9.3 Revisión por la Dirección.
Requisito.
La alta dirección revisa el SGSI a intervalos planificados.
El propósito de la revisión por la dirección es garantizar la idoneidad, adecuación y eficacia continua del SGSI.
- La idoneidad se refiere a la alineación continua con los objetivos de la organización.
- Adecuación y eficacia se refieren a un diseño adecuado y a la integración organizativa del SGSI, así como a la Implementación efectiva de procesos y controles impulsados por el SGSI.
En general, la revisión por la dirección es un proceso que se lleva a cabo en varios niveles de la organización
Las actividades pueden variar desde reuniones diarias, semanales o mensuales de la unidad organizacional hasta informes simples. La alta dirección es en última instancia responsable de la revisión, con aportes de todos los niveles en la organización.
Guía.
La alta dirección debe exigir y revisar periódicamente los informes sobre el desempeño del SGSI. Hay muchas maneras en que la gerencia puede revisar el SGSI, como recibir y revisar mediciones e informes, comunicación electrónica, actualizaciones verbales.
Los insumos clave son los resultados de las medidas de seguridad de la información descritas en 9.1, los resultados de las auditorías internas descrito en 9.2 y los resultados de la evaluación de riesgos con el estado del plan de tratamiento de riesgos. Al revisarlos debe confirmar que los riesgos residuales cumplen con los criterios de aceptación, que el plan de tratamiento aborda todos los riesgos relevantes y sus opciones de tratamiento.
Todos los aspectos del SGSI deben ser revisados por la dirección a intervalos planificados, estableciendo horarios y puntos del orden del día adecuados en las reuniones de gestión.
La agenda de la revisión por la dirección debe abordar los siguientes temas:
- Resultados de revisiones anteriores.
- Retroalimentación de las partes interesadas.
- Cambios externos e internos.
- Desempeño de procesos.
- No conformidades y acciones correctivas.
- Seguimiento y resultados de mediciones.
- Resultados de Auditorías.
- Cumplimiento de objetivos.
- Resultados de evaluación de riesgos y estado del plan de tratamiento.
- Comentarios de las partes interesadas.
- Oportunidades de mejora.
Los aportes a la revisión por parte de la dirección deben tener el nivel apropiado de detalle, de acuerdo con los objetivos establecidos para la dirección involucrada en la revisión.
Los resultados del proceso de revisión por la dirección deben incluir:
- Decisiones relacionadas con la evaluación continua, oportunidades de mejora y cualquier necesidad de cambios en el SGSI.
Se requiere información documentada de las revisiones de la dirección. debe conservarse para demostrar que se haya tenido en cuenta la agenda, incluso cuando sea decidido que no es necesaria ninguna acción. Cuando se realizan varias revisiones de la gestión en diferentes niveles de la organización, entonces se deben ser vinculados entre sí de manera apropiada.
Evidencia de decisiones relativas a:
- Cambios en la política y los objetivos de seguridad de la información.
- Cambios en los criterios de aceptación de riesgos y en los criterios para realizar riesgos de seguridad de la información
- Acciones, si es necesario, luego de la evaluación del desempeño de la seguridad de la información.
- Cambios de recursos o presupuesto del SGSI;
- Plan de tratamiento de riesgos actualizado
- Mejoras de las actividades de seguimiento y medición.