ISO 27001:2013 Contexto de la organización I
ISO 27001
ISO 27001 es una norma que, recientemente, ha sido revisada dando lugar a una nueva versión, ISO 27001:2013.
A lo largo de un serial de artículos nos vamos a dedicar a analizar los requisitos del estándar revisado y conoceremos qué novedades incluye.
Recordemos que la estructura de las nuevas normas que se están creando y de las que están siendo revisadas están adoptando una estructura común de alto nivel para facilitar la integración entre los distintos Sistemas de Gestión.
Comenzaremos con el Contexto de la organización, cláusula 4, la cual contiene:
- 4.1 Conocimiento de la organización y de su contexto.
- 4.2 Comprensión de las necesidades y expectativas de las partes interesadas.
- 4.3 Determinación del alcance del Sistema de Gestión de la Seguridad de la Información.
- 4.4 Sistema de Gestión de la Seguridad de la Información.
En este artículo nos vamos a ocupar de las dos primeras cuestiones que trata esta sección.
4.1 Conocimiento de la organización y de su contexto.
La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su Sistema de Gestión de la Seguridad de la Información de ISO-27001.
La determinación de estas cuestiones hace referencia a establecer el contexto interno y externo de la organización tratado en la sección 5.3 de ISO 31000.
4.2. Comprensión de las necesidades y expectativas de las partes interesadas.
Este apartado señala que la organización está obligada a determinar:
- Las partes interesadas pertinentes para el Sistema de Gestión de la Información.
- Los requisitos de las partes interesadas.
Los requisitos de las partes interesadas están orientados a la inclusión de los requisitos legales y reglamentarios y las obligaciones contractuales.
Si retomamos la lectura de ISO27001 en su versión anterior comprobaremos que la cláusula está modificada totalmente, mientras que antes hablaba del SGSI, ahora se centra en el contexto de la organización.
La Plataforma Tecnológica ISOTools es una herramienta diseñada para automatizar ISO 27001:2013, facilitando la adaptación de una versión a otra a las organizaciones que así lo decidan.