ISO 27001 Cláusula 5.2 / 5.3
¿La Alta Dirección ha aprobado formalmente una Política de Seguridad de la Información y ha designado un DPO/responsable SGSI mediante acto administrativo documentado?
Solicitar la Política de Seguridad firmada por Gerencia. Verificar acto de designación del DPO. Entrevistar a la Gerencia para confirmar su comprensión del principio de Accountability (Ley 1581 Art. 26).
Política de Seguridad con control de versiones, firma de la Gerencia y fecha de aprobación. Resolución/acta de designación del DPO. Comité SGSI con actas trimestrales.
OmniControl no cuenta con DPO designado ni con Política de Seguridad formal aprobada por Gerencia, lo cual es un incumplimiento de la Ley 1581 y un hallazgo crítico del análisis de contexto. La Gerencia tiene impacto 10x10 (Catastrófico) en la Matriz de Partes Interesadas.
- 01¿Existe el documento de Política de Seguridad?
- 02¿Está firmado por la Alta Dirección con fecha y versión?
- 03¿Hay acto administrativo o resolución de designación del DPO?
- 04¿La Gerencia comprende y articula el principio de Accountability (Ley 1581 Art. 26)?
- 05¿Se realizan Comités SGSI con actas trimestrales?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.