ISO 27001:2022 y el PDCA

ISO 27001:2022 y el PDCA

La nueva version y ultima hasta este post es la publicada en: 2022-10-25 (formato de fecha que usa la ISO) ha traído consigo múltiples cambios en el estándar, creando una necesidad de adaptación a todas las organizaciones certificadas en la misma.

Hablemos del apartado donde comprenden el PDCA (Plan-Do-Check-Act) de la norma no han sufrido muchos cambios, pero es necesario destacar algunos de ellos, que es el motivo de este post.

Cambios Generales del ISO 27001:2022

Se podría decir que la principal actualización de la ISO 27001:2022 se centra en los controles de seguridad. Esto se debe a que, siguiendo la nueva versión de la ISO 27002 publicada el pasado 16 de febrero de 2022, el Anexo A de la norma que recoge dichos controles ha sido objeto de una reorganización completa.

Los nuevos grupos y la organización de los controles de estos:

  • Controles Organizacionales: 37 controles de los cuales 3 son nuevos.
  • Controles al Personal: 8 controles, sin cambios respecto a la versión anterior.
  • Controles Físicos: 14 controles de los cuales 1 es nuevo.
  • Controles Tecnológicos: 34 controles de los cuales 7 son nuevos.

Con un total de 57 controles de la antigua versión han sido fucionados  en 24, de ahí la reducción de la cantidad de controles.

El Ciclo de Deming o PDCA en la ISO 27001

El propio contenido de la norma, la primera parte de la misma está compuesta por apartados relacionados con El Ciclo de Deming o PDCA (La Metodología se basa en la mejora continua, ya que un proceso no podrá ser nunca implantado al 100% de efectividad y precisión) los apartados son los siguientes:

  • Contexto de la organización
  • Liderazgo
  • Planificación
  • Soporte
  • Operación
  • Evaluación del desempeño
  • Mejora
Plan (Planificar)Do (Hacer)
El objetivo principal de esta fase es establecer el Sistema de Gestión de Seguridad de la Información. Concretamente, se establecerán en este paso los objetivos, procedimientos y políticas relacionadas con la Seguridad de la Información, y con la visión puesta en mejorar esta última.

También definir aspectos como el alcance del Sistema de Gestión, los roles y sus funciones y responsabilidades en el proyecto.

Son 4 los apartados de la norma ISO 27001 los que forman parte de esta primera fase de planificación:
Contexto de la organización
Liderazgo
Planificación
Soporte
Se implementa en este punto el SGSI establecido. Se llevan a cabo los procedimientos establecidos en la anterior fase y se implantan los controles y operaciones necesarios con el fin de gestionar la información de la organización de una manera segura y eficaz.

En cuanto al ciclo con la norma ISO 27001, es el apartado 8 llamado Operación el que aborda este punto. 

Aquí es donde se realizan los inventario de los activos de información de la compañía, el análisis de riesgos para comprender el estado de la misma, y la gestión de riesgos llevada a cabo mediante los diferentes Planes de Tratamiento de Riesgos.
Check (Verificar)Act (Actuar)
En esta fase se evalúan y se revisan la efectividad del Sistema de Gestión de Seguridad de la Información planificado e implantado en anteriores fases. Se comprobará que se cumplen aspectos tales como la política de seguridad, los objetivos o los diferentes procedimientos implementados.

Esta fase del ciclo Deming se podría decir que es la equivalente al apartado 9 de la norma ISO 27001, el apartado llamado Evaluación del Desempeño. En esta parte de la norma se determinará qué necesita seguimiento y medición, así como los métodos necesarios para asegurar resultados válidos. Para el seguimiento, medición, análisis y evaluación del SGSI, la organización deberá apoyarse en datos lo suficientemente maduros para obtener valores adecuados que sirvan de referente.
En esta última fase del ciclo se mantendrá y mejorará el SGSI. Es decir, se llevarán a cabo acciones y planes tanto correctivos como preventivos para mejorar los resultados obtenidos e implementar y conseguir así una mejora continua del Sistema de Gestión de la Seguridad de la Información.

En esta última fase corresponde al punto 10 llamado Mejora de la norma. A su vez este apartado se divide en dos:
1.- se realiza en este punto la gestión de las no conformidades detectadas en el sistema, tanto a través de auditorías internas/externas como a través de empleados de la compañía que en la realización de sus funciones detecten posibles deficiencias o incumplimientos. 
2.- se deberá llevar a cabo un proceso de mejora continua, es decir, un proceso de mantenimiento del SGSI continuo, en el que se buscará mejorar la eficacia y eficiencia del SGSI implantado por la organización.

Fuentes de información para el presente Post de Investigación: globalsuitesolutions.com/es/

Visita el Glosario de Términos de Project Management | ¡Se actualiza día con dia!

Síguenos en las Redes Sociales y ahora en todos los canales de Podcasts, para obtener actualizaciones periódicas y opiniones sobre lo que está sucediendo en el mundo de Project Manager, Agile, Big Data, Cloud, Scrum y mas…
Busca iPMOGuide en Facebook | Twitter | LinkedIn | Pinterest | Podcast

¿Tienes Telegram instalado?
Recibe este Post en nuestro canal, en tu móvil ó tablet.

Nos leemos pronto, ¡un abrazo!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.