9.3. Revisión por la dirección

La alta dirección debe revisar el Sistema de Gestión de Seguridad de la Información de la organización a intervalos planificados, para asegurarse de que su conveniencia, adecuación y eficacia son continuas.

La revisión por la dirección debe incluir consideraciones sobre:

a) El estado de las acciones con relación a las revisiones previas por la dirección
b) Los cambios en las cuestiones externas e internas que sean pertinentes al Sistema de Gestión de Seguridad de la Información
c) Retroalimentación sobre el desempeño de la seguridad de la información
d) Retroalimentación de las partes interesadas
e) Resultados de la valoración de riesgos y estado del plan de tratamiento de riesgos
f) Las oportunidades de mejora continua

Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio dentro del Sistema de Gestión de Seguridad de la Información.

La organización debe conservar información documentada como evidencia de los resultados de las revisiones por la dirección.