No Conformidad.
La definición de no conformidad es un incumplimiento de un requisito exigido por la norma ISO/IEC 27001:2022 o por los propios requisitos de la seguridad de la información establecidos por su política o que son exigidos por alguna de las partes interesadas.
Si profundizamos un poco más, podemos encontrar una lista de tipos de no conformidades que podemos identificar en un SGSI:
- Incumplimiento con un requisito o control establecido en el SGSI o simplemente que está mal implementado.
- No cumplimiento total o parcial de los requisitos legales, contractuales o acordados del cliente.
- Incumplimiento detectado en comportamientos que violan los procedimientos y políticas establecidos para la seguridad de la información o políticas de la empresa.
- Desviaciones en los productos o servicios acordados con proveedores en cuanto a los requisitos para la seguridad de la información.
- Proyectos que entregan resultados fuera de los parámetros esperados.
- Controles para la seguridad de la información que no cumplen con lo planificado o no se han aplicado correctamente o han demostrado ser ineficaces.
- Actividades previstas dentro del SGSI que no se realizan con la eficiencia esperada.
- Incidentes para la seguridad de la información producidos por incumplimiento de requisitos del sistema de gestión para la seguridad de la información
- No conformidades por denuncias de los clientes.
- Alertas denunciadas por usuarios, proveedores u otras partes interesadas
- Resultados de sistemas de monitoreo que revelan incumplimientos en los criterios de aceptación.
- Objetivos no alcanzados.
Cuando ocurra una no conformidad, la organización debe:
a) Reaccionar ante la no conformidad, y según sea aplicable:
-
-
- Llevar a cabo acciones para controlarla y corregirla.
- Hacer frente a las consecuencias.
-
b) Evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte, mediante:
-
-
- La revisión de la no conformidad.
- La determinación de las causas de la no conformidad.
- La determinación de si existen no conformidades similares, o que potencialmente podrían ocurrir.
-
c) Implementar cualquier acción necesaria.
d) Revisar la eficacia de las acciones correctivas llevadas a cabo.
e) Si es necesario, hacer cambios al sistema de gestión de la seguridad de la información.