4.1. Comprensión de la organización y su contexto

La empresa debe determinar cuáles son los problemas externos e internos que son relevantes para su propósito y que afecta a su capacidad para conseguir el resultado deseado.

Estas cuestiones se tendrán en cuenta para el establecimiento, implantación y mantenimiento del Sistema de Gestión de Continuidad de Negocio de la empresa.

La empresa debe identificar y documentar lo siguiente:

Actividades de la empresa, funciones, servicios, productos, asociaciones, cadenas de suministro, relaciones con partes interesadas y el impacto potencial relacionado con un incidente perturbador.
Las relaciones entre la política de continuidad de negocio y objetivos de la empresa y de otras políticas, incluyendo su estrategia general de gestión de riesgos.
El apetito del riesgo de la empresa.

Al establecer el contexto, la empresa debe:

Articular sus objetivos, entre ellos los relacionados con la continuidad del negocio.
Definir los factores externos e internos que crean la incertidumbre que da lugar a riesgo.
Criterios de riesgo establecido, teniendo en cuenta el nivel de riesgo.
Definir el propósito del Sistema de Gestión de Continuidad de Negocio.