ISO/IEC 27001:2022: Evaluación del desempeño
Evaluación del desempeño
La norma ISO/IEC 27001 establece en lo relativo al seguimiento, medición, análisis y evaluación que la organización determinará:
- Lo que debe monitorearse y medirse, incluidos los procesos y controles de seguridad de la información.
- Los métodos de seguimiento, medición, análisis y evaluación, según corresponda, para garantizar la validez de los resultados. Estos métodos producirán resultados que se podrán comparar y reproducir para que sean válidos.
- Cuando se realizará el seguimiento y la medición.
- Quién deberá monitorear y medir.
- Cuando se analizarán y evaluarán los resultados del seguimiento y la medición.
- Quién analizará y evaluará estos resultados.
La información documentada deberá estar disponible como evidencia de los resultados. La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información.
Auditoría interna
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de la seguridad de la información se ajusta a los requisitos propios de la organización. Los requisitos de la ISO/IEC 27001 se implementarán y se mantendrán de manera efectiva.
La organización debe planificar, establecer, implementar y mantener uno o varios programas de auditoría, incluida la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de informes.
Mediante el establecimiento de programas de auditoría interna, la empresa considerará la importancia de los procesos y de los resultados de las auditorías previas.
Según la ISO/IEC 27001 la organización deberá:
- Definir los criterios de auditoría y el alcance de cada una de ellas.
- Seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso.
- Asegurarse de que los resultados de las auditorías se informen a la dirección pertinente.
La información documentada deberá estar disponible como evidencia de la implementación del programa y los resultados de la auditoría.
Revisión por la dirección
La alta dirección tendrá que revisar el SGSI de la empresa a intervalos planificados para garantizar que sea idóneo, adecuado y eficaz. La revisión por la dirección incluye:
- El estado de las acciones de revisiones de gestión anteriores.
- Cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de seguridad de la información.
- Cambios en las necesidades y expectativas de las partes interesadas que sean relevantes para el sistema de gestión de seguridad de la información.
- Retroalimentación sobre el desempeño de la seguridad de la información, incluidas las tendencias en no conformidades y acciones correctivas; resultados de monitoreo y medición; resultados de la auditoría; y cumplimiento de los objetivos de seguridad de la información.
- Retroalimentación de las partes interesadas.
- Resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos.
- Oportunidades de mejora continua.
Los elementos resultantes de la revisión por la dirección incluyen decisiones relacionadas con las oportunidades de la mejora continua y de cualquier necesidad de cambio en el SGSI.
La información documentada deberá estar disponible como evidencia de los resultados de las revisiones por la dirección.
Plataforma tecnológica para ISO/IEC 27001
En este artículo solo hemos mencionado una de las cláusulas de la norma ISO/IEC 27001. Hay muchos otros que hay que tener en cuenta y con este ya hemos apreciado que es de vital importancia tener nuestro sistema de gestión perfectamente organizado, planificado y con la información esencialmente documentada. Una plataforma de gestión como ISOTools, te permitirá cumplir con todos los requisitos teniendo bajo control todo el sistema de gestión con una única herramienta.
La plataforma ISOTools es capaz de gestionar todos tus procesos y tareas, incluidos los relacionados con la ISO 27001. Te permite crear un repositorio de documentos en el que se almacenan todos los documentos relacionados con el sistema de gestión y se puede acceder a ellos en cualquier momento. Además, te brinda una plataforma en la que todas las acciones pueden ser realizadas por usuarios asignados por roles dentro de la empresa para que puedan realizar cambios u operaciones en tiempo real sin tener que preocuparse por cometer errores o equivocaciones al modificar información o realizar tareas.