No Conformidades y Acciones Correctivas
1 Objeto
Establecer la sistemática para el tratamiento, gestión y resolución de las No Conformidades y Acciones Correctivas de la Organización.
2 Alcance
Se gestionarán según este procedimiento todas las desviaciones que pudieran producirse en el servicio prestado por la Organización y que afecten a su SGSI.
Así mismo, se aplica a cualquier Acción Correctiva que sea necesario introducir en las actividades del Sistema de Gestión, para eliminar las causas de las No Conformidades, reales o potenciales, que se detecten.
3 Definiciones
- No Conformidad
- Incumplimiento de un requisito aplicable (del cliente, de la legislación aplicable, del sistema de gestión, etc.).
- Acción Correctiva:
- Acción tomada para eliminar la no conformidad detectada.
- Acción Preventiva
- Acción tomada para eliminar la repetición de la causa de una no conformidad, atacando la/s causa/s raíz.
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Detectar No Conformidades
|
||||||
|
Asegurar la detección y tratamiento de No Conformidades
|
||||||
|
Identificación y análisis de No Conformidades
|
||||||
|
Definir tratamiento de No Conformidades
|
||||||
|
Comunicar al CEO No Conformidades detectadas y Acciones Correctivas propuestas
|
||||||
|
Aprobar o denegar Acciones Correctivas/Preventivas
|
||||||
|
Realizar seguimiento de Acciones Correctivas/Preventivas
|
||||||
5 Desarrollo
5.1 Detección
Cualquier trabajador de la Organización que detecte una incidencia, entendiéndose por ésta, en términos generales, como cualquier desviación en el desarrollo o resultado previsto de una actividad o proceso del SGSI, se lo comunicará al CISO.
5.2 Análisis / Triaje
El CISO llevará a cabo un primer análisis de la anomalía, determinando la importancia y urgencia de la desviación, recabando información sobre el origen, causas, consecuencias, etc.
En este primer análisis, el CISO podrá solicitar cualquier tipo de información que considere necesaria para el modelado o tratamiento de la No Conformidad al resto de departamentos de la Organización.
En éste primer análisis de la anomalía, el CISO deberá decidir si la gestiona como una No Conformidad o no.
Las No Conformidades, pueden generarse, entre otros, por las siguientes circunstancias:
- Incumplimientos de los requisitos de Seguridad de la Información de la legislación, normativo o regulatorio vigente que afecte a algunos de los servicios que presta la Organización.
- Incumplimiento de los requisitos y/o especificaciones de Seguridad de la Información de los clientes.
- Quejas o Reclamaciones de los Clientes en materia de Seguridad de la Información.
- Incumplimiento de las especificaciones y modos de actuación establecidos en cualquier procedimiento o instrucción especificados en la base documental del Sistema de Gestión de la Seguridad de la Información de Sincrolab.
- Durante la realización de auditorías de Seguridad de la Información, tanto internas como externas.
5.3 Tratamiento
Una vez establecida la necesidad de tratamiento de la No Conformidad, el Responsable del SGSI, o persona en quién ésta delegue, la identificará en el Registro de No Conformidades y Acciones Correctivas.
Una vez identificada la No Conformidad, el CISO identificará la acción inmediata a implantar para solucionar o, en su caso mitigar, la No Conformidad detectada.
Dicha acción inmediata quedará igualmente definida en el Registro de No Conformidades y Acciones Correctivas. Se realizará además una apreciación de riesgos de Seguridad de la Información para evaluar el impacto en la posición de riesgo de Sincrolab que supone la No Conformidad y las Acciones Correctivas y/o Preventivas propuestas.
Se puede dar el caso que, por la tipología de la No Conformidad, no se pueda implantar una acción inmediata, por lo que en ese caso se identificará una Acción Correctiva, tal y como se ha definido en el punto 6 del presente procedimiento.
Llevada a cabo la acción correctiva, el CISO analizará la causa raíz que la ha originado, quedando documentada en el Registro de No Conformidades y Acciones Correctivas.
Detectada la causa raíz que originó la No Conformidad, el CISO propondrá las Acciones Preventivas pertinentes, orientadas a evitar que se vuelva a repetir dicha No Conformidad.
Dichas Acciones Preventivas quedarán identificadas por el CISO, o persona en quien ésta delegue, en el Registro de No Conformidades y Acciones Correctivas.
5.4 Seguimiento
Una vez establecida la/s Acción/es Correctiva/s y/o Preventiva/s, debe indicarse una periodicidad para su seguimiento de su desarrollo, para conocer si ésta ha sido eficaz o no, es decir, si las acciones propuestas ha eliminado la No Conformidad detectada y sus causas.
En el caso de que la acción propuesta no haya conseguido eliminar la causa que motivo la No Conformidad, ésta se vuelve a revisar por si la acción elegida no ha sido la correcta y, en ese caso, establecer una nueva.
5.5 Cierre
Una vez que se ha verificado y comprobado que la acción propuesta ha sido efectiva, el Responsable del SGSI procede a cerrar la No Conformidad, o persona en quién éste delegue.
Este cierre de la No Conformidad quedará identificado en el Registro de No Conformidades y Acciones Correctivas.
6 Anexos
Apéndice I - Codificación
Las No Conformidades se codificarán siguiendo el patrón NCAA-###, donde:
NC- Es el literal correspondiente a No Conformidad.
AA- Son los dos últimos dígitos del año en el que se identificó la No Conformidad.
###- Número correlativo dentro del año en el que se identificó la No Conformidad, expresado con tres dígitos y empezando por 001.
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.