BG Beter Geregeld ICT
Compliance · 2 min leestijd · 10 noviembre 2025

La revisión por la dirección: ¿qué debe incluir y quién participa?

Uno de los requisitos de la sección 9 de ISO 27001. Anual, con la dirección, 2 horas. Aquí tienes la agenda que acepta un auditor y que además te sirve como ejercicio de preparación.

La revisión por la dirección no es un mero trámite — es el único momento obligatorio al año en que la dirección se compromete explícitamente con el SGSI. 2 horas, una vez al año.

¿Quién participa?

  • Dirección (responsable última del SGSI)
  • CISO / responsable de seguridad (que en una pyme puede ser el propio director)
  • Delegado de Protección de Datos (cuando sea relevante para el GDPR)
  • Responsable de cumplimiento (cuando proceda)

Agenda (fija)

  1. Seguimiento de la revisión anterior — ¿qué se decidió y qué se ha ejecutado?
  2. Cambios en el contexto externo (legislación, requisitos de clientes, panorama de amenazas).
  3. Cambios en el contexto interno (reorganización, nuevos sistemas, crecimiento).
  4. Gestión de riesgos — estado del registro de riesgos, top 5 de riesgos residuales.
  5. Resultados de auditorías internas y externas (auditorías de fase, de seguimiento).
  6. Resumen de incidentes — número, categorías, lecciones aprendidas.
  7. Estado de los controles y las revisiones de acceso.
  8. Evaluación de objetivos — ¿se han alcanzado las metas de seguridad?
  9. Recursos — ¿cuenta el SGSI con personal y financiación suficientes?
  10. Iniciativas de mejora para el próximo año.
  11. Lista de acciones y decisiones.

Evidencia

Acta con decisiones claras, nombres, fechas y acciones. Firmada o confirmada digitalmente por la dirección. Este es el documento clave que todo auditor solicitará.

Véase también: ciclo PDCA, checklist pre-auditoría.

Onderwerpen

#governance #iso-27001 #management-review

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 para pymes sin gastar €50k en consultores

ISO 27001 es perfectamente alcanzable si entiendes su estructura. Aquí encontrarás el trabajo mínimo que necesita una pyme de 30 personas para superar una auditoría Stage 2, cuánto cuesta y dónde los consultores sí aportan valor.

2 min
Compliance

Costes de ISO 27001: del primer análisis de brechas al certificado

Presupuesto realista para una pyme de 30 personas. Horas internas, auditoría externa, consultoría (la mínima imprescindible) y mantenimiento anual. Sin humo.

2 min
Compliance

¿ISO 27001 o SOC 2? ¿Cuál encaja con tu pyme neerlandesa?

ISO 27001 está orientado al mercado europeo; SOC 2, al americano. ¿Cuál exigen tus clientes? ¿Y pueden combinarse? Aquí tienes las diferencias prácticas para una pyme.

2 min
Compliance

NEN 7510 para empresas del sector salud: un paso más allá del ISO 27001

¿Trabajas en el sector salud o con él? NEN 7510 es una realidad junto a (o en lugar de) ISO 27001. La superposición es amplia; las diferencias están en los datos de pacientes y controles específicos del Anexo.

2 min
Compliance

El ciclo PDCA explicado para directivos

Plan-Do-Check-Act suena burocrático. En la práctica es: escribe lo que haces, hazlo, comprueba si funciona, ajústalo. Aquí la explicación más breve y útil.

2 min
Compliance

Cómo crear un registro de incidentes que convenza a los auditores

Un registro de incidentes vacío es una señal de alarma para los auditores. No significa que no haya incidentes, sino que no los estás registrando. Aquí te explicamos cómo crear un registro funcional.

2 min
← Alle artikelen in "Compliance"