La evidencia de que la alta dirección lleva a cabo una revisión del Sistema de Gestión de Seguridad de la Información (SGSI) a intervalos planificados se puede demostrar a través de diversa información y registros documentados. Estos documentos deben mostrar claramente la participación de la alta dirección en el proceso de revisión, su evaluación del rendimiento del SGSI y sus decisiones de mejora. Estas son algunas pruebas clave:

1. Actas de la reunión de revisión por la dirección

Documentación de las actas: Las actas detalladas de las reuniones de revisión por la dirección deben estar documentadas. Estas actas deben incluir la fecha, los asistentes (incluida la alta dirección), la agenda, las discusiones, las decisiones tomadas y los elementos de acción.

Firmas/Aprobaciones: Las actas deben estar firmadas o aprobadas por la alta dirección para demostrar su participación y acuerdo con las decisiones tomadas.

2. Informes de revisión por la dirección

Informes: Informes formales que resumen los resultados de las revisiones de gestión. Estos informes deben detallar la evaluación del rendimiento del SGSI, incluidas las métricas clave, los resultados de las auditorías, los informes de incidentes y la eficacia de las acciones correctivas.

Frecuencia de las revisiones: La documentación debe reflejar que estas revisiones se realizan a intervalos planificados, según lo especificado en la política del SGSI o en el cronograma de revisiones por la dirección.

3. Planes de acción y registros de seguimiento

Elementos de acción: Registros de los elementos de acción asignados durante las reuniones de revisión por la dirección, incluidas las responsabilidades y los plazos.

Documentación de seguimiento: Evidencia de que los elementos de acción se rastrean y completan, lo que demuestra que la gerencia está haciendo un seguimiento activo de las decisiones tomadas durante las revisiones.

4. Revisión de los indicadores clave de rendimiento (KPI)

Informes de KPI: Informes producidos regularmente sobre KPI relacionados con la seguridad de la información, como los tiempos de respuesta a incidentes, las tasas de cumplimiento y los hallazgos de las auditorías.

Comentarios de la gerencia: Anotaciones o comentarios de la alta gerencia sobre estos informes, que muestran su revisión y aportes.

5. Informes de auditoría y cumplimiento

Informes de auditoría interna y externa : Informes de auditorías internas y externas que destacan el papel de la gerencia en la revisión y el tratamiento de los hallazgos de la auditoría.

Respuestas de la gerencia: Documentación de las respuestas de la alta gerencia a los hallazgos de la auditoría y sus directivas para acciones correctivas.

6. Evaluación de riesgos e informes de tratamiento

Documentación de gestión de riesgos: Informes sobre evaluaciones de riesgos y planes de tratamiento que han sido revisados y aprobados por la alta dirección.

Registros de decisiones: Registros de las decisiones de la gerencia con respecto a las opciones de tratamiento de riesgos y la asignación de recursos.

7. Resumen de la revisión anual del SGSI

Informes anuales: Informes anuales completos que resumen el rendimiento y el estado del SGSI, incluidos los logros, los desafíos y las áreas de mejora.

Decisiones estratégicas: Documentación de las decisiones estratégicas tomadas por la alta dirección en función de la revisión anual, como cambios en las políticas, objetivos o asignaciones de recursos.

8. Registros de capacitación y concientización

Programas de formación: Registros de programas de formación y concienciación para la alta dirección en relación con las actualizaciones del SGSI, las nuevas amenazas y los requisitos de cumplimiento.

Registros de participación: Evidencia de la participación de la alta dirección en estas sesiones de capacitación, demostrando su compromiso de mantenerse informado sobre los asuntos del SGSI.

9. Registros de comunicación y comentarios

Comunicaciones internas: Registros de las comunicaciones internas de la alta dirección con respecto al rendimiento, los cambios y las direcciones estratégicas del SGSI.

Mecanismos de retroalimentación: Documentación de la retroalimentación recibida de varias partes interesadas y cómo la alta dirección ha abordado o incorporado esta retroalimentación en el SGSI.

10. Cronograma de revisión por la dirección

Cronograma de revisión: Un cronograma documentado de las revisiones de gestión planificadas, incluidas las fechas y el alcance de cada revisión.

Registros de cumplimiento: Evidencia que muestra que las revisiones se realizan de acuerdo con este cronograma, como invitaciones a reuniones, agendas y registros de asistencia.

Documentos de Ejemplo para la Evidencia de Revisión por la Dirección

Actas de la reunión de revisión por la dirección

Documento: ISMS_Management_Review_Minutes_Jan2024.pdf

Contenido: Fecha: 15 de enero de 2024; Asistentes: CEO, CIO, CISO; Orden del día: Desempeño del SGSI, resultados de auditoría, evaluaciones de riesgos; Decisiones: Aprobar una nueva política de seguridad, implementar capacitación adicional.

Informe de Revisión de la Gestión

Documento: ISMS_Review_Report_2024.pdf

Contenido: Resumen del rendimiento del SGSI, análisis de métricas clave, resultados de auditoría, tendencias de incidentes, comentarios de la dirección y decisiones estratégicas.

Seguimiento del Plan de Acción

Documento: ISMS_Action_Plan_Tracker.xlsx

Contenido: lista de elementos de acción de la última revisión, partes responsables, plazos, actualizaciones de estado y fechas de finalización.

Informe de KPI

Documento: ISMS_KPI_Report_Q1_2024.xlsx

Contenido: Tiempos de respuesta a incidentes, índices de cumplimiento, hallazgos de auditoría, comentarios de la dirección.

Informe de auditoría y respuesta de la dirección

Documento: Internal_Audit_Report_Q1_2024.pdf

Contenido: Hallazgos de auditoría, niveles de riesgo, acciones recomendadas y respuesta y directivas de la gerencia para acciones correctivas.

Al mantener y organizar estos documentos de manera sistemática, una organización puede proporcionar evidencia clara y tangible de que la alta dirección está activamente involucrada en la revisión regular y la mejora continua del SGSI. Esto no solo demuestra el cumplimiento de la norma ISO/IEC 27001:2022, sino que también muestra el compromiso de mantener una postura de seguridad de la información sólida y eficaz.

¡ESTAMOS AQUÍ PARA AYUDAR!

¡CLIC AQUÍ para una prueba de Dogma C3X en tu compañía totalmente gratis!

Dogma C3X es una Plataforma Inteligente de Consultoría de Negocios inspirada en el modelo de industria de las 3Cs, que ofrece una mirada estratégica a los pilares que toda empresa necesita para el éxito: Clientes – Compañía – Competidores. "Inteligente" porque mediante el uso de inteligencia artificial (IA) y aprendizaje automático (ML) puede recopilar, procesar y analizar el creciente tsunami de datos (estructurados y no estructurados) relacionados con las 3Cs, los cuales son increíblemente valiosos. Solo fortaleciendo, posicionando e integrando estos tres pilares (Clientes – Compañía – Competidores) podrás construir una ventaja competitiva sostenible.