9.3. Revisión por la dirección

9.3. Revisión por la dirección

9.3.1 Generalidades

La alta dirección debe revisar el sistema de gestión de la seguridad de la información de la organización a intervalos planificados para garantizar su idoneidad, adecuación y eficacia continuas.

9.3.2 Entradas de la revisión por la dirección

La revisión por la dirección incluirá la consideración de:

1. 1. El estado de las acciones de revisiones de gestión anteriores.
   2. Cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de seguridad de la información.
   3. Cambios en las necesidades y expectativas de las partes interesadas que sean relevantes para el sistema de gestión de seguridad de la información.
   4. Retroalimentación acerca del desempeño de la SI, incluyendo las tendencias en:

1. 1. 1. No conformidades y acciones correctivas.
      2. Resultados de monitoreo y medición.
      3. Resultados de la auditoría.
      4. Cumplir con los objetivos de SI.

1. 5. Retroalimentación de las partes interesadas.
   6. Resultado de la evaluación de riesgos y estado del plan de tratamiento de riesgos.
   7. Oportunidades de mejora continua.

9.3.3 Resultados de la revisión por la dirección

Los resultados de la revisión por la dirección incluirán decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la seguridad de la información.
La información documentada tendrá que estar disponible como prueba de los resultados de la revisión por la dirección.