La organización mantiene plenamente identificados y documentados su contexto interno y externo, las necesidades y expectativas de todas las partes interesadas, el alcance preciso del SGSI y la interacción de los procesos que lo componen. Esta comprensión se revisa de forma continua y se refleja en políticas, objetivos, controles y recursos, garantizando que el SGSI permanezca siempre alineado con la realidad operativa, estratégica y regulatoria de la organización.
Determinación del Alcance del SGSI
La organización ha definido y documentado claramente el alcance del Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo los límites, procesos, activos, ubicaciones y exclusiones, asegurando que el SGSI cubra todas las áreas relevantes y que cualquier exclusión esté debidamente justificada.
Se identifican y delimitan los procesos de negocio, sistemas y activos críticos incluidos en el SGSI.
Se determinan las ubicaciones físicas, entornos TIC y áreas remotas donde aplica el SGSI.
Se establecen las interfaces y dependencias con servicios externos y terceros, definiendo los límites y controles aplicables.
Se documentan y justifican las exclusiones del alcance basadas en análisis de riesgos.
La alta dirección valida y aprueba el alcance definido y se comunica a todas las partes interesadas.
La determinación del alcance del SGSI se realiza de manera sistemática y se revisa periódicamente, asegurando que se mantenga actualizado y relevante para la organización. Este proceso es fundamental para la implementación y mejora continua del sistema de gestión de seguridad de la información.
Mediante la definición clara de límites, procesos, activos y ubicaciones incluidos en el SGSI, documentando y justificando cualquier exclusión, y obteniendo la validación de la alta dirección.
La alta dirección es responsable de validar y aprobar el alcance del SGSI, con el apoyo del responsable del SGSI y los responsables de cada área funcional incluida en el alcance.