top of page
Buscar

ISO27001:2022 ¿Qué es el enfoque PHVA y para qué sirve?

  • Foto del escritor: Claudio Magagnotti
    Claudio Magagnotti
  • 20 abr
  • 2 Min. de lectura
El PHVA significa Planificar-Hacer-Verificar-Actuar (en inglés, PDCA: Plan-Do-Check-Act).

Es un ciclo que usás para gestionar cualquier sistema... como el SGSI (Sistema de Gestión de Seguridad de la Información) de ISO 27001:2022. Es como un método para armar, implementar y mejorar el sistema de manera ordenada y continua.



ree

El PHVA te ayuda a:

  • Armar el SGSI de manera estructurada.

  • Mejorarlo constantemente, que es un requisito clave de ISO 27001 (Cláusula 10)

  • Asegurarte de que todo esté bajo control, desde la planificación hasta la mejora.


Desglose de cada etapa del PHVA


Etapa

Qué significa

Cláusulas asociadas (ISO 27001)

Planificar

Definís qué vas a hacer: objetivos, riesgos, políticas, alcance, y cómo lo vas a implementar. Es la etapa de pensar y preparar todo.

Cláusulas 4: Contexto (alcance, partes interesadas). 5: Liderazgo (política). 6: Planificación (riesgos, objetivos).

Hacer

Ejecutás lo que planificaste: implementás controles, procesos, y recolectás registros. Es la etapa de poner manos a la obra.

Cláusula 8: 8: Operación (implementar controles, tratar riesgos).

Verificar

Chequeás si todo está funcionando: monitoreás, hacés auditorías internas, y la dirección revisa el sistema. Es la etapa de control.

Cláusula 9 9.1: Monitoreo y medición. 9.2: Auditorías internas. 9.3: Revisión por la dirección.

Actuar

Mejorás el sistema: corregís no conformidades y buscás mejoras continuas. Es la etapa de ajustar y optimizar.

Cláusula 10 : 10.1: Mejora continua. 10.2: Acciones correctivas.



Cómo se aplica el PHVA en ISO 27001:2022


El PHVA es el esqueleto del SGSI, y cada etapa se conecta con las cláusulas:

  1. Planificar (Cláusulas 4-6):

    • Definís el contexto (Cláusula 4): ¿Dónde estás parado? ¿Qué partes interesadas tenés? ¿Qué alcance va a tener el SGSI?.

    • La dirección lidera (Cláusula 5): Establecés la política de seguridad y los roles.

    • Planificás riesgos y objetivos (Cláusula 6): Identificás riesgos, elegís controles, y definís metas.

  2. Hacer (Cláusula 8):

    • Implementás lo que planificaste: aplicás los controles del Anexo A, tratás los riesgos, y ejecutás los procesos del SGSI.

    • También recolectás registros para tener evidencia de que todo está funcionando.

  3. Verificar (Cláusula 9):

    • Monitoreás y medís el desempeño del SGSI (Cláusula 9.1): ¿Está funcionando como esperabas?.

    • Hacés auditorías internas (Cláusula 9.2): Revisás si el SGSI cumple con ISO 27001 y los objetivos de la organización.

    • La alta dirección revisa el sistema (Cláusula 9.3): Chequea si hay que ajustar algo .

  4. Actuar (Cláusula 10):

    • Tomás acciones para mejorar: corregís no conformidades (Cláusula 10.2) y buscás mejora continua (Cláusula 10.1).

    • Esto asegura que el SGSI no se quede estático, sino que siempre esté evolucionando.

 
 
 
bottom of page