🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

Política de Gestión de Cumplimiento

Aseguramiento del cumplimiento de requisitos legales y regulatorios

Política de Gestión de Cumplimiento

Propósito

Definir estándares y procedimientos para garantizar que la organización cumpla con obligaciones regulatorias, contractuales y estratégicas de ciberseguridad.

Objetivos

  • Cumplir leyes y regulaciones aplicables.
  • Asegurar que planes, metas e iniciativas de ciberseguridad apoyen el cumplimiento.
  • Implementar políticas, controles y proyectos que garanticen cumplimiento.
  • Mantener una hoja de ruta para la estrategia de ciberseguridad.
  • Revisar periódicamente políticas, controles y estrategias para asegurar relevancia y efectividad.
  • Documentar desviaciones y gestionar acciones correctivas.
  • Gestionar excepciones con aprobación de la gerencia.
  • Cumplir compromisos internacionales relacionados con ciberseguridad.

Alcance

Incluye estándares y procedimientos del programa de Gestión de Cumplimiento:

  • Mapeo de requisitos a políticas, controles y proyectos.
  • Pruebas y revisión regular de controles y políticas.
  • Documentación de desviaciones y excepciones.
  • Identificación, acceso, evaluación y documentación de requisitos legales y regulatorios relevantes para la continuidad del negocio (BCMS).

Estándares

Estrategia de Ciberseguridad

  • Definir, documentar y aprobar la estrategia alineada a leyes y regulaciones.
  • Ejecución y aprobación a cargo del equipo de Seguridad de la Información y el Oficial Autorizante.

Identificación de Requisitos Legales y Regulatorios

  • Cada departamento identifica requisitos externos e internos relevantes para sus procesos.
  • Mantener un Registro Legal y Regulatorio actualizado con partes interesadas y responsables.

Acceso y Evaluación

  • Determinar métodos de acceso a los requisitos (sitios web, conferencias, boletines).
  • Evaluar el impacto de los requisitos sobre operaciones y continuidad del negocio.
  • Informar a las partes interesadas sobre cambios y su impacto.

Aprobación y Mapeo

  • La gerencia aprueba requisitos legales y contractuales antes de comprometer esfuerzos.
  • Mapear cada requisito a políticas, controles y proyectos; revisar regularmente su relevancia y efectividad.

Políticas y Controles

  • Cada control debe tener políticas y procedimientos documentados y probados regularmente.
  • Revisar políticas al menos cada 12 meses o ante cambios regulatorios.
  • Corregir brechas detectadas en controles y políticas.

Gestión de Proyectos

  • Monitorear el progreso de proyectos e iniciativas de cumplimiento y ciberseguridad.
  • Tomar acciones correctivas ante retrasos o desviaciones.
  • Asegurar alineación con la estrategia de ciberseguridad.

Propiedad

  • Cada elemento de mitigación (política, control o proyecto) tiene un propietario responsable.
  • El equipo de Seguridad de la Información asigna y revisa regularmente la propiedad y responsabilidades.

Monitoreo y Revisión

  • Revisar periódicamente el programa de cumplimiento para garantizar efectividad.
  • Verificar controles, políticas, proyectos, propietarios y gestión de desviaciones.
  • Asegurar que políticas y procedimientos siguen siendo relevantes y efectivos.

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

Política de Gestión de Riesgos

Marco para identificación, evaluación y tratamiento de riesgos

Política de Gestión de Accesos

Control y gestión de acceso a sistemas y recursos de información