BG Beter Geregeld ICT
Compliance · 2 min leestijd · 02 noviembre 2025

El ciclo PDCA explicado para directivos

Plan-Do-Check-Act suena burocrático. En la práctica es: escribe lo que haces, hazlo, comprueba si funciona, ajústalo. Aquí la explicación más breve y útil.

PDCA es el hilo conductor de todo ISMS. ISO 27001 exige que apliques este ciclo. En la práctica se da en tres niveles: estratégico (anual), táctico (trimestral) y operativo (continuo).

Estratégico: anual

  • Plan: plan anual con 2-5 objetivos de seguridad.
  • Do: ejecución a lo largo del año.
  • Check: auditoría interna + revisión por la dirección.
  • Act: el siguiente plan anual incorpora los hallazgos.

Táctico: ritmo trimestral

  • Planificación: ¿qué controles requieren atención este periodo?
  • Ejecución: revisiones de acceso, pruebas de copias de seguridad, actualizaciones de políticas.
  • Check: recopilar hallazgos, actualizar el registro de riesgos.
  • Act: planificar medidas correctivas.

Operativo: continuo

Registrar incidentes, realizar simulacros de phishing, análisis de vulnerabilidades, aplicar parches. Cada semana hay algo.

Una regla común

Registra todos los ciclos (anual, trimestral, semanal) en el mismo calendario/herramienta. Un ISMS que solo existe en la memoria es un ISMS que no sobrevivirá la primera auditoría.

Véase también qué es un ISMS.

Onderwerpen

#governance #iso-27001 #pdca #management

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 para pymes sin gastar €50k en consultores

ISO 27001 es perfectamente alcanzable si entiendes su estructura. Aquí encontrarás el trabajo mínimo que necesita una pyme de 30 personas para superar una auditoría Stage 2, cuánto cuesta y dónde los consultores sí aportan valor.

2 min
Compliance

Costes de ISO 27001: del primer análisis de brechas al certificado

Presupuesto realista para una pyme de 30 personas. Horas internas, auditoría externa, consultoría (la mínima imprescindible) y mantenimiento anual. Sin humo.

2 min
Compliance

¿ISO 27001 o SOC 2? ¿Cuál encaja con tu pyme neerlandesa?

ISO 27001 está orientado al mercado europeo; SOC 2, al americano. ¿Cuál exigen tus clientes? ¿Y pueden combinarse? Aquí tienes las diferencias prácticas para una pyme.

2 min
Compliance

NEN 7510 para empresas del sector salud: un paso más allá del ISO 27001

¿Trabajas en el sector salud o con él? NEN 7510 es una realidad junto a (o en lugar de) ISO 27001. La superposición es amplia; las diferencias están en los datos de pacientes y controles específicos del Anexo.

2 min
Compliance

La revisión por la dirección: ¿qué debe incluir y quién participa?

Uno de los requisitos de la sección 9 de ISO 27001. Anual, con la dirección, 2 horas. Aquí tienes la agenda que acepta un auditor y que además te sirve como ejercicio de preparación.

2 min
Compliance

Cómo crear un registro de incidentes que convenza a los auditores

Un registro de incidentes vacío es una señal de alarma para los auditores. No significa que no haya incidentes, sino que no los estás registrando. Aquí te explicamos cómo crear un registro funcional.

2 min
← Alle artikelen in "Compliance"