Requisito 27001 de ISO 9.3: Revisión de la gestión

¿Qué implica la Cláusula 9.3?

La propia ISO dice que las revisiones deben realizarse a intervalos planificados, lo que generalmente significa al menos una vez al año y dentro de un período de supervisión de auditoría externa. Sin embargo, con el ritmo de cambio en las amenazas a la seguridad de la información y con mucho que cubrir en las revisiones de la gestión, nuestra recomendación es realizarlas con mucha más frecuencia, como se describe a continuación, y garantizar que el SGSI esté funcionando bien en la práctica, no solo marcando una casilla para Cumplimiento de normas ISO.

A menudo se subestima el valor de la revisión de la gestión del sistema de gestión de seguridad de la información (SGSI). Algunos pueden verlo como un requisito de casilla de verificación que debe cumplirse únicamente para cumplir con el requisito 27001 de ISO 9.3. Sin embargo, para realmente "vivir y respirar" las buenas prácticas de seguridad de la información, su papel es invaluable.

El propósito de la Revisión de la Gestión es garantizar que el SGSI y sus objetivos sigan siendo adecuados, adecuados y efectivos dado el propósito, los problemas y los riesgos de la organización en torno a los activos de información. Estos previamente habrán sido abordados dentro de 4.1 la organización y su contexto, 4.2 los requisitos de las partes interesadas, 4.3 alcance del SGSI y 6.1 para el trabajo de gestión de riesgos.

El trabajo previo a la revisión por la dirección y alrededor de ella permitirá a la alta dirección tomar decisiones estratégicas bien informadas que tendrán un efecto material en la seguridad de la información y la forma en que la organización la gestiona.

¿Qué debería incluirse en la revisión de la gestión de ISO 27001?

La revisión por la dirección debe, como mínimo, seguir un formato estándar que tenga en cuenta los requisitos de 9.3 para ISO 27001:2103. Estos se describen a continuación. Además, también puede ser que la organización desee incluir otros regímenes de cumplimiento en la revisión, como Cyber ​​Essentials, ISO 9001 y otras buenas prácticas, para facilitar revisiones efectivas y la toma de decisiones informadas. Incluso puede vincular los aspectos de seguridad de la información del punto 9.3 con reuniones más amplias de la alta dirección o reuniones formales de la Junta Directiva. De cualquier manera, es necesario documentar los resultados y las acciones de las revisiones.

Para las organizaciones que se encuentran en la fase de implementación de su SGSI, también recomendamos que realicen revisiones de gestión semanalmente como parte de un hábito de creación de buenas prácticas, e incluyan lecciones de implementación, objetivos y cuestiones del próximo período junto con aquellos elementos de la agenda de gestión formal que puedan ser tapado. A los auditores externos realmente les gusta ver que la organización adopte el espíritu de la revisión de la gestión y les gusta ver la efectividad del trabajo de planificación e implementación, que también se ajusta a los requisitos de la cláusula 7.5 y la cláusula 8 para la operación.

La agenda formal de revisión por la gestión de ISO 27001 9.3 debe incluir la consideración de:

• El estado de las acciones de revisiones anteriores de la dirección.
• Cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de seguridad de la información.
• Comentarios sobre el desempeño de la seguridad de la información, incluidas las tendencias en:
• no conformidades y acciones correctivas;
• resultados de seguimiento y medición;
• resultados de la auditoría; y
• cumplimiento de los objetivos de seguridad de la información.
• Comentarios de los interesados
• Resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos; y
• Oportunidades de mejora continua.

Quizás también quieras agregar un punto adicional:

• Acordar el enfoque de la auditoría para el próximo período. Esto es opcional si usted es una organización ágil y no puede especificar completamente todo el programa de auditoría y planificar con demasiada anticipación. Sin embargo, tenga en cuenta que algunos auditores externos quieren más claridad sobre todo el programa para el ciclo de certificación.

Los resultados de la revisión de la gestión deben incluir decisiones relacionadas con oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información.

¿Quién debería asistir a la Revisión de la Gestión ISO 27001?

Teniendo en cuenta lo anterior, queda claro que, dada la debida consideración, la revisión de la gestión de ISO 27001 es una herramienta indispensable para garantizar que el SGSI siga siendo eficaz para ayudar a la organización a lograr los resultados previstos a partir de las inversiones en gestión de seguridad de la información.

Para que el SGSI sea eficaz en una organización, necesita el compromiso de la alta dirección y, como tal, tiene sentido que los miembros de una “Junta” de SGSI tengan autoridad en asuntos relacionados con la seguridad de la información. Normalmente, una junta de SGSI podría incluir al director de seguridad de la información (CISO) y otros altos directivos junto con los representantes que gestionan el SGSI en la práctica. Las funciones relacionadas con la seguridad de la información no necesitan ser de tiempo completo ni exclusivas, pero sí necesitan claridad en las funciones, responsabilidades y autoridades, como se describe en la cláusula 5.3. Tener una Junta de SGSI también ayuda en ese proceso.

Los resultados de la revisión de la gestión incluirán decisiones relacionadas con oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información.

¿Cuál es la frecuencia ideal de revisión por la dirección?

Existe un requisito mínimo de realizar una revisión por la dirección una vez al año y con mayor frecuencia si hay algún cambio material que pueda afectar la seguridad de la información y el SGSI. Sin embargo, la frecuencia estará definida por el requisito de la dirección de monitorear el éxito del SGSI. También existe el peligro de que, cuanto mayor sea el intervalo, mayor será el trabajo que supondrá la revisión del período anterior. También aumenta el riesgo de fallos en el SGSI que no se identifican con prontitud.

Por ese motivo, recomendamos una suscripción mensual, bimestral o incluso trimestral si su SGSI es bastante estable. Ciertamente, las revisiones de la gestión deben realizarse a intervalos planificados para garantizar que el SGSI siga siendo "adecuado, adecuado y eficaz".

Para aquellos que buscan la certificación ISO 27001 de su SGSI, también es importante tener en cuenta que existe el requisito de demostrar, durante la auditoría documental de la Etapa 1, que se están realizando revisiones periódicas.

Sugerimos revisiones de gestión semanales previas a la auditoría de la Etapa 1, ya que esto mantendrá su proyecto de implementación en marcha, creará el hábito y, en un mes, habrá acumulado evidencia suficiente, utilizando el sencillo programa de Revisión de Gestión en la plataforma, para satisfacer al auditor y entre en el ritmo para futuras revisiones.

Revisiones de gestión utilizando ISMS.online

ISMS.online simplifica la gestión de su SGSI completo, incluidas las revisiones de gestión para la seguridad de la información.

ISMS.online reúne todo en un entorno en línea seguro donde puede colaborar con colegas, capturar la evidencia requerida una sola vez y navegar fácilmente hasta ella antes, durante y después de la revisión.