Revisión del Sistema por la Dirección
1 Objeto
Establecer la sistemática para la realización de la Revisión del Sistema de Seguridad de la Información (SGSI) por la Dirección para asegurar la conveniencia, adecuación y eficacia continuadas del propio Sistema, así como para la toma de decisiones y establecimiento de la Planificación y Objetivos de Gestión.
2 Alcance
Este procedimiento afectará a todas las actividades generadas por la implantación y mantenimiento del Sistema de Gestión de Seguridad de la Información (SGSI) de Sincrolab.
3 Definiciones
- Acta de Revisión por la Dirección:
- Documento en el que se recogen los temas tratados en una reunión y en el que se establecen las decisiones, acuerdos y los resultados derivados del análisis de la información.
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Asegurar la ejecución de la Revisión por la Dirección
|
||||||
|
Recopilar la información necesaria para llevar a cabo la Revisión por la Dirección
|
||||||
|
Ejecutar la Revisión por la Dirección
|
||||||
|
Realizar seguimiento del cumplimiento de lo dispuesto en la Revisión por la Dirección
|
||||||
5 Desarrollo
El SGSI se revisa, como mínimo, una vez al año, y durante el primer trimestre del año; si bien, podrán convocarse otras reuniones a lo largo del año por circunstancias especiales.
Las revisiones las realizará el CISO en presencia del CEO, del Responsable del SGSI y, si se estima necesario, de los Responsables de cada Departamento o Área.
El CISO actuará como secretario de la misma, y preparará para la revisión por la dirección el Informe de Revisión del Sistema en el que se que incluye, al menos, los siguientes puntos:
5.1 Entradas
- Estado de las acciones de las revisiones por la dirección previas.
- Contexto de la Organización y Partes interesadas.
- Política de seguridad de la información.
- Evaluación de Riesgos, vulnerabilidades o amenazas identificados.
- Análisis de Indicadores: Estado y evolución de los indicadores durante el año.
- Objetivos: descripción del grado de ejecución del Programa de Gestión de Objetivos de Seguridad de la Información y cumplimiento del mismo.
- Resultado de las auditorias al Sistema.
- No conformidades y Acciones Correctivas.
- Recursos destinados al desarrollo y funcionamiento del sistema (Humanos, Tecnológicos y Financieros).
- Aspectos relacionados con las Compras realizadas durante el año y el estado de los Proveedores de servicios y de los propios servicios.
- Información relacionada con el estado y adecuación de la Documentación del Sistema de Gestión.
- Comentarios y sugerencias de las partes interesadas.
- Oportunidades de Mejora.
5.2 Salidas
- Decisiones relacionadas con las Oportunidades de Mejora y conclusiones.
- Necesidad de cambios en el Sistema.
En el transcurso de la Reunión de Revisión del Sistema, el CISO y el Responsable de SGSI realizan la exposición de los diferentes aspectos incluidos en el Informe de Revisión, analizando en cada caso los resultados, los datos de soporte y la conveniencia de las diferentes propuestas.
El CISO realiza el Acta de Revisión del Sistema por la Dirección, que incluye toda la información de los apartados reflejados en 5.1 Entradas y 5.2 Salidas, así como cualquier directriz o acción orientada a la mejora de la eficacia del Sistema de Gestión, de los procesos, de los servicios y minimización de los riesgos identificados, mediante la propuesta de objetivos y la asignación de recursos.
6 Anexos
N/A
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.