Cómo realizar su revisión de gestión ISO 27001
Tabla de contenido:
- 1) ¿Cuál es el propósito de la Revisión de la Gestión ISO 27001:2013?
- 2) ¿Qué debería incluirse en la revisión de la gestión?
- 3) ¿Quién debería asistir a la revisión por la dirección?
- 4) Frecuencia de revisión por la dirección
- 5) Cómo gestionar las comunicaciones y las acciones
- 6) « Cómo redactar un informe de auditoría interna para ISO 27001
- 7) Los mejores consejos para su primera auditoría ISO 27001 Etapa 2 »
¿Cuál es el propósito de la Revisión de la Gestión ISO 27001:2013?
A menudo se subestima el valor de la revisión de la gestión del sistema de gestión de seguridad de la información (SGSI).
Algunos pueden verlo como un requisito que debe cumplirse únicamente para cumplir ISO 27001 requisito 9.3. Sin embargo, para realmente "vivir y respirar" las buenas prácticas de seguridad de la información, su papel es invaluable.
El propósito de la Revisión de la Gestión es garantizar que el SGSI y sus objetivos sigan siendo adecuados, adecuados y eficaces teniendo en cuenta el propósito, los problemas y los riesgos de la organización. Estos se habrán abordado previamente dentro 4.1 La organización y su contexto, 4.2 Los requisitos de las partes interesadasy 6.1.Gestión de riesgos .
Los resultados de la La revisión de la gestión permitirá a la alta dirección tomar decisiones bien informadas., decisiones estratégicas que tendrán un efecto material en la seguridad de la información y la forma en que la organización la gestiona.
¿Qué debería incluirse en la revisión de la gestión?
La revisión por la dirección debe seguir un estándar formato que analiza las expectativas de ISO 27001:2103.
También puede ser que la organización desee incluir otros regímenes de cumplimiento en la revisión, como Cyber Essentials, ISO 9001 y otras buenas prácticas, para facilitar revisiones efectivas y la toma de decisiones informadas.
La revisión de la gestión de ISO 27001 debe incluir la consideración de:
a) el estado de las acciones de revisiones anteriores por la dirección;
b) cambios en cuestiones externas e internas que son relevantes para la gestión de la seguridad de la información sistema;
c) retroalimentación sobre el desempeño de la seguridad de la información, incluidas tendencias en:
- no conformidades y correctivas comportamiento;
- seguimiento y medición resultados;
- auditoría resultados; y
- cumplimiento de objetivos de seguridad de la información.
d) retroalimentación de partes interesadas;
e) resultados de evaluación_riesgo”>evaluación de riesgos y estado del tratamiento de riesgos plan; y
f) oportunidades para mejora continua.
También es posible que desee agregar un punto adicional g) Acordar el enfoque de la auditoría para el próximo período. Esto es opcional si eres ágil. organización y no es capaz de especificar completamente todo el programa de auditoría y planificar con demasiada antelación. ¡Pero tenga en cuenta que algunos auditores externos quieren más claridad sobre todo el programa durante el ciclo de certificación!
Los resultados de la revisión por la dirección deben incluir decisiones relacionadas con mejora continua oportunidades y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información.
¿Quién debería asistir a la revisión por la dirección?
Teniendo en cuenta lo anterior, es claro ver que, si se considera debidamente, la ISO 27001 La revisión por la dirección es indispensable. del IRS para garantizar que el SGSI siga siendo eficaz en uno de sus objetivos clave, el de mitigar riesgos de seguridad de la información.
Para que el SGSI sea efectivo en una organización, se necesita personal directivo superior. compromiso de gestión y, como tal, tiene sentido que los miembros de una “Junta” de SGSI tengan autoridad en asuntos relacionados con la seguridad de la información.
Normalmente, una junta de SGSI podría incluir al director de seguridad de la información (CISO), al propietario senior de riesgos de la información (SIRO), al director técnico y tal vez incluso al director ejecutivo.
Los resultados de la revisión por la dirección incluirán decisiones relacionadas con mejora continua oportunidades y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información.
Frecuencia de revisión por la dirección
Existe un requisito mínimo para realizar una revisión de gestión una vez al año, y con mayor frecuencia si hay algún cambio material que pueda afectar la seguridad de la información y el SGSI.
Sin embargo, la frecuencia estará definida por el requisito de la dirección de monitorear el éxito del SGSI. También existe el peligro de que, cuanto mayor sea el intervalo, mayor será el trabajo que supondrá la revisión del período anterior. También aumenta el riesgo de fallos en el SGSI que no se identifican con prontitud.
Por ese motivo, recomendamos una suscripción mensual, bimestral o incluso trimestral si su SGSI es bastante estable. Ciertamente, Las revisiones de la dirección deben tener lugar en las fechas previstas. intervalos para garantizar que el SGSI siga siendo "adecuado, adecuado y eficaz".
Para los que buscan Certificación ISO 27001 de su SGSI, también es importante tener en cuenta que existe el requisito de demostrar, durante la auditoría documental de la Etapa 1, que se están llevando a cabo revisiones periódicas.
At SGSI.online sugerimos revisiones semanales de la gerencia antes de la auditoría de la Etapa 1, ya que esto mantendrá su proyecto de implementación en marcha, desarrollará el hábito y, dentro de un mes, habrá acumulado suficiente evidencia, utilizando la sencilla herramienta. Programa de Revisión de Gestión en la plataforma, para satisfacer al auditor.
Cómo gestionar las comunicaciones y las acciones
Normalmente, una revisión por la dirección implicará hacer circular, por correo electrónico con antelación, las invitaciones a las reuniones, la agenda, las pruebas y los informes para la revisión, o para respaldar la revisión, y los elementos anteriores que requirieron acción.
Durante la revisión se pueden tomar notas de los hallazgos para su posterior redacción y distribución.
Las áreas identificadas para acciones correctivas y mejoras también deberán documentarse y asignarse a las personas que serán responsables de completar estas acciones.
En cada paso, se debe conservar evidencia para satisfacer al auditor externo de que la revisión y los procesos se están llevando a cabo y son efectivos.
¡Son muchos correos electrónicos, mucha planificación y muchas pruebas!
Imagina una en línea programa de revisión de la gestión ¿Eso hizo que fuera sencillo configurar su equipo de la Junta de SGSI, programar revisiones y seguir una agenda estándar, vincular revisiones anteriores y toda la información necesaria, y asignar y rastrear acciones correctivas y mejoras?
estas imaginando SGSI.online eso simplifica la gestión de su SGSI completo.
Reúna todo en un entorno en línea seguro donde pueda colaborar con colegas, capture la evidencia requerida solo una vez y navegue hasta ella fácilmente antes, durante y después de la revisión.
Ni siquiera necesita que todos los miembros de la junta estén juntos en un solo lugar... ¡realícelo en línea y ahorre tiempo y gastos de viaje!
Incluir nuestro Entrenador virtual Programa de orientación experta y asesoramiento pragmático en cada una de las actividades requeridas.
