Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿En qué consiste la Cláusula 9?

La Cláusula 9 establece los requisitos para medir, monitorizar y evaluar la eficacia del SGSI. Se divide en tres grandes apartados:

  1. 9.1 Seguimiento, medición, análisis y evaluación

    • Determina qué y cómo se va a medir (procesos, controles, incidentes, resultados de auditoría, etc.).
    • Define la periodicidad de la medición y análisis, así como la responsabilidad de llevarlos a cabo.
    • Requiere mantener la información documentada de los resultados.

  2. 9.2 Auditoría interna

    • Establece la obligación de realizar auditorías internas a intervalos planificados para verificar que:
      1. El SGSI cumple con los requisitos de la organización y de la norma.
      2. Está correctamente implementado y funciona de forma eficaz.
    • Incluye la elaboración de un programa de auditoría que especifique la frecuencia, los métodos y las responsabilidades.

  3. 9.3 Revisión por la dirección

    • Pide a la Alta Dirección revisar periódicamente el SGSI para asegurar su conveniencia y eficacia.
    • Esta revisión debe analizar indicadores, auditorías, incidentes y cualquier factor interno o externo que afecte la seguridad de la información.
    • Culmina en la toma de decisiones sobre mejoras y ajustes que mantengan el SGSI actualizado y robusto.

Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 9

  1. Refuerzo del enfoque basado en riesgos y oportunidades

    • En la versión 2013 ya se manejaba el concepto de riesgos, pero en 2022 se hace más énfasis en evaluar también las oportunidades que brinde la seguridad de la información. Por tanto, los mecanismos de seguimiento y medición pueden ir más allá de evitar incidentes, buscando también aspectos positivos (p. ej., mejoras en la reputación o en la confianza de los clientes).

  2. Mayor alineación con Anexo SL revisado

    • La estructura del Anexo SL se ve reflejada en el texto. Aunque ya existía en 2013, ahora está más pulida la consistencia con otras normas de sistemas de gestión (como ISO 9001 o ISO 22301).
    • Esto se traduce en una redacción más clara y en requisitos coherentes con otros sistemas cuando se realiza la revisión por la dirección y las auditorías.

  3. Auditoría interna con foco en la competencia

    • En 2022 se subraya un poco más la importancia de que las personas encargadas de las auditorías internas tengan la competencia adecuada, no solo en metodologías de auditoría, sino también en ciberseguridad y en la realidad específica de la organización.
    • Esto facilita la detección de brechas reales y fomenta que las auditorías ofrezcan valor agregado más allá de un mero check de cumplimiento.

  4. Clarificaciones en la revisión por la dirección

    • En la nueva versión, se menciona de manera más explícita la evaluación de resultados frente a los objetivos definidos en la cláusula 6.2 (Objetivos de la Seguridad de la Información).
    • Se impulsa un ciclo de retroalimentación más evidente: la Alta Dirección analiza resultados, toma decisiones y actualiza el SGSI para mejorar continuamente su eficacia.

  5. Uso de métricas y registros

    • Continúa la idea de la necesidad de evidencias documentadas, pero en la norma 2022 se aprecia un lenguaje más directo sobre la importancia de medir y analizar datos relevantes que permitan tomar decisiones informadas (especialmente en incidentes y acciones correctivas).
    • Se pone más énfasis en vincular las métricas de seguridad con los resultados que la organización desea lograr.

Guía de implementación de Cláusula 9 (PDF)

El siguiente documento es una guía de implementación de la cláusula 9. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • ¿Cómo preparar una empresa de servicios para la auditoría ISO 27001?

    Preparar una empresa de servicios para la auditoría ISO 27001 no tiene por qué ser una carrera de último minuto. Si tu equipo depende de datos para operar y cerrar contratos, fallar la auditoría puede costarte clientes, reputación y foco operativo. La buena noticia: con un plan claro, la auditoría ISO 27001 se convierte en

  • Protección de datos personales y sensibles (Infografía)

    Esta guía visual explica cómo proteger datos personales y sensibles en el trabajo: qué son, cómo cumplir la ley (Ley de Protección de Datos y GDPR) y buenas prácticas para clasificar documentos, asegurar bases de datos y compartir información con control. Incluye recomendaciones clave como cifrado, MFA, minimización y auditoría.

  • Recordatorio: Fecha límite de transición de ISO 27001 versión 2013 a 2022

    La transición de ISO/IEC 27001:2013 a ISO/IEC 27001:2022 ya no es opcional: es una obligación con fechas límite claras. Si tu organización aún opera bajo la versión 2013, necesitas actuar ahora para evitar la caducidad del certificado, la pérdida de elegibilidad en licitaciones y la erosión de confianza con clientes y auditores. La fecha límite

  • Uso responsable de dispositivos y equipos de trabajo (Infografía)

    El uso responsable de computadores, móviles y tablets es clave para proteger la información de tu organización. En esta guía práctica aprenderás hábitos esenciales: bloquear el equipo al ausentarte, instalar solo software autorizado, separar el uso personal del corporativo y aplicar precauciones en dispositivos móviles (PIN/biometría, actualizaciones, VPN).