👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 4.2
ISO 27001 en su versión 2022: 4.2
Y los siguientes controles:
ISO 27001 en su versión 2013: A.18.1.1, A.18.1.2, A.18.1.4, A.18.1.5
ISO 27001 en su versión 2022: A.5.31, A.5.32, A.5.34
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a identificar los requisitos legales y contractuales de las leyes y regulaciones locales del país o países donde opera tu organización, para validar su cumplimiento con base en la implementación de tu SGSI.
💡 Recuerda que los requisitos contractuales provienen de la relación que tienes con tus colaboradores, clientes y proveedores, y éstos fueron revisados en la actividad 42. Validar requisitos de SI en contratos con empleados y proveedores del plan de acción de Hackmetrix.
¿Qué tengo que hacer? 🚀
Para analizar adecuadamente qué tipo de requisitos, leyes o regulaciones debes colocar en esta matriz, te recomendamos considerar por lo menos los siguientes aspectos:
El giro, industria o sector de tu empresa.
El tipo de información que manejas y su nivel de confidencialidad, por ejemplo datos personales, datos de tarjetas de pago, registros médicos, etcétera.
Las condiciones de trabajo, seguridad y salud que ofreces a tus colaboradores, considerando también si es trabajo en oficinas, remoto o híbrido.
Los requisitos contractuales de las partes interesadas que declaraste en tu Política de SGSI.
Los puntos anteriores son los más importantes y típicamente usados para comprender cuáles son los requisitos legales y contractuales que le aplican a tu organización, pero puedes revisar otros aspectos que consideres pertinentes para ampliar el análisis de este documento.
Una vez realizado este análisis, debes validar qué evidencias generadas por la implementación del SGSI te ayudan con el cumplimiento de dichos requisitos legales o contractuales 🗃️.
🚀 Es muy importante saber que para fines de cumplimiento normativo de ISO 27001, lo esencial es que la empresa conozca cuáles son sus responsabilidades legales y contractuales, y cómo su SGSI ayuda con el cumplimiento de ellas, porque recordemos que las mejores prácticas que propone la normativa no están por sobre las leyes, y se debe garantizar que los requisitos están alineados.
Por ejemplo, el control “A.6.1 Chequeo” de la ISO 27001:2022 solicita que se realice una verificación de antecedentes a todos los candidatos, pero puede ser que algunas regulaciones no permitan verificar ciertos tipos de antecedentes, por lo que los procedimientos de selección y contratación de personal de la empresa se deben ajustar a esto.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu matriz fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Puedes solicitar apoyo del área Legal de la empresa para conocer de qué tratan las leyes o regulaciones aplicables, pero recuerda que el foco no es el cumplimiento legal, sino conocer cómo el SGSI te ayuda a cumplir con estos aspectos.
Si el alcance de tu programa de seguridad se implementa en diversos países, debes contemplar las regulaciones para cada uno de ellos.
Mantente al tanto de las nuevas leyes o regulaciones que salgan en los países donde opera tu organización.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.