Ir al contenido
SGSI.online

ISO 27701:2025 Cláusula 9: Evaluación del desempeño

La cláusula 9 abarca la fase de "Verificación" del ciclo PDCA. Requiere que supervise y mida el rendimiento del PIMS, realice auditorías internas y lleve a cabo revisiones de gestión para garantizar que su sistema de gestión de la privacidad siga siendo eficaz.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué exige la cláusula 9?

La cláusula 9 corresponde a la fase de “Verificación” del ciclo Planificar-Hacer-Verificar-Actuar. Establece cómo su organización evalúa el desempeño y la eficacia del Sistema de Gestión de Información de Privacidad (PIMS) mediante tres mecanismos: monitoreo y medición, auditoría interna y revisión de la dirección.

Las auditorías internas evalúan la conformidad con respecto a la Controles del anexo A y requisitos del sistema de gestión.

9.1 Seguimiento, medición, análisis y evaluación

La organización determinará:

  • Qué es lo que se debe monitorear y medir — Incluyendo procesos, controles y objetivos de privacidad.
  • Los métodos — Para el seguimiento, la medición, el análisis y la evaluación para garantizar resultados válidos.
  • Al — Se realizará el seguimiento y la medición
  • Al — Los resultados serán analizados y evaluados.

La organización debe conservar la información documentada como evidencia de los resultados. Un monitoreo efectivo va más allá de la simple verificación del cumplimiento. Debe evaluar si los controles de privacidad están logrando los resultados previstos y si el PIMS en su conjunto está ofreciendo el rendimiento de privacidad deseado.

Las métricas comunes incluyen:

  • Tiempos de respuesta y tasas de finalización de las solicitudes de los interesados
  • Recuento de incidentes de privacidad, niveles de gravedad y tiempos de resolución.
  • Tasas de finalización de la formación y puntuaciones de la evaluación de concienciación
  • Progreso en la implementación del plan de tratamiento de riesgos
  • Resultados de la evaluación de cumplimiento de proveedores
  • Tasas de finalización de la evaluación de impacto en la privacidad para nuevas actividades de procesamiento

9.2 Auditoría interna

9.2.1 general

La organización llevará a cabo auditorías internas a intervalos planificados para proporcionar información sobre si el PIMS:

  • Cumple con los requisitos propios de la organización para su PIMS.
  • Cumple con los requisitos de la norma ISO 27701:2025.
  • Se implementa y mantiene de manera efectiva.

9.2.2 Programa de auditoría interna

La organización deberá planificar, establecer, implementar y mantener un programa de auditoría, que incluya:

  • Frecuencia — Intervalos de auditoría (normalmente anuales para un ciclo completo, con auditorías específicas más frecuentes)
  • Métodos — Cómo se realizarán las auditorías (revisión de documentos, entrevistas, observación, pruebas)
  • Responsabilidades — ¿Quién realizará las auditorías? (Debe ser objetivo e imparcial)
  • Requisitos de planificación — Consideración de la importancia de los procesos en cuestión y de los resultados de auditorías anteriores.
  • Criterios y alcance — ¿Qué se está auditando y con qué requisitos?
  • Informes — Los resultados deben comunicarse a la dirección correspondiente.

El programa de auditoría y sus resultados deben conservarse como información documentada.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


9.3 Revisión de la dirección

9.3.1 general

La alta dirección revisará el PIMS a intervalos planificados para garantizar su continua idoneidad, adecuación y eficacia.

9.3.2 Aportaciones para la revisión de la dirección

La revisión de la gestión deberá incluir la consideración de:

  • El estado de las acciones de revisiones anteriores de la dirección.
  • Cambios en cuestiones externas e internas que son relevantes para el PIMS.
  • Cambios en las necesidades y expectativas de las partes interesadas que sean relevantes para el PIMS.
  • Información sobre el rendimiento del PIMS, incluidas las tendencias en no conformidades y acciones correctivas, los resultados de monitoreo y medición, y los resultados de auditoría.
  • Oportunidades para la mejora continua

9.3.3 Resultados de la revisión de la dirección

Los resultados de la revisión de la gestión incluirán decisiones y acciones relacionadas con:

  • Oportunidades de mejora continua
  • ¿Es necesario realizar algún cambio en el PIMS?

La información documentada debe conservarse como evidencia de los resultados de la revisión de la gestión. Estos registros demuestran que la alta dirección participa activamente en la supervisión del PIMS, un requisito fundamental que los auditores examinarán detenidamente.

¿Qué relación tiene esto con el RGPD?

  • Artículo 5 (2) — El principio de rendición de cuentas requiere demostrar el cumplimiento, lo cual se apoya directamente mediante el monitoreo y la auditoría.
  • Artículo 39 (1) (b) — El seguimiento del cumplimiento por parte del DPO se ajusta a los requisitos del programa de auditoría interna.
  • Artículo 32, apartado 1, letra d) — Un proceso para probar, evaluar y valorar periódicamente la eficacia de las medidas, respaldado directamente por la Cláusula 9
  • Artículo 24 — Responsabilidad del controlador de revisar y actualizar las medidas cuando sea necesario, con el apoyo de la revisión de la dirección.

