¿Cómo implantar un SGSI en un PYME según la ISO 27001? Proceso PHVA II

Inicio / ¿Cómo implantar un SGSI en un PYME según la ISO 27001? Proceso PHVA II

ISO 27001

ISO 27001, es una norma que trabaja siguiendo las líneas del ciclo PHVA. En el artículo anterior trabajamos con las dos primeras fases, Planificar y Hacer, desde el punto de vista de aplicación en una PYME.

En este artículo hablaremos, con la misma perspectiva, sobre las últimas fases: Verificar y Actuar.

btn_27

Verificar

Esta fase se encarga de monitorizar, medir y revisar cada uno de los objetivos de seguridad y el funcionamiento del plan establecido.

Para esta monitorización y medición de procesos relacionados con la seguridad, el proveedor debe proporcionar técnicas adecuadas que muestren la capacidad de los procesos para alcanzar los resultados planificados.

Por otro lado, los responsables de seguridad deben programar revisiones periódicas para comprobar que los requisitos de seguridad están respetando a los requisitos de ISO-27001 e ISO 27002 y al plan de seguridad, y que se están implementando y manteniendo de forma correcta.

Otro aspecto importante son las auditorías, éstas deben programarse teniendo en cuenta el estado de los procesos, su importancia, las áreas a auditar y los resultados de auditorías anteriores. Llegado a este punto es hay que definir un procedimiento con los criterios, alcance, frecuencia y métodos de la auditoría.

El proceso PHVA da conformidad a un SGSI implantado con la norma ISO 27001

Click To Tweet

Actuar

Ya por último, en la etapa de actuar se pretende aumentar la eficacia y eficiencia de la seguridad.

Política

Es necesario que exista una política sobre la mejora de la seguridad. Es imprescindible corregir las faltas de conformidad y establecer roles y responsabilidades para las actividades de mejora.

Gestión de las mejoras

Debe existir un plan que controle la actividad y nos ayude a evaluar, registrar, priorizar y autorizar las mejoras propuestas.

El proveedor de seguridad necesita contar con un proceso para identificar, medir y gestionar las actuaciones de mejora, incluyendo:

  • Mejoras de procesos aislados.
  • Mejoras de un conjunto de procesos o de toda la organización.

Por otro lado, dentro de la gestión de mejoras, una PYME debe realizar actividades para:

  • Recopilar y analizar datos que muestren el estado de la gestión de la seguridad.
  • Consultar a todas las partes interesadas.
  • Identificar, planificar e implementar mejoras.
  • Revisar planes, políticas y procedimientos de seguridad.
  • Medir, informar y comunicar mejoras relativas a la seguridad.
  • Garantizar la correcta ejecución de las acciones aprobadas y el alcance de los objetivos.
  • Establecer objetivos de mejora en cuanto a calidad, costes y uso de recursos.

La Plataforma Tecnológica ISOTools automatiza la gestión del SGSI implantado con ISO 27001, y por tanto, respeta y sigue las directrices del ciclo PHVA.

cta_27

Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

ISO/TS 37008
Beneficios de ISO/TS 37008
22 noviembre, 2024

En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…

Ver más
ISO 37008
¿Qué es la norma ISO 37008 para la gestión de investigaciones internas?
20 noviembre, 2024

La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...

Ver más
ISO 50001
10 ventajas de certificarse en ISO 50001
18 noviembre, 2024
La sostenibilidad y la eficiencia energética son conceptos que resuenan en nuestro día a día por lo relevante que es su gestión...
Ver más
ISO 19011
¿Cuáles son los criterios de auditoría según ISO 19011?
15 noviembre, 2024

La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...

Ver más

Volver arriba