Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿En qué consiste la Cláusula 9?

La Cláusula 9 establece los requisitos para medir, monitorizar y evaluar la eficacia del SGSI. Se divide en tres grandes apartados:

  1. 9.1 Seguimiento, medición, análisis y evaluación

    • Determina qué y cómo se va a medir (procesos, controles, incidentes, resultados de auditoría, etc.).
    • Define la periodicidad de la medición y análisis, así como la responsabilidad de llevarlos a cabo.
    • Requiere mantener la información documentada de los resultados.

  2. 9.2 Auditoría interna

    • Establece la obligación de realizar auditorías internas a intervalos planificados para verificar que:
      1. El SGSI cumple con los requisitos de la organización y de la norma.
      2. Está correctamente implementado y funciona de forma eficaz.
    • Incluye la elaboración de un programa de auditoría que especifique la frecuencia, los métodos y las responsabilidades.

  3. 9.3 Revisión por la dirección

    • Pide a la Alta Dirección revisar periódicamente el SGSI para asegurar su conveniencia y eficacia.
    • Esta revisión debe analizar indicadores, auditorías, incidentes y cualquier factor interno o externo que afecte la seguridad de la información.
    • Culmina en la toma de decisiones sobre mejoras y ajustes que mantengan el SGSI actualizado y robusto.

Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 9

  1. Refuerzo del enfoque basado en riesgos y oportunidades

    • En la versión 2013 ya se manejaba el concepto de riesgos, pero en 2022 se hace más énfasis en evaluar también las oportunidades que brinde la seguridad de la información. Por tanto, los mecanismos de seguimiento y medición pueden ir más allá de evitar incidentes, buscando también aspectos positivos (p. ej., mejoras en la reputación o en la confianza de los clientes).

  2. Mayor alineación con Anexo SL revisado

    • La estructura del Anexo SL se ve reflejada en el texto. Aunque ya existía en 2013, ahora está más pulida la consistencia con otras normas de sistemas de gestión (como ISO 9001 o ISO 22301).
    • Esto se traduce en una redacción más clara y en requisitos coherentes con otros sistemas cuando se realiza la revisión por la dirección y las auditorías.

  3. Auditoría interna con foco en la competencia

    • En 2022 se subraya un poco más la importancia de que las personas encargadas de las auditorías internas tengan la competencia adecuada, no solo en metodologías de auditoría, sino también en ciberseguridad y en la realidad específica de la organización.
    • Esto facilita la detección de brechas reales y fomenta que las auditorías ofrezcan valor agregado más allá de un mero check de cumplimiento.

  4. Clarificaciones en la revisión por la dirección

    • En la nueva versión, se menciona de manera más explícita la evaluación de resultados frente a los objetivos definidos en la cláusula 6.2 (Objetivos de la Seguridad de la Información).
    • Se impulsa un ciclo de retroalimentación más evidente: la Alta Dirección analiza resultados, toma decisiones y actualiza el SGSI para mejorar continuamente su eficacia.

  5. Uso de métricas y registros

    • Continúa la idea de la necesidad de evidencias documentadas, pero en la norma 2022 se aprecia un lenguaje más directo sobre la importancia de medir y analizar datos relevantes que permitan tomar decisiones informadas (especialmente en incidentes y acciones correctivas).
    • Se pone más énfasis en vincular las métricas de seguridad con los resultados que la organización desea lograr.

Guía de implementación de Cláusula 9 (PDF)

El siguiente documento es una guía de implementación de la cláusula 9. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • codificación seguro iso 27001 control 8.28

    Implementación Control A.8.28 – Codificación segura

    El control 8.28 de ISO/IEC 27001:2022 establece la necesidad de aplicar prácticas de codificación segura durante el desarrollo de software y sistemas, con el fin de minimizar vulnerabilidades que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. En este artículo, te guiamos paso a paso en su implementación. Objetivo del Control 8.28 “Asegurar

  • WAF - filtrado web control 8.23 iso 27001

    Implementación Control A.8.23 – Filtrado web

    El control 8.23 – Filtrado Web de la norma ISO/IEC 27001:2022 tiene como objetivo proteger a la organización de amenazas derivadas del acceso a contenidos maliciosos o inapropiados en la web, mediante la implementación de mecanismos de control y monitoreo del tráfico web. A continuación, se describe una guía práctica para su implementación exitosa. Objetivo

  • monitoreo control 8.16 iso27001

    Implementación Control A.8.16 – Actividades de monitoreo

    El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con

  • Ejemplo de Declaración de Aplicabilidad ISO 27001 (SoA)

    La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su