ISO 27001

En el artículo anterior, hablamos sobre la parte IV del análisis de la nueva versión de ISO27001: operación. En el artículo de hoy vamos a hablar sobre la evaluación del rendimiento y la mejora continua.

Esta cláusula relacionada con la evaluación y mejora continua establece cómo se analizarán si los objetivos se están o no cumpliendo.

Monitorización, análisis, medición y evaluación

Para la evaluación del rendimiento y efectividad del SGSI se debe determinar:

• Qué necesita ser medido o monitorizado, quién y cuándo lo deberá realizar.
• Cuáles son los métodos para monitorizar, analizar, medir y evaluar, para garantizar unos adecuados resultados.
• Cuándo deben ser analizados y evaluados los resultados de medición y monitorización.
• Quién evaluará y analizará los resultados.

Auditoria interna

En el proceso de control y retroalimentación son fundamentales las actividades de verificación. Estamos hablando de la gestión de la auditoria interna. El estándar ISO 27001 determina que la empresa deberá realizar periódicamente auditorias internas con el objetivo de obtener información sobre el funcionamiento del SGSI en relación a:

• Conformidad con los requisitos de la organización para el SGSI o los del estándar.
• Eficacia en el mantenimiento e implantación.

Revisión por Dirección

Una vez realizadas las actividades de análisis de la gestión llega la fase de realizar ajustes o tomar decisiones. En el proceso de gestión del SGSI, la dirección debe revisar el SGSI periódicamente para garantizar su efectividad. La revisión realizada por la dirección deberá considerar:

• Estado de las acciones de revisiones previas.
• Cambios internos o externos relevantes del SGSI.
• Retroalimentación del rendimiento de la seguridad de la información y de las partes interesadas.
• Resultados del análisis y estado del plan de tratamiento.
• Mejora continua.

Mejora

Se trata del proceso de control y ajuste de las desviaciones del SGSI donde se corrigen aquellas cosas que no funcionan correctamente.

No conformidad y acción correctiva

Se debe indicar los requisitos cuando una no conformidad se identifique y habrá que:

• Reaccionar contra la no conformidad, cuando sea aplicable.
• Evaluar las necesidades de acciones para suprimir las causas de la no conformidad con la finalidad de no volver a repetirse.
• Implantar la acción necesaria.
• Revisar la eficiencia de las acciones correctivas.
• Realizar cambios en el SGSI.

Mejora continua

Esta subcláusula, como filosofía del ciclo PDCA o Deming, determina que el propósito de la empresa sea el de mejorar continuamente la efectividad del SGSI, es decir, mejorar año tras año las cosas que no funcionan bien, plantearse nuevos controles, reducir niveles de riesgo, etc.

ISOTools es una plataforma tecnológica que de conformidad con la norma ISO 27001 permitirá a las empresas optimizar su sistema, llevándolas hacia el camino de la excelencia.