4.1. Comprensión de la organización y su contexto
La empresa debe determinar cuáles son los problemas externos e internos que son relevantes para su propósito y que afecta a su capacidad para conseguir el resultado deseado.
Estas cuestiones se tendrán en cuenta para el establecimiento, implantación y mantenimiento del Sistema de Gestión de Continuidad de Negocio de la empresa.
La empresa debe identificar y documentar lo siguiente:
a) Actividades de la empresa, funciones, servicios, productos, asociaciones, cadenas de suministro, relaciones con partes interesadas y el impacto potencial relacionado con un incidente perturbador.
b) Las relaciones entre la política de continuidad de negocio y objetivos de la empresa y de otras políticas, incluyendo su estrategia general de gestión de riesgos.
c) El apetito del riesgo de la empresa.
Al establecer el contexto, la empresa debe:
a) Articular sus objetivos, entre ellos los relacionados con la continuidad del negocio.
b) Definir los factores externos e internos que crean la incertidumbre que da lugar a riesgo.
c) Criterios de riesgo establecido, teniendo en cuenta el nivel de riesgo.
d) Definir el propósito del Sistema de Gestión de Continuidad de Negocio.