Determinación del Alcance.
La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de la información para establecer su alcance.
Cuando se determina este alcance, la organización debe considerar:
- Las cuestiones externas e internas referidas en el apartado 4.1.
- Los requisitos referidos en el apartado 4.2.
- Las interfaces y dependencias entre las actividades realizadas por la organización y las que se llevan a cabo por otras organizaciones.
Una correcta definición del alcance permitirá:
- Determinar los recursos necesarios evitando el uso innecesario de recursos (en términos de tiempo, costo y esfuerzo)
- Planificar la implementación del SGSI determinando el calendario y el presupuesto necesarios.
- Alinear los requisitos de seguridad de la organización con los ejercicios de análisis y evaluación de riesgos.
El alcance debe estar disponible como información documentada.
Un documento de definición de alcance podría considerar lo siguiente:
- Características de la organización.
- Procesos de la organización.
- Funciones y responsabilidades.
- Activos de información.
- Ubicación geográfica.
- Alcance y límites desde la perspectiva organizacional.
- Alcance y límites desde la perspectiva tecnológica.