9.3. Revisión por la dirección
9.3. Revisión por la dirección
La alta dirección debe revisar el Sistema de Gestión de Continuidad de Negocio de la empresa, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia.
La revisión por la dirección debe incluir la consideración de:
a) El estado de las acciones de anteriores revisiones por la dirección.
b) Los cambios en cuestionar externas e internas que son relevantes para el Sistema de Gestión de Continuidad de Negocio.
c) Información sobre el rendimiento de la continuidad del negocio, incluyendo las tendencias en cuanto a las no conformidades y acciones correctivas, resultados de seguimiento y medición de evaluación, además de los resultados de auditoría.
d) Oportunidades para la mejora continua.
La revisión por la dirección debe tener en cuenta el rendimiento de la empresa, incluyendo:
• Las acciones de seguimiento de revisiones por la dirección previas.
• Las necesidades de cambios en el Sistema de Gestión de Continuidad de Negocio, incluyendo la política y los objetivos.
• Oportunidades para mejorar.
• Los resultados de las auditorías del Sistema de Gestión de Continuidad de Negocio.
• Las técnicas, productos o procedimientos que pueden ser utilizados en la empresa para mejorar el Sistema de Gestión de Continuidad de Negocio.
• Estado de acciones correctivas.
• Los resultados de las pruebas de ejercicio.
• Riegos o problemas que no se abordan de forma adecuada en cualquier evaluación de riesgo conocido.
• Cualquier cambio que pueda afectar al Sistema de Gestión de Continuidad de Negocio, ya sea interno o externo.
• La adecuación de la política.
• Recomendaciones para la mejora.
• Lecciones aprendidas y acciones derivadas de incidente perturbadores.
• Buenas prácticas emergentes y orientación.
Las salidas de la revisión por la dirección deben incluir decisiones relacionadas con la oportunidad de la mejora continua.
Las salidas de la revisión por la dirección deben incluir decisiones que están relacionadas con las oportunidades de mejora continua y la posible necesidad de cambios en el Sistema de Gestión de Continuidad de Negocio, e incluyen los siguientes:
a) Las variaciones en el alcance del Sistema de Gestión de Continuidad de Negocio.
b) La mejora de la eficacia del Sistema de Gestión de Continuidad de Negocio.
c) La actualización de la evaluación de riesgos, análisis de impacto de negocio, planes de continuidad de negocio y procedimientos relacionados.
d) La modificación de todos los procedimientos y controles para responder a eventos internos o externos que puedan impactar en el Sistema de Gestión de Continuidad de Negocio. Se deben incluir los requisitos de negocio, la reducción de riesgos, las condiciones de funcionamiento, los requisitos legales, las obligaciones, los niveles de riesgo, las necesidades de recursos y las necesidades de financiación.
e) ¿Cómo se mide la eficacia de los controles?
La empresa conservará información documentada como evidencia de los resultados de las revisiones por la dirección.
La empresa debe:
• Comunicar todos los resultados del examen de la gestión a las partes interesadas.
• Tomar las medidas apropiadas en relación con los resultados.
