Contexto de la organización de la nueva ISO/IEC 27001:2022

1 diciembre, 2022
Helena de la Cruz
iso 27001:2013

Contexto de la organización

El punto 4. Contexto de la organización de la nueva ISO/IEC 27001:2022 incluye los siguientes apartados:

4.1 Entender la organización y su contexto

El apartado 4.1 Entender la organización y su contexto establece que la organización debe determinar los problemas externos e internos que sean relevantes para su propósito. También se establecerán aquellos problemas que afecten a la capacidad de la organización para lograr los resultados esperados del SGSI.

Este apartado incluye una nota en la que se establece que determinar estos temas se refiere a establecer el contexto externo e interno de la organización considerado en la Cláusula 5.4.1 de la norma ISO 31000:2018.

4.2 Comprensión las necesidades y expectativas de las partes interesadas

El apartado 4.2 Comprender las necesidades y expectativas de las partes interesadas de la ISO/IEC 27001:2022 establece que la organización determinará:

a) Las partes interesadas que son relevantes para el Sistema de Gestión de Seguridad de la Información.

b) Los requisitos pertinentes de estas partes interesadas.

c) Cuáles de estos requisitos se abordarán a través del Sistema de Gestión de Seguridad de la Información.

Al igual que en el apartado anterior, este incluye una nota en la que se aclara que los requisitos de las partes interesadas pueden incluir requisitos legales, reglamentarios y obligaciones contractuales.

La nueva ISO/IEC 27001 establece que la organización debe implementar, mantener y mejorar continuamente el Sistema de Gestión de la Seguridad de la Información

Click To Tweet

4.3 Determinación del alcance del Sistema de Gestión de Seguridad de la Información

El apartado 4.3 Determinación del alcance del Sistema de Gestión de Seguridad de la Información dentro del contexto de la organización de la nueva ISO/IEC 27001 establece que la organización debe determinar los límites y la aplicabilidad del Sistema de Gestión de Seguridad de la Información para establecer su alcance.

Al determinar este alcance, la organización debe considerar:

a) Las cuestiones externas e internas mencionadas en el apartado 4.1. Entender la organización y su contexto.

b) Los requisitos mencionados en el apartado 4.2 Comprender las necesidades y expectativas de las partes interesadas.

c) Interfaces y dependencias entre las actividades realizadas por la organización y las que son realizadas por otras organizaciones.

El alcance debe estar disponible como información documentada en la organización.

4.4 Sistema de Gestión de Seguridad de la Información

El apartado 4.4 Sistema de Gestión de Seguridad de la Información determina que la organización debe establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de la Seguridad de la Información, incluidos los procesos necesarios y sus interacciones, de acuerdo con los requisitos de la norma ISO/IEC 27001.

Plataforma tecnológica para ISO/IEC 27001:2022

En este artículo se ha mencionado una de las cláusulas de la nueva norma ISO/IEC 27001:2022. Sin embargo, son muchas otras las que se deben tener en cuenta y para mantener el Sistema de Gestión de Seguridad de la Información de cualquier empresa u organización perfectamente organizado, planificado y con la información documentada. Una plataforma tecnológica de gestión como ISOTools permite cumplir con todos los requisitos teniendo bajo control todo el Sistema de Gestión.

Descargue el e-book fundamentos de gestión de Seguridad de la Información

Recibe Nuestra Newsletter