Saltar al contenido principal

¿Cómo implantar un SGSI en un PYME según la ISO 27001? Proceso PHVA II

Portada » Blog Calidad y Excelencia » ¿Cómo implantar un SGSI en un PYME según la ISO 27001? Proceso PHVA II

ISO 27001

ISO 27001, es una norma que trabaja siguiendo las líneas del ciclo PHVA. En el artículo anterior trabajamos con las dos primeras fases, Planificar y Hacer, desde el punto de vista de aplicación en una PYME.

En este artículo hablaremos, con la misma perspectiva, sobre las últimas fases: Verificar y Actuar.

btn_27

Verificar

Esta fase se encarga de monitorizar, medir y revisar cada uno de los objetivos de seguridad y el funcionamiento del plan establecido.

Para esta monitorización y medición de procesos relacionados con la seguridad, el proveedor debe proporcionar técnicas adecuadas que muestren la capacidad de los procesos para alcanzar los resultados planificados.

Por otro lado, los responsables de seguridad deben programar revisiones periódicas para comprobar que los requisitos de seguridad están respetando a los requisitos de ISO-27001 e ISO 27002 y al plan de seguridad, y que se están implementando y manteniendo de forma correcta.

Otro aspecto importante son las auditorías, éstas deben programarse teniendo en cuenta el estado de los procesos, su importancia, las áreas a auditar y los resultados de auditorías anteriores. Llegado a este punto es hay que definir un procedimiento con los criterios, alcance, frecuencia y métodos de la auditoría.

Actuar

Ya por último, en la etapa de actuar se pretende aumentar la eficacia y eficiencia de la seguridad.

Política

Es necesario que exista una política sobre la mejora de la seguridad. Es imprescindible corregir las faltas de conformidad y establecer roles y responsabilidades para las actividades de mejora.

Gestión de las mejoras

Debe existir un plan que controle la actividad y nos ayude a evaluar, registrar, priorizar y autorizar las mejoras propuestas.

El proveedor de seguridad necesita contar con un proceso para identificar, medir y gestionar las actuaciones de mejora, incluyendo:

  • Mejoras de procesos aislados.
  • Mejoras de un conjunto de procesos o de toda la organización.

Por otro lado, dentro de la gestión de mejoras, una PYME debe realizar actividades para:

  • Recopilar y analizar datos que muestren el estado de la gestión de la seguridad.
  • Consultar a todas las partes interesadas.
  • Identificar, planificar e implementar mejoras.
  • Revisar planes, políticas y procedimientos de seguridad.
  • Medir, informar y comunicar mejoras relativas a la seguridad.
  • Garantizar la correcta ejecución de las acciones aprobadas y el alcance de los objetivos.
  • Establecer objetivos de mejora en cuanto a calidad, costes y uso de recursos.

La Plataforma Tecnológica ISOTools automatiza la gestión del SGSI implantado con ISO 27001, y por tanto, respeta y sigue las directrices del ciclo PHVA.

cta_27

¿Desea saber más?

Entradas relacionadas

Auditoría De Sostenibilidad
Cómo preparar una auditoría de sostenibilidad

Auditoría de Sostenibilidad El desarrollo de negocio que existe a día de hoy, además de estar muy vinculado…

Ver más
Sistema De Gestión De Seguridad De La Información
Ventajas de tener un sistema de gestión de seguridad de la información

Sistema de Gestión Seguridad de la Información Un sistema de gestión de seguridad de la información (SGSI) es…

Ver más
Análisis De Escenarios
Análisis de riesgos operacionales. Uso de escenarios para el análisis de riesgo

Escenarios de riesgo operacional Los escenarios son una de las técnicas más antiguas de análisis que se recuerdan…

Ver más