by drmunozcl
Share
Por drmunozcl
Compartir
¿Qué es la Cláusula 4 y por qué es tan importante?
La Cláusula 4 de ISO 27001 se titula “Contexto de la organización” y su función principal es establecer las bases sobre las cuales se construye el SGSI. A grandes rasgos, cubre:
- Comprender la organización y su contexto (4.1)
- Implica identificar factores externos (legislación, mercado, tecnología) e internos (cultura organizativa, recursos, procesos) que puedan afectar la capacidad de la organización para lograr los objetivos de seguridad de la información.
- Comprender las necesidades y expectativas de las partes interesadas (4.2)
- Define quiénes son los interesados (clientes, empleados, proveedores, accionistas, entes reguladores, etc.) y qué requisitos, legales o contractuales, tienen que cumplirse.
- Determinar el alcance del SGSI (4.3)
- Establece el perímetro exacto donde se aplicará el Sistema de Gestión de Seguridad de la Información. Básicamente, qué partes de la organización, procesos, ubicaciones y activos cubre la norma.
- SGSI (4.4)
- Hace referencia a la implementación, mantenimiento y mejora continua del sistema de gestión en función de lo definido en los puntos anteriores.
Diferencias clave entre ISO 27001:2013 y ISO 27001:2022 en la Cláusula 4
- Mayor alineación con la estructura de alto nivel (Anexo SL)
- La versión 2022 fortalece la armonización con el Anexo SL. Aunque en 2013 ya se seguían sus lineamientos, ahora la redacción es más consistente y clara, facilitando la integración con otras normas ISO (como ISO 9001 o ISO 22301).
- Énfasis reforzado en el análisis de riesgos y oportunidades
- Si bien este enfoque existía en 2013, en 2022 se hace más hincapié en considerar tanto los riesgos como las oportunidades de la organización. Esto impulsa a las empresas a explorar cómo la seguridad de la información puede aportar ventajas competitivas y no solo reducir peligros.
- Clarificaciones en la identificación de partes interesadas
- Se evidencia una mejor descripción y directrices para entender a quiénes afecta el SGSI, incluyendo ahora con más detalle a terceros, proveedores y socios estratégicos en la cadena de suministro digital, un aspecto clave en la ciberseguridad moderna.
- Mejora en la definición del alcance
- La versión 2022 presta mayor atención a los entornos híbridos (físico y virtual), considerando el teletrabajo y la migración a la nube. Esto hace que la definición del alcance del SGSI sea más dinámica, abarcando mejor las realidades tecnológicas actuales.
- Integración con el ciclo de mejora continua
- Aunque la idea de la mejora continua ya estaba presente, ahora se matiza más la necesidad de revisar y actualizar el contexto de forma periódica para asegurar que los cambios en la organización y en el entorno no dejen el SGSI obsoleto.
Guía de Implementación de Cláusula 4 (PDF)
El siguiente documento es una guía de implementación de la cláusula 4. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
Enviar enlace de descarga a:
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
¿Quieres fortalecer tu ciberseguridad y acercarte al cumplimiento ISO 27001 sin dar palos de ciego? Empieza por la gestión de activos TI. Si no sabes con precisión qué hardware, software, cuentas y servicios en la nube existen en tu entorno, el resto de controles se vuelven frágiles. Gestión de activos TI e ISO 27001: por
Preparar una empresa de servicios para la auditoría ISO 27001 no tiene por qué ser una carrera de último minuto. Si tu equipo depende de datos para operar y cerrar contratos, fallar la auditoría puede costarte clientes, reputación y foco operativo. La buena noticia: con un plan claro, la auditoría ISO 27001 se convierte en
Esta guía visual explica cómo proteger datos personales y sensibles en el trabajo: qué son, cómo cumplir la ley (Ley de Protección de Datos y GDPR) y buenas prácticas para clasificar documentos, asegurar bases de datos y compartir información con control. Incluye recomendaciones clave como cifrado, MFA, minimización y auditoría.
La transición de ISO/IEC 27001:2013 a ISO/IEC 27001:2022 ya no es opcional: es una obligación con fechas límite claras. Si tu organización aún opera bajo la versión 2013, necesitas actuar ahora para evitar la caducidad del certificado, la pérdida de elegibilidad en licitaciones y la erosión de confianza con clientes y auditores. La fecha límite
