4.1 Comprensión de la Organización y su Contexto.
Requisito.
La organización determina cuestiones externas e internas relevantes para su propósito y que afectan su capacidad para lograr los resultados previstos del sistema de gestión de seguridad de la información (SGSI).
Como una función integral del SGSI, la organización se analiza continuamente a sí misma y analiza el mundo que la rodea. Este análisis tiene que ver con cuestiones externas e internas que afectan de alguna manera la seguridad de la información y cómo se puede gestionar la seguridad de la información, y que son pertinentes a los objetivos de la organización.
Los tres propósitos del análisis cuestiones internas y externas:
- Comprender el contexto para decidir el alcance del SGSI.
- Analizar el contexto para determinar los riesgos y las oportunidades.
- Asegurar que el SGSI está adaptado a las cuestiones externas e internas cambiantes.
Explicación.
Las cuestiones externas son aquellos que están fuera del control de la organización. Esto a menudo se conoce como el entorno de la organización. El análisis de este entorno puede incluir los siguientes aspectos:
- Natural
- Social y Cultural
- tecnológico
- Financiero y macroeconómico
- Competitivo
- Político, legal, normativo y reglamentario
Estos aspectos del entorno de la organización presentan continuamente cuestiones que afectan la seguridad de la información y la manera en que ésta se puede gestionar. Por ejemplo, los problemas externos para una organización específica pueden incluir:
- Las implicaciones legales del uso de un servicio de TI subcontratado (aspecto legal);
- Características de la naturaleza en términos de posibilidad de desastres como incendios, inundaciones y terremotos (aspecto natural);
- Avances técnicos de herramientas de hacking y uso de criptografía (aspecto tecnológico); y
- La demanda general de los servicios de la organización (aspectos sociales, culturales o financieros).
Las cuestiones internas están sujetos al control de la organización. El análisis de los problemas internos puede incluir los siguientes aspectos:
- Cultura de la Organización
- Las auditorías previas y los resultados de valoraciones de riesgo previas
- Los sistemas de información, los flujos de información, los procesos de toma de decisiones
- La infraestructura física el ambiente
- Capacidades, en términos de recursos y conocimiento
- Procesos y procedimientos
- Normas, las directrices y los modelos adoptados
- Gobierno, la estructura organizacional, los roles y las responsabilidades
- Políticas, objetivos y estrategias
Guía.
Los resultados de esta actividad se pueden utilizar en las cláusulas : 4.3, 6.1 y 9.3.
Basado en la comprensión del propósito de la organización (por ejemplo, haciendo referencia a su declaración de misión o plan de negocios), así como los resultados previstos del SGSI de la organización, esta debe:
- Revisar el entorno externo para identificar cuestiones externas e internas relevantes, se pueden plantear las siguientes preguntas:
- ¿Cómo funciona una determinada categoría?
- ¿Qué cuestiones afectan los objetivos de seguridad de la información?
Ejemplo 1 Sobre gobernanza y estructura organizacional: Al establecer un SGSI, se deben tener en cuenta las estructuras organizativas y de gobernanza ya existentes.
Por ejemplo, la organización puede modelar la estructura de su SGSI basándose en la estructura de otros existentes sistemas de gestión y pueden combinar funciones comunes, como la revisión de la gestión y la auditoría.
Ejemplo 2 sobre políticas, objetivos y estrategias: Un análisis de las políticas, objetivos existentes y estrategias, pueden indicar lo que la organización pretende lograr y cómo se implementa la seguridad de la información. Los objetivos se pueden alinear con los objetivos comerciales para garantizar resultados exitosos.
Ejemplo 3 sobre sistemas de información y flujos de información: Al determinar las cuestiones internas la organización debería identificar, con un nivel suficiente de detalle, los flujos de información entre sus diversos sistemas de información.
Tanto los problemas externos como los internos cambiarán con el tiempo, los problemas y su influencia en el alcance, las limitaciones y los requisitos del SGSI deben revisarse periódicamente.
La información documentada sobre esta actividad y su resultado es obligatoria sólo en la forma y la medida que la organización considere necesaria para la eficacia de su sistema de gestión.
