\section{Responsabilidad}

Antes de que se apliquen las políticas de seguridad en una organización deben 
ser aprobadas, publicadas, documentadas, y comunicadas a todos sus miembros. 
Estos son los responsables de la aplicación y cumplimiento de las políticas 
de seguridad en cada una de sus áreas.\\

Todas los roles y responsabilidades de la seguridad de la información deberían
estar claramente definidas y documentadas; su asignación debería realizarse 
en concordancia con las políticas de seguridad. Las personas con responsabilidades 
en la seguridad de la información pueden delegar las tareas de seguridad a otros. 
No obstante, ellos siguen siendo responsables y debieran determinar si cualquier 
tarea delegada ha sido realizada correctamente.\\

No se recomienda que todas o la mayoría de las responsabilidades de la seguridad de 
la información y el manejo de las actividades críticas de la institución 
(ver sección 14.1) esté sobre en un grupo pequeño de personas, esto generaría 
una debilidad en la seguridad de la información, que por ejemplo se podría ver afectado
el normal funcionamiento de la institución si este grupo pequeño de personas 
por alguna razón no pueden atender sus compromisos con la institución.