FISO27001_T054 Revisión por la Dirección

Plataformas de Aprendizaje Autodirigido

Revisión por la Dirección.

La alta dirección debe revisar el sistema de gestión de la seguridad de la información de la organización a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia continua.

La revisión por la dirección debe incluir consideraciones sobre:

a) El estado de las acciones desde anteriores revisiones por la dirección.

b) Los cambios en las cuestiones externas e internas que sean pertinentes al sistema de gestión de la seguridad de la información.

c) Cambios en las necesidades y expectativas de las partes interesadas que sean relevantes para el SGSI.

d) Resultados del desempeño del SGSI como:

      1. No conformidades y acciones correctivas.
      2. Seguimiento y resultados de las mediciones.
      3. Resultados de auditoría.
      4. El cumplimiento de los objetivos de seguridad de la información.

e) Retroalimentación de las partes interesadas.

f) Los resultados de la apreciación de los riesgos y el estado del plan de tratamiento de riesgos.

g) Las oportunidades de mejora continua.

Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestión de la seguridad de la información.

La organización debe conservar información documentada como evidencia de los resultados de las revisiones por la dirección.

Las actas de Revisión por la Dirección deben incluir estos puntos como mínimo y estar numeradas en orden correlativo:

1. Acciones de seguimiento de los acuerdos del Acta anterior de Reunión del Comité SGSI.
2. Cambios en los asuntos externos e internos que son pertinentes al SGSI.
3. Los comentarios sobre el desempeño de la seguridad de la información, incluidas tendencias en: no conformidades y acciones correctivas.
4. Resultados del monitoreo y mediciones.
5. Resultados de auditoría.
6. Cumplimiento de los objetivos de seguridad de la información.
7. Comentarios de las partes interesadas.
8. Resultados de la evaluación de riesgo y el estado del plan de tratamiento de riesgo.
9. Oportunidades para la mejora continua.