4.2 Comprensión de las Necesidades y Expectativas de las Partes Interesadas.
Requisito.
La organización determina las partes interesadas relevantes para el SGSI y sus requisitos relevantes para seguridad de información.
Explicación.
Parte interesada es un término que hace referencia a personas u organizaciones que pueden afectar o verse afectadas o percibirse afectadas por una decisión o actividad de la organización.
Las partes interesadas se pueden encontrar tanto dentro como fuera de la organización y pueden tener necesidades, expectativas y requisitos específicos para la seguridad de la información de la organización.
Partes Interesadas Internas.
- Las personas encargadas de la toma de decisiones, incluida la alta dirección
- Los dueños de los procesos, los dueños de los sistemas y los dueños de la información
- Funciones de soporte tales como TI o recursos humanos
- Empleados y usuarios
- Profesionales en seguridad de la información
Partes Interesadas Externas.
- Reguladores y legisladores
- Accionistas, incluidos los propietarios y los inversionistas
- Proveedores, incluidos los subcontratistas, consultores y socios por contratación externa
- Asociaciones industriales
- Competidores
- Clientes y consumidores
- Grupos de activistas
Guía.
- Se deben tomar los siguientes pasos:
- Identificar partes interesadas externas;
- Identificar las partes interesadas internas; y
- Identificar las necesidades de las partes interesadas.
- A medida que las necesidades, expectativas y Requisitos de las partes interesadas cambian con el tiempo, estos cambios y su influencia en el alcance, las limitaciones y los requisitos del SGSI debe revisarse periódicamente.
- La información documentada sobre esta actividad y su resultado es obligatoria sólo en la forma y medida que la organización considere necesaria para la eficacia de su sistema de gestión.