¿Cómo implantar un SGSI en un PYME según la ISO 27001? Proceso PHVA II
cerrar

Software para la Gestión de la Excelencia

Cerrarcerrar_megamenu

Sobre ISOTools

Cerrarcerrar_megamenu
PLATAFORMA TECNOLÓGICA PARA LA GESTIÓN DE LA EXCELENCIA Demo Login
Blog Calidad y Excelencia

¿Cómo implantar un SGSI en un PYME según la ISO 27001? Proceso PHVA II

ISO 27001

ISO 27001, es una norma que trabaja siguiendo las líneas del ciclo PHVA. En el artículo anterior trabajamos con las dos primeras fases, Planificar y Hacer, desde el punto de vista de aplicación en una PYME.

En este artículo hablaremos, con la misma perspectiva, sobre las últimas fases: Verificar y Actuar.

btn_27

Verificar

Esta fase se encarga de monitorizar, medir y revisar cada uno de los objetivos de seguridad y el funcionamiento del plan establecido.

Para esta monitorización y medición de procesos relacionados con la seguridad, el proveedor debe proporcionar técnicas adecuadas que muestren la capacidad de los procesos para alcanzar los resultados planificados.

Por otro lado, los responsables de seguridad deben programar revisiones periódicas para comprobar que los requisitos de seguridad están respetando a los requisitos de ISO-27001 e ISO 27002 y al plan de seguridad, y que se están implementando y manteniendo de forma correcta.

Otro aspecto importante son las auditorías, éstas deben programarse teniendo en cuenta el estado de los procesos, su importancia, las áreas a auditar y los resultados de auditorías anteriores. Llegado a este punto es hay que definir un procedimiento con los criterios, alcance, frecuencia y métodos de la auditoría.

Actuar

Ya por último, en la etapa de actuar se pretende aumentar la eficacia y eficiencia de la seguridad.

Política

Es necesario que exista una política sobre la mejora de la seguridad. Es imprescindible corregir las faltas de conformidad y establecer roles y responsabilidades para las actividades de mejora.

Gestión de las mejoras

Debe existir un plan que controle la actividad y nos ayude a evaluar, registrar, priorizar y autorizar las mejoras propuestas.

El proveedor de seguridad necesita contar con un proceso para identificar, medir y gestionar las actuaciones de mejora, incluyendo:

  • Mejoras de procesos aislados.
  • Mejoras de un conjunto de procesos o de toda la organización.

 

Por otro lado, dentro de la gestión de mejoras, una PYME debe realizar actividades para:

  • Recopilar y analizar datos que muestren el estado de la gestión de la seguridad.
  • Consultar a todas las partes interesadas.
  • Identificar, planificar e implementar mejoras.
  • Revisar planes, políticas y procedimientos de seguridad.
  • Medir, informar y comunicar mejoras relativas a la seguridad.
  • Garantizar la correcta ejecución de las acciones aprobadas y el alcance de los objetivos.
  • Establecer objetivos de mejora en cuanto a calidad, costes y uso de recursos.

 

La Plataforma Tecnológica ISOTools automatiza la gestión del SGSI implantado con ISO 27001, y por tanto, respeta y sigue las directrices del ciclo PHVA.

 
cta_27


top