ILISO27001_T012 4.3 Determinación del Alcance del Sistema de Gestión de la Seguridad de la Información

Plataformas de Aprendizaje Autodirigido

4.3 Determinación del Alcance del Sistema de Gestión de la Seguridad de la Información.

Requisito.

La organización determina los límites y la aplicabilidad del SGSI para establecer su alcance.

Explicación.

  • El alcance define en dónde y para qué es aplicable exactamente el SGSI y en dónde y para qué no lo es.
  • Establecer el alcance es una actividad clave que determina el fundamento necesario para todas las otras actividades en la implementación del SGSI.

Definir, dónde exactamente es aplicable el SGSI, el conocimiento preciso de los límites y aplicabilidad del SGSI, las interfaces y dependencias entre la organización y otras organizaciones es fundamental, ya que cualquier modificación posterior del alcance puede generar considerables esfuerzos y costos adicionales.

Los siguientes factores pueden afectar la determinación del alcance:

    1. Las cuestiones externas e internas descritas en 4.1;
    2. Los interesados y sus requisitos que se determinan conforme a 4.2;
    3. La preparación de las actividades comerciales para ser incluidas como parte de la cobertura del SGSI;
    4. Todas las funciones de apoyo, es decir, funciones necesarias para respaldar estas actividades comerciales.
      1. Recursos humanos;
      2. Servicios de TI;
      3. Aplicaciones de software;
      4. Instalaciones de edificios, zonas físicas:
      5. Servicios críticos que pueden causar un gran impacto en la organización o en sus clientes y partes interesadas como resultado de pérdidas de confidencialidad, integridad o disponibilidad y sus dependencias;
      6. Límites de la Tecnología de Comunicación de Información (TIC); y
    5. Todas las funciones que se subcontratan a otras partes dentro de la organización o a empresas independientes. proveedores.

El alcance de un SGSI puede ser muy diferente de una implementación a otra. Por ejemplo, el alcance puede incluir:

  • Uno o más procesos específicos;
  • Una o más funciones específicas;
  • Uno o más servicios específicos;
  • Una o más secciones o ubicaciones específicas;
  • Toda una entidad jurídica; y
  • Toda una entidad administrativa y uno o más de sus proveedores

Guía.

Para establecer el alcance de un SGSI se puede seguir un enfoque multietapas:

DETERMINAR EL ALCANCE PRELIMINAR Esta actividad la debería llevar a cabo un grupo pequeño pero representativo de representes de la dirección.
DETERMINAR EL ALCANCE PERFECCIONADO Las unidades funcionales dentro y fuera del alcance preliminar se deberían revisar, y posiblemente luego se deberían incluir o excluir algunas de estas unidades funcionales para reducir el número de interfaces a lo largo de los límites.
DETERMINAR EL ALCANCE FINAL El alcance perfeccionado debería ser evaluado por toda la dirección dentro del alcance perfeccionado. Si es necesario, se debería ajustar y luego describir con precisión.
LA APROBACIÓN DEL ALCANCE La información documentada que describe el alcance la debería aprobar formalmente la alta dirección.

 

La organización también debe considerar actividades con impacto en el SGSI o actividades que sean subcontratadas, ya sea a otras partes dentro de la organización o a proveedores independientes.

Para tales actividades, interfaces (físicas, técnicas y organizativas) y su influencia en el alcance deben ser identificadas.

La información documentada que describe el alcance debe incluir:

  • El alcance, los límites y las interfaces de la organización;
  • El alcance, los límites y las interfaces de las tecnologías de la información y las comunicaciones; y
  • El alcance físico, límites e interfaces.

Metodología.

“Definir el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”

Pasos:

  1. Alcance Organizacional: A partir de la descripción de los procesos y la estructura de la organización.
  2. Alcance Físico: Considerando las diferentes sedes y la distribución física de las diferentes áreas de la organización.
  3. Alcance Tecnológico: A partir de los diagramas y descripciones de la infraestructura tecnológica.
  4. Integración: Las 3 dimensiones y plantear una justificación para las eventuales exclusiones al alcance del SGSI.

Método de Elipses.

  1. Ubicar los procesos de mayor relevancia dentro de la elipse del alcance.

 

2. Ubicar los demás procesos de acuerdo a las características propias de la organización.

3. Ubicar aquellos servicios externos que tienen interacción con los procesos del alcance.

4. Trazar las interrelaciones entre los procesos de acuerdo con la descripción de las interacciones e interrelaciones entre los mismos.

Diagrama estructural funciona.

  • Plantear un diagrama de la estructura funcional de la organización.
  • Identificar las áreas incluidas en el alcance planteado.
  • Resaltar las líneas de mando y demás información relevante para la seguridad.

Diagrama planta física.

  • Representar, en un diagrama, la planta física de la organización.
  • Identificar las áreas incluidas en el alcance planteado.
  • Resalte los puntos de acceso, barreras físicas, facilidades y demás información relevante para la seguridad.

Diagrama planta lógica.

  • Represente en un diagrama la organización lógica de la red y los servicios de TI de la organización.
  • Identifique las áreas incluidas en el alcance planteado.
  • Resalte las puertas de enlace, enrutadores, barreras de fuego, equipos activos, servicios, actores, facilidades y demás información relevante para la seguridad.

© 2025 Tzaloa.