by drmunozcl
Share
Por drmunozcl
Compartir
¿En qué consiste la Cláusula 10 de ISO/IEC 27001?
Esta cláusula marca la pauta para la evolución y optimización del SGSI, dividida en:
-
10.1 Mejora continua
- Exige que la organización mantenga y mejore de forma activa la idoneidad, adecuación y eficacia del SGSI.
- Enfatiza el uso de lecciones aprendidas de incidentes, auditorías internas o sugerencias del personal para impulsar cambios que fortalezcan la seguridad.
-
10.2 No conformidad y acciones correctivas
- Establece el proceso formal para tratar no conformidades: identificarlas, reaccionar ante ellas y analizar sus causas para que no vuelvan a ocurrir.
- Obliga a la documentación del proceso, desde la detección hasta las acciones correctivas y el seguimiento de la eficacia de dichas acciones.
Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 10
Clarificación en la documentación de acciones correctivas
- Se mantienen requisitos similares a la versión 2013, pero se hace mayor hincapié en la consistencia de los registros.
- La organización debe no solo solucionar el problema sino también demostrar que las medidas han sido eficaces. Este enfoque continuo afianza la cultura de aprendizaje y prevención de reincidencias.
Engranaje con la nueva cláusula 6.3 (Planificación de cambios)
- En la versión 2022 se introduce formalmente la cláusula 6.3, que afecta la forma de abordar cambios. Esto incide en la cláusula 10, pues muchos cambios derivados de acciones correctivas o de mejora requieren un plan de implementación claro (recursos, responsables, plazos, etc.).
- El SGSI debe contemplar que no conformidades o incidentes pueden llevar a cambios de procesos, controles o tecnología, y que estos cambios deben planificarse y revisarse para garantizar su eficacia.
Impulso a la mejora como proceso cíclico
- La versión 2013 ya definía el ciclo PDCA (Plan-Do-Check-Act), pero en 2022 se enfatiza que la mejora continua necesita retroalimentación constante desde las fases de evaluación de desempeño (cláusula 9).
- De esta manera, existe un circuito cerrado en el que los hallazgos de auditoría, la revisión por la dirección y el análisis de incidentes alimentan directamente el plan de mejora, evitando que queden recomendaciones en el olvido.
Enviar enlace de descarga a:Guía de implementación de Cláusula 10 (PDF)
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
La seguridad de la información suele estar rodeada de términos técnicos y percepciones que pueden resultar complejas para quienes recién comienzan a explorar este mundo. Por eso, hemos creado el video “Desmitificando la ISO 27001”, una pieza desarrollada con inteligencia artificial luego de algunas pruebas experimentales. Este video es una excelente puerta de entrada para
Si te enfrentas a ransomware, auditorías exigentes y clientes que piden garantías, probablemente te preguntas por dónde empezar para fortalecer la seguridad. El ruido de marcos y buenas prácticas no ayuda. Aquí es donde ISO 27002 aporta claridad y orden: es el catálogo de controles de seguridad que te guía para proteger la información con
Cuando la tecnología, la regulación y las expectativas de clientes cambian más rápido que tu roadmap, el riesgo no espera. La Evaluación Entorno Externo PESTEL ISO 27001 te permite anticipar amenazas y oportunidades con método, alineando el contexto externo con tu Sistema de Gestión de Seguridad de la Información (SGSI). ¿Por qué importa la Evaluación
Implementar un SGSI que resista auditorías y ataques no es cuestión de suerte. El Análisis FODA en ISO 27001 ofrece una forma clara y práctica de entender tu contexto, priorizar riesgos y alinear inversiones de seguridad con objetivos del negocio. Si diriges TI o una pyme, este enfoque te ayuda a decidir dónde actuar primero,
