ISO/IRC 27001: PDCA
ISO/IEC 27001
Ya hemos indicado que "la norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas".
El objetivo es la mejora continua y se adopta el modelo Plan-Do-Check-Act (PDCA o ciclo Demming) para todos los procesos de la organización.
Las fases de este modelo son:
- Planificación (Plan) [establecer el SGSI]
Establecer la política, objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización.
- Identificar lo que se quiere mejorar.
- Recopilar datos del proceso que se quiere mejorar.
- Analizar los datos recogidos.
- Establecer los objetivos de mejora.
- Detallar los resultados esperados.
- Definir los procesos necesarios conseguir los objetivos.
- Ejecución (Do) [implementar y gestionar el SGSI]
Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos. En la medida de lo posible debería hacerse en un entorno de prueba para poder verificar sus resultados antes de implantarlo en el sistema real.
- Seguimiento (Check) [monitorizar y revisar el SGSI]
Verificar. Medir y revisar las prestaciones de los procesos del SGSI. Comprobar que las medidas adoptadas han surtido efecto, para ello se debe volver a recopilar datos y monitorizar el comportamiento del sistema.
- Mejora (Act) [mantener y mejorar el SGSI]
Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas con el objetivo de mejorar el SGSI. Hace referencia a la actitud que se debe tomar después de los tres primeros pasos y dependerá de lo que haya ocurrido. En caso de haber ocurrido algún mal funcionamiento, se deberá repetir el ciclo de nuevo. Si el funcionamiento ha sido correcto, se instalarán las modificaciones en el sistema de manera definitiva.