\section{Responsabilidad}

Antes de que se aplique las políticas de seguridad en una institución, deben ser aprobadas, publicadas, documentadas, y comunicadas a todos sus miembros. Estos son los responsables de la aplicación y cumplimiento de las políticas de seguridad dentro de cada una de sus áreas.\\

Todas los roles y responsabilidades de la seguridad de la información debiera estar claramente definidas, y documentada y su asignación debería realizarse en concordancia con las políticas de seguridad. Las personas con responsabilidades en la seguridad de la información pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y debieran determinar si cualquier tarea delegada ha sido realizada correctamente.\\

No se recomienda que todas o las mayoría responsabilidades de la seguridad de la información y el manejo de las actividades criticas de la institución (Cuenta de usuario crítica, ver sección 14.1) sobre caiga en un grupo pequeño de persona, esto generaría una debilidad en la seguridad de la información, Ya que por ejemplo: se podría ver afectada el normal funcionamiento de la institución si este grupo pequeño de persona por alguna razón (viajes laboral, enfermeda, vacaciones, etc) no puedan asistir a la institución