Comprender las necesidades y expectativas de las partes interesadas

La organización debe determinar los contextos externos e internos que son relevantes para su propósito y que afectan su capacidad de lograr el resultado deseado por su Sistema de Gestión de Seguridad de la Información.

Antes de iniciar el diseño y la implementación del marco de trabajo de la gestión del riesgo, es importante evaluar y entender el contexto externo y el contexto interno de la organización, dado que ambos pueden influir significativamente en el diseño del marco de trabajo.

La enorme importancia de las partes interesadas, que pueden incluir los accionistas, autoridades, incluso el Gobierno, a través de los requisitos legales y reglamentarios, son reconocidos en una cláusula independiente que especifica que todas las partes interesadas deben estar en la lista, junto con todos sus requerimientos.

Para ellos la organización debe determinar:

1. Las partes interesadas que son relevantes para el Sistema de Gestión de Seguridad de la Información.
2. Los requisitos de estas partes interesadas pertinentes a la seguridad informática. Estos requisitos, alineados con la declaración de aplicabilidad, darán una visión completa del marco de control aplicado y su justificación.

¿Cómo adecuarnos y cumplir con este apartado de la norma?

A continuación, vamos a ver un ejemplo de cómo documentar las partes interesadas y sus necesidades (se trata de un ejemplo, por lo que no debe tratarse como listado completo de partes interesadas para cualquier organización, que deberá realizar un análisis de partes interesadas y requisitos).

Determinar el alcance del Sistema de Gestión de Seguridad de la Información

La organización debe establecer los límites y la aplicabilidad del Sistema de Gestión de Seguridad de la Información para determinar su ámbito de aplicación.

Al determinar este ámbito, la organización debe considerar:

1. Los problemas externos e internos.
2. Los requisitos.
3. Las interfaces y las dependencias entre las actividades llevadas a cabo por la organización y las que son realizadas por otras organizaciones.

El ámbito de aplicación debe estar disponible como información documentada.

Sistema de Gestión de la Seguridad de la Información

La organización debe establecer, implementar el SGSI, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la Información de conformidad con los requisitos de esta norma internacional.

Se debe demostrar la implementación de procesos inter-relacionados que demuestren que el SGSI existe, está operativo y es vigente para el contexto y los objetivos de la organización.