La Política de Seguridad de la Información

He recibido la siguiente pregunta: La política de seguridad de la información que incluye el paquete de documentos se puede clasificar como pública?? Además sería necesario implementar otras políticas de alto nivel como por ejemplo la “Política de Seguridad” (Generál), y la Política del SGSI?? Respuesta: "Pública" significa que puede ser visto por todo el mundo, y aunque algunas empresas definen este documento como público, publicándolo en sus páginas webs, a mi no me gusta, porque el documento puede mostrar información sobre la organización que puede ser utilizada por atacantes (soy hacker etico, y puedo usar esta información para preparar un ataque). Por tanto, mi recomendación es clasificar este documento como "Interno". Más información: "Information classification according to ISO 27001" https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/ Con respecto al documento de la política, recomiento tener 1 única Política de Seguridad de la Información. Esto te puede interesar: "One Information Security Policy, or several p olicies?" https://advisera.com/27001academy/blog/2013/06/18/one-information-security-policy-or-several-policies/ Y también te puede interesar esto: "Política de seguridad de la información: ¿Qué nivel de detalle debería de tener?" https://advisera.com/27001academy/es/blog/2010/05/26/politica-de-seguridad-de-la-informacion-que-nivel-de-detalle-deberia-tener/ Y puedes descargarte una versión gratuita del documento aquí : https://advisera.com/27001academy/es/documentation/politica-del-sgsi/