Para ver el mapa completo, consulte la Guía de cumplimiento del RGPD.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

  • Requisitos autónomos — En 2019, la cláusula 5.7 complementó la cláusula 9 de la norma ISO 27001. Ahora los requisitos de evaluación del desempeño son completos e independientes.
  • Entradas específicas de privacidad — Los insumos de la revisión de la dirección ahora incluyen explícitamente información sobre el desempeño del PIMS y tendencias en no conformidades, resultados de monitoreo y resultados de auditoría.
  • Alcance de auditoría más claro — Las auditorías internas están explícitamente limitadas a la conformidad y eficacia del PIMS en lugar de extender un programa de auditoría del ISMS.
  • Aportes para la revisión estructurada — Los insumos de la revisión de la dirección son más detallados, con elementos específicos en lugar de referencias generales a los insumos de la norma ISO 27001.

Para una visión más amplia, consulte Novedades de la norma ISO 27701:2025.

Consulte las Tabla de correspondencias del Anexo F para el mapeo completo.

¿Qué tipo de evidencia esperan los auditores?

  • Registros de seguimiento — Paneles de control, informes o registros que muestran lo que se está monitorizando y los resultados a lo largo del tiempo.
  • Programa de auditoría — Un cronograma planificado de auditorías internas que cubra todos los requisitos de PIMS durante el ciclo de auditoría.
  • Informes de auditoria — Informes de auditoría completos con hallazgos, no conformidades y observaciones.
  • Independencia del auditor — Evidencia de que los auditores no auditaron su propio trabajo
  • Actas de revisión de gestión. — Se consideraron los registros que mostraban todos los insumos requeridos y se tomaron decisiones.
  • Seguimiento de acciones — Evidencia de que las acciones derivadas de las revisiones y auditorías de gestión se registran hasta su finalización.
  • Análisis de tendencias — Evidencia de que los datos de monitoreo se analizan para detectar tendencias, y no solo se revisan como puntos de datos aislados.


subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Cláusulas relacionadas

Cláusula Relación
Cláusula 5: Liderazgo La revisión de la gestión es donde la alta dirección ejerce su compromiso de liderazgo en la práctica.
Cláusula 6: Planificación Se realiza un seguimiento del cumplimiento de los objetivos de privacidad (6.2); los resultados de la evaluación de riesgos se incorporan a la revisión de la dirección.
Cláusula 8: Operación Los procesos operativos están sujetos a seguimiento y auditoría interna.
Cláusula 10: Mejora Los resultados de la auditoría y las revisiones se incorporan directamente al proceso de acción correctiva y mejora.

Vea también Cláusula 4 (Contexto) para contextualizar y Cláusula 7 (Soporte) para obtener recursos de apoyo.

¿Por qué elegir SGSI.online ¿Para el cumplimiento de la cláusula 9?

SGSI.online Proporciona herramientas integradas para evaluar el rendimiento de PIMS:

Para la planificación de la certificación, consulte el guía de certificación independiente.

  • Paneles de rendimiento — Monitorización en tiempo real de métricas clave de privacidad con análisis de tendencias y alertas.
  • gestión de auditoría interna — Planificar, programar y ejecutar auditorías con plantillas, seguimiento de hallazgos y recopilación de evidencias.
  • Plantillas de revisión de gestión — Agendas estructuradas que abarcan todos los insumos necesarios, con seguimiento de acciones y registro de actas.
  • Seguimiento de acciones correctivas — Vincular los hallazgos de auditoría y las acciones de revisión con los flujos de trabajo de acciones correctivas, asignando responsables y estableciendo plazos.
  • Informes — Generar informes de desempeño para la revisión de la gerencia y como evidencia para la auditoría de certificación.

Preguntas Frecuentes

¿Con qué frecuencia deben realizarse las revisiones de gestión?

La norma exige revisiones a intervalos planificados, sin especificar una frecuencia. La mayoría de las organizaciones realizan revisiones de gestión al menos anualmente, y muchas optan por revisiones trimestrales, especialmente durante el primer año de implementación. La frecuencia debe ser acorde a la madurez de su sistema de gestión de información personal (PIMS) y al ritmo de evolución de su entorno de privacidad. Cualquiera que sea el intervalo elegido, debe documentarse y cumplirse de forma sistemática.

¿Pueden las auditorías internas ser realizadas por personal interno?

Sí, siempre que sean objetivos e imparciales. El requisito fundamental es que los auditores no auditen su propio trabajo. En la práctica, esto significa que la persona responsable de implementar un control o proceso específico no debe ser quien lo audite. Las organizaciones más pequeñas podrían necesitar recurrir a auditores externos para ciertas áreas a fin de mantener la independencia. Los auditores también deben tener la competencia adecuada en gestión de la privacidad y técnicas de auditoría.

¿Qué métricas de privacidad se deben supervisar?

Comience con métricas que sean relevantes para su organización y que sean factibles de recopilar. Algunos ejemplos comunes incluyen el volumen de solicitudes de los interesados ​​y los tiempos de respuesta, las tasas de incidentes de privacidad y los tiempos de resolución, los porcentajes de finalización de la capacitación, el progreso del plan de tratamiento de riesgos, las tasas de finalización de la evaluación de proveedores y las tasas de resolución de hallazgos de auditoría. Las métricas deben evolucionar a medida que su PIMS madura, pasando de métricas básicas de cumplimiento a medidas basadas en la efectividad y los resultados.

Comprenda el proceso completo de auditoría de certificación en nuestra guía: Qué esperar durante su auditoría ISO 27701:2025.

Nuestro Guía de requisitos de evidencia de auditoría Detalla con precisión qué documentación esperan los auditores para cada área de la cláusula.

Elegir al auditor adecuado es importante — ver Cómo elegir un organismo de certificación.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.