FISO27001_T025 Determinación del Alcance

Plataformas de Aprendizaje Autodirigido

Determinación del Alcance.

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de la información para establecer su alcance.

Cuando se determina este alcance, la organización debe considerar:

  1. Las cuestiones externas e internas referidas en el apartado 4.1.
  2. Los requisitos referidos en el apartado 4.2.
  3. Las interfaces y dependencias entre las actividades realizadas por la organización y las que se llevan a cabo por otras organizaciones.

Una correcta definición del alcance permitirá:

  • Determinar los recursos necesarios evitando el uso innecesario de recursos (en términos de tiempocosto y esfuerzo)
  • Planificar la implementación del SGSI determinando el calendario y el presupuesto necesarios.
  • Alinear los requisitos de seguridad de la organización con los ejercicios de análisis y evaluación de riesgos.

El alcance debe estar disponible como información documentada.

Un documento de definición de alcance podría considerar lo siguiente:

  • Características de la organización.
  • Procesos de la organización.
  • Funciones y responsabilidades.
  • Activos de información.
  • Ubicación geográfica.
  • Alcance y límites desde la perspectiva organizacional.
  • Alcance y límites desde la perspectiva tecnológica.