Realización de una revisión de gestión eficiente para ISO 27001 e ISO 22301

Para cualquiera que alguna vez haya logrado intentar reunir un sobrecargado equipo gerencial o la Junta de Directores juntos para facilitar una reunión de revisión de la gerencia para cualquier estándar de cumplimiento regulatorio se da cuenta del desafío de la pesadilla que es coordinar. 

Por lo general, una revisión por la dirección implicará hacer circular, por correo electrónico con anticipación, las invitaciones a la reunión, la agenda, las pruebas y los informes para su revisión, o para respaldar la revisión y los elementos anteriores que requerían acción.

Durante la revisión, se pueden tomar notas de los hallazgos para su posterior redacción y distribución.

Las áreas identificadas para acciones correctivas y mejoras también deberán documentarse y asignarse a las personas que serán responsables de completar estas acciones.

En cada paso, se debe retener evidencia para satisfacer al auditor externo de que la revisión y los procesos se están llevando a cabo y son efectivos.

¡Eso es muchos correos electrónicos, mucha planificación y mucha evidencia!

Imagine un programa de revisión de la gestión en línea que simplificara la configuración de su equipo de la Junta del SGSI, simplificara la gestión de las revisiones y seguir una agenda estándar, fácil de vincular a revisiones anteriores y toda la información necesaria, y simple de asignar y rastrear acciones correctivas y Mejoras.

Reúna todo en un entorno en línea seguro donde puede colaborar con sus colegas, capturar la evidencia requerida solo una vez y navegar fácilmente hacia ella antes, durante y después de la revisión.

Ni siquiera necesita que todos los miembros de la junta estén juntos en un solo lugar ... ¡hágalo en línea y ahorre tiempo y gastos de viaje! Internamente, hemos utilizado Barvas para ayudarnos a administrar nuestras reseñas y hemos creado una plantilla para que pueda comenzar.

El propósito de la revisión por la dirección 

El valor de la revisión por la dirección del sistema de gestión de seguridad de la información (SGSI) a menudo se subestima. 

Algunos pueden verlo como un requisito de casilla de verificación que debe realizarse únicamente para cumplir con el estándar. Sin embargo, para realmente 'vivir y respirar' buenas prácticas de seguridad de la información, su función es invaluable.

El propósito de la revisión por la dirección es asegurar que el SGSI y sus objetivos continúen siendo adecuados, adecuados y efectivos dado el propósito, los problemas y los riesgos de la organización. Estos se habrán abordado previamente en 4.1 La organización y su contexto, 4.2 Los requisitos de las partes interesadas y 6.1. Gestión de riesgos.

Los resultados de la revisión por la dirección permitirán a la alta dirección tomar decisiones estratégicas bien informadas que tendrán un efecto material en la seguridad de la información y la forma en que la organización la gestiona.

¿Debería fusionarse con otras revisiones de gestión?

Si implementó tanto la ISO 27001 como la ISO 22301, o también la ISO 9001, podría tener la tentación de hacer todas esas revisiones por la dirección juntas; sin embargo, no recomendaría eso, por ejemplo, la continuidad del negocio es un tema suficientemente grande por sí solo y necesita 30 minutos más o menos de atención exclusiva de la alta dirección, y lo mismo ocurre con la seguridad de la información o la gestión de la calidad. Puede colocar todas las revisiones de la gerencia el mismo día, pero colocarlas en secuencia, no en el mismo intervalo de tiempo.

¿Qué debería incluirse en la revisión por la dirección?

La revisión por la dirección debe seguir un formato estándar que tenga en cuenta las expectativas de la norma ISO 27001: 2013. Y debe incluir la consideración de:

 a) el estado de las acciones de las revisiones por la dirección anteriores

 b) cambios en asuntos externos e internos que son relevantes para el sistema de gestión de seguridad de la información;

 c) retroalimentación sobre el desempeño de la seguridad de la información, incluidas las tendencias en:

  • no conformidades y acciones correctivas
  • resultados de seguimiento y medición
  • resultados de auditoría; y
  • cumplimiento de los objetivos de seguridad de la información

d) comentarios de las partes interesadas

e) resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos

f) oportunidades de mejora continua

Los resultados de la revisión por la dirección deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la seguridad de la información.

¿Quién debería asistir a la revisión por la dirección?

Teniendo en cuenta lo anterior, es claro ver que, dada la debida consideración, la revisión por la dirección de ISO 27001 es una herramienta indispensable para asegurar que el SGSI continúe siendo efectivo en uno de sus objetivos clave, el de mitigar los riesgos de seguridad de la información.

Para que el SGSI sea eficaz en una organización, necesita el compromiso de la alta dirección y, como tal, tiene sentido que los miembros de una “Junta” del SGSI tengan autoridad en asuntos relacionados con la seguridad de la información.

Por lo general, una junta de ISMS puede incluir al director de seguridad de la información (CISO), al responsable de riesgos de la información senior (SIRO), al director técnico y tal vez incluso al director general.

 Los resultados de la revisión por la dirección incluirán decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la seguridad de la información.

Frecuencia de la revisión por la dirección

Existe un requisito mínimo de realizar una revisión por la dirección una vez al año, y con mayor frecuencia si hay algún cambio material que pueda afectar la seguridad de la información y el SGSI.

Sin embargo, la frecuencia estará definida por el requisito de la administración de monitorear el éxito del SGSI. También existe el peligro de que, cuanto mayor sea el intervalo, mayor será el trabajo que supondrá la revisión del período anterior. También aumenta el riesgo de que el SGSI no se identifique rápidamente. 

Para aquellos que buscan la certificación de su SGSI, también es importante tener en cuenta que existe un requisito de evidencia, durante la auditoría de escritorio de la Etapa 1, que se están realizando las revisiones periódicas.

Vea usted mismo la diferencia que hará MindGenius en sus proyectos ...

Durante su prueba gratuita, le mostraremos cómo MindGenius Online hará que la gestión de proyectos sea más simple, más completa y más agradable…. 

Compartir en facebook
Facebook
Compartir en twitter
Gorjeo
Compartir en email
Correo electrónico
Compartir en linkedin
LinkedIn