10.1 No Conformidad
Requisito.
La organización reacciona ante las no conformidades, las evalúa y toma acciones correctivas si es necesario.
Explicación.
Una no conformidad es el incumplimiento de un requisito del SGSI. Los requisitos son necesidades o expectativas declaradas, implícitas u obligatorias.
Existen varios tipos de no conformidades como:
- a) Incumplimiento de un requisito (total o parcialmente) de la norma ISO/IEC 27001 en el SGSI;
- b) No implementar correctamente o no cumplir con un requisito, regla o control establecido por el SGSI; y
- c) Incumplimiento parcial o total de requisitos legales, contractuales o pactados con el cliente.
Las no conformidades pueden ser, por ejemplo:
- d) Personas que no se comportan como se espera según los procedimientos y políticas;
- e) Proveedores que no proporcionan productos o servicios acordados;
- f) Proyectos que no arrojan los resultados esperados; y
- g) Controles que no funcionan según el diseño.
Las no conformidades pueden reconocerse mediante:
- h) deficiencias de las actividades realizadas en el ámbito del sistema de gestión;
- i) controles ineficaces que no se remedian adecuadamente;
- j) análisis de incidentes de seguridad de la información, que demuestre el incumplimiento de un requisito del SGSI;
- k) quejas de los clientes;
- l) alertas de usuarios o proveedores;
- m) resultados de seguimiento y medición que no cumplan con los criterios de aceptación;
- n) objetivos no alcanzados.
Guía.
Los incidentes de seguridad de la información no implican necesariamente que exista una no conformidad, pero pueden ser un indicador de una no conformidad. La auditoría interna y externa y las quejas de los clientes son otros aspectos importantes en la identificación de no conformidades.
La reacción a la no conformidad debe basarse en un proceso de manejo definido. El proceso debe incluir:
- identificar el alcance y el impacto de la no conformidad;
- decidir sobre las correcciones para limitar el impacto de la no conformidad;
- comunicarse con el personal pertinente para garantizar que se lleven a cabo las correcciones;
- realizar las correcciones que se decidan;
- supervisar la situación para garantizar que las correcciones hayan tenido el efecto deseado y no produjo efectos secundarios no deseados;
- actuar más para corregir la no conformidad si aún no se remedia; y
- comunicarse con otras partes interesadas relevantes, según corresponda.
Como resultado general, el proceso de manejo debe conducir a un estado gestionado con respecto a la no conformidad y las consecuencias asociadas. Sin embargo, las correcciones por sí solas no necesariamente evitarán la recurrencia de la no conformidad.