ISO 27001

Comité de seguridad de la información: cómo crearlo y operarlo

Por Equipo GRC360 24 de March, 2026 10 min de lectura
Comité de seguridad de la información para ISO 27001

El comité de seguridad de la información es un órgano de gobernanza que supervisa el SGSI y asegura la coordinación entre las distintas áreas de la organización. Aunque ISO 27001 no lo exige explícitamente, es una buena práctica ampliamente reconocida que facilita el cumplimiento de las cláusulas de liderazgo, revisión por la dirección y comunicación.

¿Por qué crear un comité de seguridad?

La seguridad de la información es transversal. Un comité multidisciplinario asegura que las decisiones de seguridad consideren la perspectiva de todas las áreas, que los riesgos se gestionen con visión integral (no solo tecnológica), que exista un foro formal para escalar problemas y aprobar cambios, y que la alta dirección esté informada y comprometida.

Composición recomendada

MiembroRol en el comitéPor qué participa
Gerente general o representantePresidente / SponsorDemuestra compromiso de la dirección (cláusula 5.1)
CISO / Responsable SGSISecretario técnicoCoordina la agenda, presenta informes, propone acciones
Gerente de TIMiembro técnicoControles tecnológicos, infraestructura, incidentes
Gerente de RRHHMiembroSeguridad del personal, capacitación, disciplina
Gerente de operacionesMiembroProcesos de negocio, continuidad operacional
Asesor legal / ComplianceMiembroCumplimiento regulatorio, contratos, privacidad
Representante de áreas de negocioMiembro rotativoPerspectiva de los usuarios y procesos específicos

Funciones del comité

Las funciones típicas incluyen revisar el estado del SGSI y las métricas de seguridad, aprobar políticas y procedimientos de seguridad, revisar los resultados de evaluaciones de riesgos, supervisar el tratamiento de incidentes significativos, aprobar planes de acción y asignación de recursos, preparar y revisar insumos para la revisión por la dirección, y dar seguimiento a hallazgos de auditorías internas y externas.

Frecuencia y operación

La frecuencia recomendada es trimestral para reuniones ordinarias, con reuniones extraordinarias ante incidentes graves o cambios significativos. Cada reunión debe tener una agenda predefinida, acta de la reunión anterior, presentación de indicadores, revisión de incidentes y riesgos, y acuerdos con responsables y plazos.

Buena práctica: Las actas del comité de seguridad son evidencia valiosa para la auditoría. Demuestran que la dirección participa activamente en la seguridad de la información, que los riesgos se revisan periódicamente y que se toman decisiones informadas. Guarda las actas como registros del SGSI.

Coordina tu comité de seguridad con GRC360

GRC360 proporciona dashboards ejecutivos, informes de riesgos y métricas que facilitan las reuniones del comité de seguridad con información actualizada y accionable.

Crear Cuenta Gratis

Complementa con nuestras guías sobre roles y responsabilidades, revisión por la dirección y métricas del SGSI.

SGSI Auditoría Gobernanza
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis