CLAUSULA 4.

CONTEXTO DE LA
ORGANIZACIÓN

4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

4.2 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE LAS

PARTES INTERESADAS

4.3 DETERMINAR ALCANCE DEL SGSI

 ENTENDER A LA
4.1 ORGANIZACIÓN Y SU
CONTEXTO
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

CUESTIONES todos los factores positivos y negativos que

pueden tener un impacto en la organización

afectando

Objetivos Dirección Capacidad de

estratégica alcanzar los
resultados deseados
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

CUESTIONES

Factores Factores
Negativos Positivos

RIESGOS OPORTUNIDADES

Enfoque de Gestión de
riesgos (ISO 31000)
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

CONTEXTO INTERNO

Cultura, Gobierno, Procesos y

Infraestructuras físicas
Objetivos, Políticas y Procedimientos
Estrategias

Proveedores
Estructura organizacional, Roles y Sistemas
Responsabilidades y Capacidades
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

CONTEXTO EXTERNO

Políticos, Normativos, Sociales y Financieros y

Regulatorios y legales Culturales Económicos

Naturales Tecnológicos Competitivos

4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

PROPOSITO

Determinar el alcance de nuestro Sistema de gestión de

A seguridad de la información

B Identificar los posibles riesgos y oportunidades

Permitir la adaptación a los posibles cambios en los

C contextos internos y externos.
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN EVALUACIÓN DOCUMENTACIÓN

Identificar todas las posibles cuestiones

internas y externas que podrían afectar
al SGSI
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN EVALUACIÓN DOCUMENTACIÓN

Por cada Cuestión identificada realizar

la siguiente pregunta ¿Cómo la
cuestión a evaluar podría afectar al
logro del objetivo del SGSI?
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN EVALUACIÓN DOCUMENTACIÓN

Documentar el resultado y material

utilizado para el desarrollo de esta
requerimiento
4.1 ENTENDER A LA ORGANIZACIÓN Y SU CONTEXTO

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN EVALUACIÓN DOCUMENTACIÓN

NOTA: se debe ejecutar periódicamente esta actividad,

por lo menos una vez al año
 ENTENDER LAS EXPECTATIVAS
4.2 Y NECESIDADES DE LAS
PARTES INTERESADAS
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

Identificar si las necesidades y

expectativas de las partes interesadas
puedan convertirse en un requerimiento
del SGSI

PARTES INTERESADAS, toda aquella persona u

organización que podrían afectar o ser afectados por
las decisiones o actividades de la organización
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

PARTES INTERESADAS INTERNAS

Personas con poder de Usuarios en

toma de decisiones general

Dueños de sistemas,
procesos o Personal a
información; cargo de la
seguridad de
la información
Áreas de soporte
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

PARTES INTERESADAS EXTERNAS

Entidades
regulatorias y Accionistas
legisladoras
Proveedores
Asociaciones y
sectores
Competidores
industriales

Clientes y
Consumidores Grupos Activistas
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN DETERMINACIÓN DOCUMENTACIÓN

Identificar todas posibles partes

interesadas internas y externas cuyos
requerimientos podrían afectar al SGSI
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN DETERMINACIÓN DOCUMENTACIÓN

Determinar los requerimientos que

incluyen las expectativas y
necesidades
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

REQUERIMIENTOS DE LAS PARTES INTERESADAS

Necesidad de
retención y Cumplimiento legal,
disponibilidad de la regulatorio y
información contractual

Acuerdos de
Control de acceso
confidencialidad,
y perfilamiento
privacidad, no
divulgación y
transferencia de
información
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN DETERMINACIÓN DOCUMENTACIÓN

Documentar el resultado y material

utilizado para el desarrollo de esta
requerimiento
 ENTENDER LAS EXPECTATIVAS Y NECESIDADES DE
4.2
LAS PARTES INTERESADAS

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

IDENTIFICACIÓN DETERMINACIÓN DOCUMENTACIÓN

NOTA: se debe ejecutar periódicamente esta actividad,

por lo menos una vez al año
 DETERMINAR ALCANCE DEL
4.3 SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA
INFORMACIÓN
 DETERMINAR ALCANCE DEL SISTEMA DE GESTIÓN
4.3
DE SEGURIDAD DE LA INFORMACIÓN

¿Dónde se implementara el
SGSI?
Y
¿Para qué será aplicable?
 DETERMINAR ALCANCE DEL SISTEMA DE GESTIÓN
4.3
DE SEGURIDAD DE LA INFORMACIÓN

CONTEXTO REQUERIMIENTOS ALCANCE

INTERNO Y PARTES
EXTERNO INTERESADAS
DEL SGSI
 DETERMINAR ALCANCE DEL SISTEMA DE GESTIÓN
4.3
DE SEGURIDAD DE LA INFORMACIÓN

Actividad clave de nuestro

SGSI

NOTA:
Cambios no controlados ocasionan sobre esfuerzos y costos
adicionales
 DETERMINAR ALCANCE DEL SISTEMA DE GESTIÓN
4.3
DE SEGURIDAD DE LA INFORMACIÓN

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

ALCANCE PRELIMINAR ALCANCE REFINADO ALCANCE FINAL

Conformado por un pequeño pero

significativo grupo de personas
 DETERMINAR ALCANCE DEL SISTEMA DE GESTIÓN
4.3
DE SEGURIDAD DE LA INFORMACIÓN

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

ALCANCE PRELIMINAR ALCANCE REFINADO ALCANCE FINAL

Refinando el resultado con áreas más

funcionales, operativas y de soporte
 DETERMINAR ALCANCE DEL SISTEMA DE GESTIÓN
4.3
DE SEGURIDAD DE LA INFORMACIÓN

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

ALCANCE PRELIMINAR ALCANCE REFINADO ALCANCE FINAL

Aprobado por la alta dirección

 DETERMINAR ALCANCE DEL SISTEMA DE GESTIÓN
4.3
DE SEGURIDAD DE LA INFORMACIÓN

RECOMENDACIONES PARA SU IMPLEMENTACIÓN

ALCANCE PRELIMINAR ALCANCE REFINADO ALCANCE FINAL

NOTA: se debe ejecutar periódicamente esta actividad,

por lo menos una vez al año