\section{Responsabilidad}

Antes de que se apliquen las políticas de seguridad en una organización deben 
ser aprobadas, publicadas, documentadas, y comunicadas a todos sus miembros, 
ya que estos son los responsables de la aplicación y cumplimiento de dichas
políticas en cada una de sus áreas.

Todos los roles y responsabilidades de la seguridad de la información deberían
estar claramente definidas y documentadas. Su asignación debería realizarse 
en concordancia con las políticas de seguridad. Las personas con responsabilidades 
en la seguridad de la información pueden delegar las tareas de seguridad a otros. 
No obstante, ellos siguen siendo responsables y deberán determinar si cualquier 
tarea delegada ha sido realizada correctamente.

No se recomienda que todas o la mayoría de las responsabilidades de la seguridad de 
la información y el manejo de las actividades críticas de la organización 
 estén sobre un grupo pequeño de personas. Esta situación  generaría 
una debilidad en la seguridad de la información, que por ejemplo podría afectar 
al normal funcionamiento de la organización si este grupo pequeño de personas 
por alguna razón no pueden atender sus compromisos.