OR.7 Conocer el contexto de la organización
Requisito OR.7 | Conocer el contexto de la organización |
---|---|
Objetivo | Conocer e identificar las partes interesadas y servicios que son críticos para el correcto funcionamiento de la organización y los servicios que brinda. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Identificación de servicios críticos y partes interesadas La organización debe identificar y documentar los servicios críticos necesarios para el cumplimiento de sus objetivos estratégicos y operativos. Asimismo, se deben identificar y registrar los proveedores y demás partes interesadas críticas que impactan directa o indirectamente en dichos servicios. Esta información debe mantenerse actualizada y disponible para la gestión de riesgos y la planificación de la continuidad de negocio. Mapeo de procesos y análisis de contexto Se debe contar con un mapeo documentado de los procesos organizacionales que permita visualizar las principales actividades, sus responsables y la relación con los servicios críticos. A su vez, la organización debe realizar un análisis del contexto interno y externo que incluya factores políticos, económicos, sociales, tecnológicos, legales y ambientales que puedan afectar a la seguridad de la información. Herramientas como el análisis FODA, o metodologías equivalentes, pueden ser utilizadas para este fin. Mapeo de dependencias Es necesario identificar y documentar las dependencias entre servicios, procesos y proveedores críticos, con el objetivo de reconocer posibles puntos únicos de falla que puedan comprometer la operación de la organización. Este mapeo debe ser utilizado como insumo para el análisis de riesgos y para el diseño de estrategias de resiliencia. Revisión periódica y actualización La organización debe realizar revisiones periódicas y sistemáticas de su contexto, considerando tanto cambios internos (procesos, estructura, servicios) como externos (regulatorios, tecnológicos, de mercado o de seguridad). Estas revisiones deben documentarse y reflejarse en la actualización de los mapeos, análisis y dependencias, asegurando que la información se mantenga vigente y relevante para la toma de decisiones. |
Instituciones de salud | No aplica |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |