
Describa la composicion, funciones et regimen de funcionamiento du comite de sécurité: qui le compone, avec que frecuencia se reune (minimum semestral), que decisiones toma, et comme se documentan ses acuerdos.
Categorizacion de les systèmes
Establezca les directives pour la categorizacion de les systèmes de information conforme au Anexo I du ENS, referenciando le procédure detallado de categorizacion.
Gestion de risques
Defina le approche de la organisation pour la gestion des risques: méthodologie utilizada (MAGERIT), outil de soporte (PILAR), criterios de aceptacion du risque, et frecuencia de revue du analyse.
Développement de la politique
Indique comme se développé la politique a travers réglementations sectoriales, procédures opérationnels et instrucciones tecnicas. Ceci créé la piramide documental que autant le ENS comme ISO 27001 requieren.
Formation et concienciacion
Establezca le engagement de la organisation avec la formation continua du personnel en materia de sécurité, incluyendo la frecuencia et les contenus minimums du programa de concienciacion.
Gestion de incidents
Defina a eleve niveau le engagement de la organisation avec la gestion des incidents de sécurité, referenciando le procédure detallado et la obligation de notification au CCN-CERT.
Conformité et conformité
Explicite le engagement de la organisation avec le conformité du ENS, de ISO 27001 et de toute la legislation aplicable.
Revue et actualizacion
Establezca que la politique se revisara au moins annuellement ou lorsque se produzcan cambios significativos en la organisation, la technologie, le entorno de menaces ou le cadre réglementaire.
Errores plus frecuentes en la politique de sécurité
Le error plus grave est la manque de les elementos obligatoires du ENS. Les auditores verifican punto par punto que le contenu du Anexo II est reflejado en la politique. Autre error habitual est la politique generica que non se adapta a la réalité de la organisation: une politique copiada de une modèle se detecta inmediatamente. Egalement est frecuente la manque de approbation formal par la direction, la ausencia de evidencias de communication au personnel, et la manque de revues periodicas documentees.
🔗 ENLACE INTERNO: Consulte notre guide de gestion documental ISO pour organizar eficientemente toute la documentation du système de sécurité.
📩 CTA: A besoin de redactar ou examiner sont politique de sécurité de l'information? Contacte avec nosotros. Le ayudamos a créer une politique que cumpla simultaneamente les exigences du ENS et la ISO 27001, adaptada a la réalité de sont organisation.
Auteur : Angel Ortega Castro · consultant independant en stratégie, qualité et numerisation pour PME. Lie: Analyse de Risques MAGERIT pour ENS: Guide Pratique.
Besoin d'aide sur ce sujet?
Trabaja conmigo en Adequation au ENS
Conseil a mesure en adequation au ENS. Premiere session sans frais.
Reserver une session →El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro