firma-e@firma-e.com   968 93 18 12 Blog
Firma-e
  • La empresa¿Qué hacemos?
  • EquipoNosotros
  • Servicios¿Qué hacemos?
    • Gestión electrónica
      • PRP. Facturación Electrónica a Empresa Privada y AAPP
      • PRP. Recepción Facturas de Proveedores
      • PRP. Gestión Documental Electrónica
      • PRP. Soporte y Atención al Cliente
      • Facturación Electrónica ERPs
    • Ciberseguridad / GRC
      • Análisis de Riesgos
      • Test de Intrusión
      • Implantación ISO 27001
      • ENS – Esquema nacional de seguridad
      • INES – Informe Nacional del Estado de Seguridad
    • Privacidad y Protección de Datos
      • Implantación RGPD
      • Auditoría RGPD
      • Delegado de Protección de Datos (DPD)
      • Formación
      • Adecuación a la LSSICE
  • ReferenciasNuestros clientes
  • PartnersNuestras alianzas
  • Área PrivadaProveedores / Clientes

ISO 27001:2013 – Análisis detallado de la nueva versión (4 de 4)

  • Inicio
  • Blog
  • ISO 27001:2013 – Análisis detallado de la nueva versión (4 de 4)

ISO 27001:2013 – Análisis detallado de la nueva versión (4 de 4)

Por: Firma-e 18/10/2013 Categoría: Ciberseguridad/GRC

Puedes leer las anteriores entregas:

– ISO 27001:2013 – Análisis detallado de la nueva versión (parte 1 de 4)

– ISO 27001:2013 – Análisis detallado de la nueva versión (parte 2 de 4)

– ISO 27001:2013 – Análisis detallado de la nueva versión (parte 3 de 4)

9. Evaluación del rendimiento.

Este es otro de los apartados más importantes de este reenfoque de la gestión hacia la búsqueda de resultados. Si en la cláusula 6.2 Objetivos hemos definido cuales son los beneficios esperados del funcionamiento del SGSI, en esta cláusula 9 se establece cómo se analizará si dichos objetivos se están o no cumpliendo.

9.1. Monitorización, medición, análisis y evaluación.

Para que la organización pueda evaluar el rendimiento y la efectividad del SGSI, se tiene que concretar y determinar:

A)    que necesita ser monitorizando y medido, incluyendo los procesos de seguridad y controles.

B)    los métodos para monitorizar, medir, analizar y evaluar, cuando sea aplicable, para asegurar unos resultados adecuados.

C)   cuando las monitorizaciones y mediciones deberán ser realizadas.

D)    quién deberá monitorizar y medir.

E)     cuando los resultados de la monitorización y medición deberán ser analizados y evaluados (rangos de normalidad y anomalía)

F)     quien analizara y evaluara estos resultados.

9.2 Auditoría interna.

Otra de las actividades fundamentales dentro del proceso de retroalimentación y control de todo sistema es la actividad de verificación o chequeo. En este caso, corresponde al proceso de gestión de la auditoría interna. La norma determina que la organización deberá realizar auditorías internas a intervalos planificados para obtener información sobre el funcionamiento del SGSI en relación a:

A)    es conforme con:

  1. los requisitos propios de la organización para el SGSI.
  2. los requisitos del estándar.

B)    está eficientemente implantado y mantenido. De nuevo se debe valorar el logro de  los resultados esperados.

Para ello, se debe planificar, establecer, implementar y mantener un programa de auditoría, incluyendo la frecuencia de las mismas, los métodos, responsabilidades, requisitos de planificación e informes. De este proceso es esencial asegurar que los resultados se reportan a la dirección aunque ello se consigue en el proceso de Revisión por Dirección al considerar la auditoría como una de las entradas a dicho proceso.

9.3. Revisión por Dirección.

Como resultado de las actividades de análisis de la gestión (Monitorización, medición y auditoría interna) debe llegar la fase de toma de decisiones o de realización de ajustes. En todo ciclo de control de sistemas, las desviaciones son gestionadas modificando los criterios de control para lograr que cambien las cosas y que las salidas sean las esperadas. En este proceso de gestión del SGSI, la alta dirección deberá revisar el SGSI a intervalos planificados para asegurar su continúa adecuación, vigencia y efectividad. En este caso, la revisión por la dirección deberá considerar como entradas:

A)    el estado de las acciones de anteriores revisiones.

B)    cambios en asuntos internos o externos que sean relevantes para el SGSI.

