Gestión de Cambios

1 Objeto

El objeto de este procedimiento es Identificar, evaluar, aprobar, implementar y verificar los cambios en los procesos, productos o servicios de la organización, garantizando que se mantenga la conformidad con los requisitos de calidad y se minimicen los riesgos asociados.

2 Alcance

Este documento aplica a todos los cambios planificados o no planificados que puedan afectar SGSI, incluyendo:

Procesos internos.
Recursos (humanos, tecnológicos, materiales).
Productos y servicios.
Documentación del SGSI.
Requisitos legales y contractuales.

3 Definiciones

Cambio: Modificación planificada o no planificada que puede afectar al desempeño del SGSI.
Evaluación de impacto: Análisis de los efectos potenciales de un cambio en los procesos de la organización.
Partes interesadas: Personas o grupos que pueden verse afectados por los cambios implementados.

4 Responsabilidades

Tarea	Responsabilidades
Tarea	R	A	S	C	I
Identificar necesidades de cambios	Parte Interesada	Parte Interesada
Comunicar solicitudes de Cambios y registrarlos en la plataforma correspondiente o enviárselos por email al Responsable del SGSI	Parte Interesada	Parte Interesada
Registrar cambios al SGSI remitidos por email en sgsi.sincrolab.es	CISO	Responsable del SGSI
Llevar a cabo la evaluación del cambio	CISO	Responsable del SGSI
Presentar la evaluación del cambio a Dirección	CISO	Responsable del SGSI
Implementación del cambio (si es en el SGSI)	CISO	Responsable del SGSI
Implementar el cambio (si no es en el SGSI, es decir, es en un producto, sistema o servicio de Sincrolab)	Responsable del área afectada	Responsable del SGSI	CISO
Verificar la conformidad del cambio mediante auditorías internas	CISO	Responsable del SGSI	Responsable del área afectada
Aprobar o denegar el cambio una vez evaluado	CEO	Responsable del SGSI

5 Desarrollo

5.1 Identificación de la necesidad del cambio

Cualquier parte interesada o personal de la Organización puede solicitar un cambio cuando:

Se detectan desviaciones o no conformidades.
Surgen oportunidades de mejora.
Existen cambios normativos, legales o contractuales.
Se introducen nuevos productos, servicios o tecnologías, o modificaciones en los mismos (técnicas, funcionales o de configuración) que puedan afectar a la Seguridad de la Información.

El registro de solicitudes de cambios asociadas a los productos, servicios o tecnologías en Sincrolab se realiza en el sistema de ticketing de la plataforma Bitbucket.

El registro de solicitudes de cambios asociadas al propio SGSI se realiza mediante la propia plataforma sgsi.sincrolab.es o mediante correo electrónico al Responsable del SGSI (y éste lo registrará en la plataforma).

5.2 Evaluación del cambio

El Responsable del SGSI, junto con el área responsable afectada, deberá evaluar el cambio considerando:

Impacto en:
- Seguridad de la información del producto/servicio.
- Procesos operativos y administrativos.
- Cumplimiento de requisitos legales y normativos.
- Recursos (costes, personal, infraestructura).
Riesgos asociados:
- Identificación de posibles efectos negativos.
- Medidas de mitigación necesarias.

5.3 Aprobación del cambio

Una vez evaluado el cambio, el Responsable del SGSI se lo presentará a la Dirección, quien deberá aprobar el cambio evaluado según:

La alineación con los objetivos del SGSI de la Organización.
Disponibilidad de recursos para su implementación.
Impacto en negocio, clientes y partes interesadas.

El cambio quedará evidencia mediante la aprobación de la Dirección sobre la propia solicitud de cambio o mediante email de aprobación dirigido al responsable del SGSI.

5.4 Implementación del cambio

Aprobado el cambio, el Responsable del SGSI procederá a comunicar el cambio a todas las áreas involucradas.

Del mismo modo, el Responsable afectado por el cambio deberá actualizar los documentos y registros relevantes que se hayan visto afectados por el cambio realizado.

En el caso de que fuera necesario, el Responsable del SGSI o el Responsable afectado por el cambio capacitará al personal afectado en el cambio realizado.

Después de implementar el cambio, a través de las auditorías internas se verificará la conformidad del cambio realizado.

5.5 Incumplimiento

El incumplimiento de esta política traerá consigo posibles consecuencias legales que apliquen a la normativa de la empresa, incluyendo lo establecido en las normas que competen a la Autoridad Competente en cuanto a seguridad y privacidad de la información se refiere, así como la aplicación de las cláusulas de contingencia y penalización presentes en los contratos de los servicios y provisiones afectadas.

6 Anexos

N/A

7 Formatos

N/A

8 Registros

N/A

9 Documentos Relacionados

N/A

10 Referencias Normativas

ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.

Metadatos

Identificación
Documento	Gestión de Cambios
Clasificación	Uso Interno
Propietario/a	Carlos Alberto Rodríguez Lago CISO \| crodriguez@cysmanagement.com
Información de la Revisión
Revisión	v1.0
Fecha y hora	13/01/2026 15:00:32
Estado	Borrador
Hash (SHA-256)	94165cf8c6facdf369ad29a8c403f2cc72ddefd2c576ba8bf666e8ec28f5f7d9
Hash versión previa (SHA-256)	N/A
Autor/a/es	Carlos Alberto Rodríguez Lago CISO \| crodriguez@cysmanagement.com
Información de la Verificación
Verificador/a/es	Corina Junquera Sánchez-Vallejo Person Responsible for Regulatory Compliance (PRRC) \| corina@sincrolab.es
Información de la Aprobación
Aprobado por	Ignacio de Ramón Burgos CEO \| nacho@sincrolab.es
Vigencia	21/01/2026 00:00:00 - No Indicado
Firma Aprobación	ed726129d26a9e596677b64af0c40f87b2fea1c279ecbe0362aef76809cae4e0

1 Objeto​

2 Alcance​

3 Definiciones​

4 Responsabilidades​

5 Desarrollo​

5.1 Identificación de la necesidad del cambio​

5.2 Evaluación del cambio​

5.3 Aprobación del cambio​

5.4 Implementación del cambio​

5.5 Incumplimiento​

6 Anexos​

7 Formatos​

8 Registros​

9 Documentos Relacionados​

10 Referencias Normativas​