1. 3. Procedimiento de revisión por dirección
Es imprescindible que la Dirección proporcione medios y apoyo para llevar a cabo
cualquier cambio en la cultura de la seguridad.
La Dirección de la organización deberá participar en la toma de decisiones relacionada con
la seguridad de la información y hacer un “seguimiento” de los procedimientos, controles, u
otros mecanismos implementados para garantizar el buen funcionamiento del SGSI.
El procedimiento por parte de la dirección debe tener lo siguiente:
• La Dirección realizará, con un periodo inferior a un año, controles para verificar el
cumplimiento de todos los estándares, normas y procedimientos establecidos en el
SGSI. El Responsable de Seguridad será el encargado de realizar esta revisión.
• El análisis de la situación se realizará al menos sobre las siguientes áreas / controles:
o Comprobación del conocimiento de las normas de seguridad por parte de las
personas que acceden a los sistemas de información de la organización.
• Control, revisión y evaluación de registros de: usuarios, incidencias de seguridad,
inventario de activos, etc.
• Control de autorizaciones de delegación de funciones relacionadas con la seguridad.
• El Responsable de Seguridad realizará un breve informe sobre la revisión realizada
anualmente. En este se incluirán las incidencias y deficiencias detectadas y una
relación de soluciones y propuestas de mejora.
• La organización, además de mantener actualizado los documentos del SGSI, y
realizará una revisión, teniendo presente los últimos informes de auditoría, las
incidencias y las revisiones internas.
• La Dirección se encargará de revisar el resultado de las auditorías internas anuales y
hacer un seguimiento de las acciones correctivas (al menos semestralmente). Se
actuará de la misma manera con las auditorías externas con una frecuencia de 3
años, haciendo un seguimiento de las acciones al menos de forma anual.
• De forma puntual se solicitará (al menos una vez al año) un resumen de los
indicadores de seguridad y se analizarán en el comité de seguridad.