9. Evaluación del rendimiento.

Este es otro de los apartados más importantes de este reenfoque de la gestión hacia la búsqueda de resultados. Si en la cláusula 6.2 Objetivos hemos definido cuales son los beneficios esperados del funcionamiento del SGSI, en esta cláusula 9 se establece cómo se analizará si dichos objetivos se están o no cumpliendo.

9.1. Monitorización, medición, análisis y evaluación.

Para que la organización pueda evaluar el rendimiento y la efectividad del SGSI, se tiene que concretar y determinar:

A)    que necesita ser monitorizando y medido, incluyendo los procesos de seguridad y controles.

B)    los métodos para monitorizar, medir, analizar y evaluar, cuando sea aplicable, para asegurar unos resultados adecuados.

C)   cuando las monitorizaciones y mediciones deberán ser realizadas.

D)    quién deberá monitorizar y medir.

E)     cuando los resultados de la monitorización y medición deberán ser analizados y evaluados (rangos de normalidad y anomalía)

F)     quien analizara y evaluara estos resultados.

9.2 Auditoría interna.

Otra de las actividades fundamentales dentro del proceso de retroalimentación y control de todo sistema es la actividad de verificación o chequeo. En este caso, corresponde al proceso de gestión de la auditoría interna. La norma determina que la organización deberá realizar auditorías internas a intervalos planificados para obtener información sobre el funcionamiento del SGSI en relación a:

A)    es conforme con:

1. los requisitos propios de la organización para el SGSI.
2. los requisitos del estándar.

B)    está eficientemente implantado y mantenido. De nuevo se debe valorar el logro de  los resultados esperados.

Para ello, se debe planificar, establecer, implementar y mantener un programa de auditoría, incluyendo la frecuencia de las mismas, los métodos, responsabilidades, requisitos de planificación e informes. De este proceso es esencial asegurar que los resultados se reportan a la dirección aunque ello se consigue en el proceso de Revisión por Dirección al considerar la auditoría como una de las entradas a dicho proceso.

9.3. Revisión por Dirección.

Como resultado de las actividades de análisis de la gestión (Monitorización, medición y auditoría interna) debe llegar la fase de toma de decisiones o de realización de ajustes. En todo ciclo de control de sistemas, las desviaciones son gestionadas modificando los criterios de control para lograr que cambien las cosas y que las salidas sean las esperadas. En este proceso de gestión del SGSI, la alta dirección deberá revisar el SGSI a intervalos planificados para asegurar su continúa adecuación, vigencia y efectividad. En este caso, la revisión por la dirección deberá considerar como entradas:

A)    el estado de las acciones de anteriores revisiones.

B)    cambios en asuntos internos o externos que sean relevantes para el SGSI.

C)   retroalimentación del rendimiento de la seguridad de la información, incluyendo estadísticas sobre:

1. no conformidades y acciones correctivas.
2. medición de la monitorización y la medición de resultados
3. resultados de las auditorías,
4. cumplimiento de los objetivos de seguridad.

D)    retroalimentación de las partes interesadas.

E)     resultados del análisis de riesgos y del estado del plan de tratamiento.

F)     oportunidades de mejora continúa.

La salida de la revisión de la dirección deberá incluir las decisiones relativas a las oportunidades de mejora continua y las necesidades de cambios del SGSI.

10. Mejora

Esta es el proceso de ajuste o de control de desviaciones del SGSI donde las cosas que no funcionan de forma adecuada son documentadas para aplicar acciones de corrección que mitiguen tanto las consecuencias directas como las causas que las ocasionan.

10.1. No conformidad y acción correctiva.

Esta subcláusula ahora está más claramente descrita y formaliza mejor el proceso de gestión de no conformidades y acciones correctivas indicando como requisitos que cuando una no conformidad se identifique habrá que:

A)    reaccionar contra la no conformidad y cuando sea aplicable:

1. tomar acciones para controlar y corregirla, y
2. tratar con sus consecuencias.

B)    evaluar las necesidades de acciones para eliminar las causas de la no conformidad con el objetivo de que no se repita u ocurra de nuevo, mediante:

1. revisando la no conformidad.
2. determinando las causas de la no conformidad.
3. determinando si existen similares no conformidad es o si potencialmente podrían ocurrir.

C)   implementar la acción necesaria.

D)    revisar la efectividad de las acciones correctivas tomadas

E)     hacer cambios en el SGSI si fueran necesarios.

Las acciones correctivas deberán ser adecuadas para los efectos de las no conformidades encontradas.

10.2. Mejora continua

Como filosofía general del ciclo de Deming o PDCA, esta subcláusula determina que el propósito fundamental de la organización deberá ser el mejorar de forma continua la vigencia, adecuación y efectividad del SGSI, es decir, año tras año debe buscarse el consolidar las cosas que se hacen bien, mejorar las que no funcionan o plantearse nuevos controles para seguir reduciendo niveles de riesgo y los umbrales de aceptación de los mismos.