4.3 Determinación del Alcance del Sistema de Gestión de la Seguridad de la Información.

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de

la información para establecer su alcance.

 

Cuando se determina este alcance, la organización debe considerar:

 

  1. a) Las cuestiones externas e internas referidas en el apartado 4.1 de la norma
  2. b) Los requisitos referidos en el apartado 4.2 de la norma
  3. c) Las interfaces y dependencias entre las actividades realizadas por la organización y las que se llevan

a cabo por otras organizaciones

El alcance debe estar disponible como información documentada.

 

Un documento de definición de alcance podría considerar lo siguiente:

 

  • Características de la organización
  • Procesos de la organización
  • Funciones y responsabilidades
  • Activos de información
  • Ubicación geográfica
  • Alcance y límites desde la perspectiva organizacional
  • Alcance y límites desde la perspectiva tecnológica

 

Fuente: CertiProf ISO/IEC 27001

Transcribe:  Manuel De Santiago Rioja