Caso práctico: La evaluación de desempeño de un SGSI de la ISO/IEC 27001:2022

La norma ISO/IEC 27001:2022 es un estándar internacional emitido por la ISO que define los requisitos en relación a cómo gestionar la seguridad de la información. Esta norma es certificable y puede ser implementada por todo tipo de organizaciones. Su principal objetivo se centra en determinar las mejores prácticas en materia de seguridad de la información.

La evaluación del desempeño en el apartado 9.1 b se ha actualizado para orientar sobre los métodos de seguimiento, medición, análisis y evaluación y establece, que deben producir resultados comparables y reproducibles para ser considerados válidos. Esto era antes una nota a pie de página, por lo que no hay cambios importantes. 

En el apartado 9.1 e se ha suprimido la palabra “y” sin apenas consecuencias. Además, se ha incluido el requisito de que la información documentada esté disponible para demostrar los resultados, convirtiéndolo en un requisito explícito. En lugar de conservar la documentación adecuada como prueba, la línea se ha sustituido por el requisito de evaluar el rendimiento de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información.

Este evento está dirigido a responsables de seguridad de la información, mandos intermedios o técnicos, así como a todos aquellos profesionales que quieran adquirir los conocimientos necesarios para poder liderar la implementación y las auditorías internas de los Sistemas de Gestión de Seguridad de la Información basados en la ISO/IEC 27001:2022.