Aspectos Organizativos para la Seguridad

Organización interna El objetivo es gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestiona para iniciar y controlar la implantación de la seguridad de la información. Comité de gestión de seguridad de la información Control, La gerencia debe apoyar activamente en la seguridad a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades. Guía de implementancion 
1. asegurar que las metas de la seguridad de información sean identificadas, relacionarlas con las exigencias organizacionales y que sean integradas en procesos relevantes; 
2. formular, revisar y aprobar la política de seguridad de información; 
3. revisión de la efectividad en la implementacion de la política de información;
 4. proveer direcciones claras y un visible apoyo en la gestión para iniciativas de seguridad; 

Coordinación de la seguridad de la información

 Control, La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes. Guía de implementacion 
1. asegurar que las actividades de seguridad sean ejecutadas en cumplimiento con la política de seguridad; 
2. identificar como manejar los no cumplimientos; 
3. aprobar metodologías y procesos para seguridad de información, como por ejemplo la evaluación del riesgo y la clasificación de información; 

Acuerdos de confidencialidad 

Control, Requerimientos de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente. 
Guía de implementacion:
 1. una definición de la información a ser protegida;
2. duración esperada del acuerdo, incluyendo casos donde la confidencialidad pueda necesitar ser mantenida indefinidamente; 
3. acciones requeridas cuando un acuerdo sea finalizado; 

Seguridad en los accesos de terceras partes

 El objetivo es mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros
.
Identificación de riesgos por el acceso de terceros

Control, Los riesgos a la información y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso.

Requisitos de seguridad cuando sea trata con clientes 

Control, Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso.

 Guía de implementancion

 1. protección de activos, incluyendo:
 (a) procedimientos para proteger los activos de la organización, incluida la información y el software;
 (b) procedimientos para determinar si ha ocurrido algún incremento del riesgo de los activos, por ejemplo, una perdida o modificación de datos;
 (c) medidas de integridad;
 (d) restricciones en la copia o divulgación de la información