C)   retroalimentación del rendimiento de la seguridad de la información, incluyendo estadísticas sobre:

  1. no conformidades y acciones correctivas.
  2. medición de la monitorización y la medición de resultados
  3. resultados de las auditorías,
  4. cumplimiento de los objetivos de seguridad.

D)    retroalimentación de las partes interesadas.

E)     resultados del análisis de riesgos y del estado del plan de tratamiento.

F)     oportunidades de mejora continúa.

La salida de la revisión de la dirección deberá incluir las decisiones relativas a las oportunidades de mejora continua y las necesidades de cambios del SGSI.

10. Mejora

Esta es el proceso de ajuste o de control de desviaciones del SGSI donde las cosas que no funcionan de forma adecuada son documentadas para aplicar acciones de corrección que mitiguen tanto las consecuencias directas como las causas que las ocasionan.

10.1. No conformidad y acción correctiva.

Esta subcláusula ahora está más claramente descrita y formaliza mejor el proceso de gestión de no conformidades y acciones correctivas indicando como requisitos que cuando una no conformidad se identifique habrá que:

A)    reaccionar contra la no conformidad y cuando sea aplicable:

  1. tomar acciones para controlar y corregirla, y
  2. tratar con sus consecuencias.

B)    evaluar las necesidades de acciones para eliminar las causas de la no conformidad con el objetivo de que no se repita u ocurra de nuevo, mediante:

  1. revisando la no conformidad.
  2. determinando las causas de la no conformidad.
  3. determinando si existen similares no conformidad es o si potencialmente podrían ocurrir.

C)   implementar la acción necesaria.

D)    revisar la efectividad de las acciones correctivas tomadas

E)     hacer cambios en el SGSI si fueran necesarios.

Las acciones correctivas deberán ser adecuadas para los efectos de las no conformidades encontradas.

10.2. Mejora continua

Como filosofía general del ciclo de Deming o PDCA, esta subcláusula determina que el propósito fundamental de la organización deberá ser el mejorar de forma continua la vigencia, adecuación y efectividad del SGSI, es decir, año tras año debe buscarse el consolidar las cosas que se hacen bien, mejorar las que no funcionan o plantearse nuevos controles para seguir reduciendo niveles de riesgo y los umbrales de aceptación de los mismos.

Etiquetas:

Seguridad SGSI

Compartir

Tweet

Lo más leído

  • Pilares de la Seguridad de la Información: confidencialidad, integridad y disponibilidad publicado el octubre 14, 2014
  • ¿Qué es un SGSI – Sistema de Gestión de Seguridad de la Información? publicado el febrero 19, 2013
  • ¿Qué es el Esquema Nacional de Seguridad – ENS? ¿Cuál es su ámbito de aplicación y sus objetivos? publicado el febrero 14, 2013
  • ¿Qué es un Test de Intrusión? (1ª parte) publicado el marzo 11, 2013
  • Firma electrónica: tipos de firma y sus diferencias publicado el junio 25, 2014

Categorías

  • Actualidad
  • Ciberseguridad/GRC
  • Gestión electrónica
  • Privacidad y Protección de Datos

Entradas recientes

  • PLATAFORMA INTELIGENTE FIRMA-E EUROPEA
  • Ciberseguridad, una asignatura obligada que pocos aprueban
  • OFICIALMENTE ya tenemos nueva Ley de Protección de Datos Personales ¿Cuáles son sus principales novedades?
  • Modificaciones “Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales”
  • ¿A qué empresas aplica la Factura Electrónica a través de FACeB2B?

Nuestra oficina

  • Av. Teniente Montesinos, 8, Edificio Z, 3ª planta, 30100 Espinardo, Murcia
    +34 968 93 18 12
    +34 868 94 26 41
    firma-e@firma-e.com

Info Face

Localización

– Ver en Google maps –

Contacto




Acepto la política de privacidad y protección de datos
Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES
Responsable: Firma, Proyectos y Formación S.L.; Finalidad: gestionar su solicitud de contacto; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.

© Firma, proyectos y formación, S.L. - 1999-2019
  • Contacto
  • Aviso Legal
  • Política de Privacidad
  • Política de Cookies
  • Política Corporativa de Calidad
  • Política Corporativa de Seguridad
NEWSLETTER

Introduce tu email para estar informado de todas las novedades

Acepto la política de privacidad y de datos

Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES

Responsable: Firma, Proyectos y Formación S.L.; Finalidad: enviarle las novedades y publicaciones informativas llevadas a cabo en Firma-e; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.