👉¿Se deben considerar los requisitos contractuales tanto con clientes como con proveedores?
R: Sí, es correcto. Recomendamos revisar los contratos que se tengan con todas las partes interesadas que se encuentren dentro del alcance de su SGSI.
👉¿Cuáles son los aspectos mínimos que debo tener en cuenta para la identificación de los requisitos legales aplicables a mi empresa?
R: Lo primero que recomendamos tener en consideración es el enfoque, giro o industria a la que pertenece la empresa, ya que puede existir leyes particulares para dicho sector, y esto te facilitará la identificación de los requisitos legales pertinentes.
Ahora bien, los aspectos legales que debes considerar sobre temas de seguridad de la información son los siguientes:
Derechos de propiedad intelectual.
Protección de datos personales.
Regulación de controles criptográficos.
Gestión de las transferencias de información con terceros.
Leyes de trabajo, de salud y/o de seguridad medioambiental que protegen a los empleados, etcétera.
💡 La aplicabilidad de de estas leyes u otras, depende también del país donde opera tu organización.
👉¿Cuál es el objetivo de esta actividad?
R: Los objetivos de esta actividad son los siguientes:
Identificar leyes o regulaciones que puedan impactar en su programa de seguridad.
Identificar cómo la evidencia que están generando con la implementación del SGSI los ayuda a cumplir algunas de las leyes y regulaciones aplicables a la empresa.
Identificar si alguno de los controles de la normativa podría entrar en conflicto con lo definido por las leyes (recordemos que un estándar de seguridad no está por sobre la ley).
💡 Un ejemplo de esto es que la norma puede recomendar realizar verificación de antecedentes a los candidatos de la empresa, sin embargo en algunos países esto puede estar prohibido.
👉¿Qué debo tener como evidencia de cumplimiento de estos requisitos legales y/o contractuales?
R: Recordemos que el objetivo de esta actividad, y en general de lo solicitado por el estándar de ISO, no es cumplir con las leyes en su totalidad (eso debería ser un proyecto independiente), sino identificar cómo la implementación de un SGSI permite alinearse a ellas.
Por lo que la evidencia de cumplimiento para esta actividad es básicamente la misma que has generado durante la implementación de tu SGSI. Por ejemplo:
Seguramente los requisitos de las leyes de trabajo se cumplen con los contratos que mantienen con sus colaboradores, y los procesos definidos para su área de Recursos Humanos.
Tus políticas de seguridad y privacidad de la información te pueden ayudar a cumplir con los requisitos de las regulaciones sobre protección de datos personales.
Tus políticas y lineamientos de seguridad física pueden ayudarte a cumplir con las leyes de seguridad, higiene y medio ambiente, etcétera.