by drmunozcl
Share
Por drmunozcl
Compartir
¿En qué consiste la Cláusula 10 de ISO/IEC 27001?
Esta cláusula marca la pauta para la evolución y optimización del SGSI, dividida en:
-
10.1 Mejora continua
- Exige que la organización mantenga y mejore de forma activa la idoneidad, adecuación y eficacia del SGSI.
- Enfatiza el uso de lecciones aprendidas de incidentes, auditorías internas o sugerencias del personal para impulsar cambios que fortalezcan la seguridad.
-
10.2 No conformidad y acciones correctivas
- Establece el proceso formal para tratar no conformidades: identificarlas, reaccionar ante ellas y analizar sus causas para que no vuelvan a ocurrir.
- Obliga a la documentación del proceso, desde la detección hasta las acciones correctivas y el seguimiento de la eficacia de dichas acciones.
Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 10
Clarificación en la documentación de acciones correctivas
- Se mantienen requisitos similares a la versión 2013, pero se hace mayor hincapié en la consistencia de los registros.
- La organización debe no solo solucionar el problema sino también demostrar que las medidas han sido eficaces. Este enfoque continuo afianza la cultura de aprendizaje y prevención de reincidencias.
Engranaje con la nueva cláusula 6.3 (Planificación de cambios)
- En la versión 2022 se introduce formalmente la cláusula 6.3, que afecta la forma de abordar cambios. Esto incide en la cláusula 10, pues muchos cambios derivados de acciones correctivas o de mejora requieren un plan de implementación claro (recursos, responsables, plazos, etc.).
- El SGSI debe contemplar que no conformidades o incidentes pueden llevar a cambios de procesos, controles o tecnología, y que estos cambios deben planificarse y revisarse para garantizar su eficacia.
Impulso a la mejora como proceso cíclico
- La versión 2013 ya definía el ciclo PDCA (Plan-Do-Check-Act), pero en 2022 se enfatiza que la mejora continua necesita retroalimentación constante desde las fases de evaluación de desempeño (cláusula 9).
- De esta manera, existe un circuito cerrado en el que los hallazgos de auditoría, la revisión por la dirección y el análisis de incidentes alimentan directamente el plan de mejora, evitando que queden recomendaciones en el olvido.
Enviar enlace de descarga a:Guía de implementación de Cláusula 10 (PDF)
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
La norma ISO/IEC 27001:2022 es un pilar esencial en la gestión de la seguridad de la información. Su actualización más reciente introduce cambios clave que las organizaciones deben comprender para mantenerse al día y garantizar la protección de sus activos digitales. La falta de cumplimiento con estándares actualizados Muchas empresas aún operan bajo versiones anteriores
La norma ISO 27002 proporciona un enfoque exhaustivo y estructurado para gestionar la seguridad de la información en las organizaciones. Ofrece orientación para garantizar la protección de los datos personales y es esencial para mantener la seguridad y confidencialidad de la información sensible. En este artículo, exploraremos el propósito, los objetivos, el público objetivo y
ISO/IEC 27001 es un estándar para la implementación de un sistema de gestión de la seguridad de la información que establece requisitos para proteger los datos sensibles y mitigar las amenazas cibernéticas. Este artículo tratará todos los aspectos clave de este estándar, incluyendo su finalidad, aplicación y ventajas, así como los requisitos para obtener la
