FISO27001_T057 No Conformidad

Plataformas de Aprendizaje Autodirigido

No Conformidad.

La definición de no conformidad es un incumplimiento de un requisito exigido por la norma ISO/IEC 27001:2022 o por los propios requisitos de la seguridad de la información establecidos por su política o que son exigidos por alguna de las partes interesadas.

Si profundizamos un poco más, podemos encontrar una lista de tipos de no conformidades que podemos identificar en un SGSI:

  • Incumplimiento con un requisito o control establecido en el SGSI o simplemente que está mal implementado.
  • No cumplimiento total o parcial de los requisitos legales, contractuales o acordados del cliente.
  • Incumplimiento detectado en comportamientos que violan los procedimientos y políticas establecidos para la seguridad de la información o políticas de la empresa.
  • Desviaciones en los productos o servicios acordados con proveedores en cuanto a los requisitos para la seguridad de la información.
  • Proyectos que entregan resultados fuera de los parámetros esperados.
  • Controles para la seguridad de la información que no cumplen con lo planificado o no se han aplicado correctamente o han demostrado ser ineficaces.
  • Actividades previstas dentro del SGSI que no se realizan con la eficiencia esperada.
  • Incidentes para la seguridad de la información producidos por incumplimiento de requisitos del sistema de gestión para la seguridad de la información
  • No conformidades por denuncias de los clientes.
  • Alertas denunciadas por usuarios, proveedores u otras partes interesadas
  • Resultados de sistemas de monitoreo que revelan incumplimientos en los criterios de aceptación.
  • Objetivos no alcanzados.

Cuando ocurra una no conformidad, la organización debe:

a) Reaccionar ante la no conformidad, y según sea aplicable:

      1. Llevar a cabo acciones para controlarla y corregirla.
      2. Hacer frente a las consecuencias.

b) Evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte, mediante:

      1. La revisión de la no conformidad.
      2. La determinación de las causas de la no conformidad.
      3. La determinación de si existen no conformidades similares, o que potencialmente podrían ocurrir.

c) Implementar cualquier acción necesaria.

d) Revisar la eficacia de las acciones correctivas llevadas a cabo.

e) Si es necesario, hacer cambios al sistema de gestión de la seguridad de la información.