Revisión del SGSI

A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar:

  • Resultados de auditorías y revisiones del SGSI.
  • Observaciones de todas las partes interesadas.
  • Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI.
  • Información sobre el estado de acciones preventivas y correctivas.
  • Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores.
  • Resultados de las mediciones de efectividad.
  • Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.
  • Cualquier cambio que pueda afectar al SGSI.
  • Recomendaciones de mejora.

Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones y acciones relativas a:

  • Mejora de la eficacia del SGSI.
  • Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
  • Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requerimientos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos.
  • Necesidades de recursos.
  • Mejora de la forma de medir la efectividad de los controles.
Etiquetado con: ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*