Skip to main content

SOF-SGSI-DOC-04-01-Contexto, requisitos y alcance del SGSI

Control del documento

Aprobación

 

Fecha:

 

Nombre:

 

Cargo:

Responsable de Seguridad

Control de cambios

 

Según control de versiones de la herramienta ofimática utilizada.

 

Lista de distribución

Responsable de Seguridad

Comité de Seguridad

 

 

Tabla de contenido

Control del documento. 2

1.    Introducción y aspectos generales 4

2.    Alcance del documento. 4

3.    Referencias 4

4.    Glosario. 5

5.    Actores y Responsabilidades 5

6.    Contexto de la organización. 6

6.1       Descripción de la entidad.. 6

6.2       Organigrama. 6

6.3       Principales empresas relacionadas. 6

7.    Cuestiones internas y externas 7

8.    Partes interesadas y sus requisitos 7

9.    Alcance: Definición formal 7

9.1       Denominación formal del Alcance del SGSI para la ISO27001 y el Esquema Nacional de Seguridad (ENS) 7

9.2       Diagrama de Activos. 8

9.3       Listado de Activos. 8

 

1. Introducción y aspectos generales

El presente documento forma parte del sistema de gestión de la seguridad de la información (en adelante SGSI) de SOFFID IAM (en adelante, SOFFID), y tiene como objetivo describir los factores externos e internos que afectan la empresa de cara a la implantación y mantenimiento del propio sistema de gestión. Ante la necesidad de reforzar la seguridad de los sistemas de información de SOFFID, surge la necesidad de normalizar y estandarizar las actividades que deben seguirse para la realización de las principales funciones en materia de sistemas de información.

 

Es por tanto deseo de la empresa, garantizar la máxima diligencia y profesionalidad en el desarrollo de los servicios a sus clientes, considerando para ello la necesidad de proteger y garantizar la seguridad de la información por lo que ha decidido establecer un sistema de gestión de la seguridad de la información basado en la norma ISO 27001, ISO 27017 E ISO 27018, sobre los sistemas de información definidos dentro del alcance, especialmente en relación con la gestión de riesgos, notificación de incidentes, supervisión por autoridades competentes y medidas mínimas de seguridad, con especial atención a servicios esenciales o críticos.

 

En este documento se especificarán los siguientes puntos, acorde a la norma de referencia:

a)         El contexto de la organización.

b)        Cuestiones internas y externas pertinentes.

c)         Las partes interesadas relevantes para la empresa.

d)        Requisitos de estas partes relevantes para la seguridad de la información.

e)        El alcance del sistema de gestión de seguridad de la información.

 

2.  Alcance del documento

A todo el personal de SOFFID cuya actividad laboral esté dentro del alcance establecido por el sistema de gestión de la seguridad de la información.

 

3.  Referencias

Norma y controles:

·         Norma UNE-EN ISO/IEC 27001:2023

o Apartado 4.1 Comprensión de la organización y de su contexto

o   Apartado 4.2 Comprensión de las necesidades y expectativas de las partes interesadas

o    Apartado 4.3 Determinación del alcance del SGSI

Documentación relacionada:

·       SOF-SGSI-DOC-05-01-Política de Seguridad y Privacidad de la Información.

·      SOF-SGSI-DOC-06-02-Declaración de Aplicabilidad SOA


 

4.  Glosario

Concepto

Significado

Sistema de Gestión de Seguridad de la Información

(En adelante, SGSI) Conjunto de políticas, procedimientos y controles diseñados para gestionar la seguridad de la información dentro de una organización.

Contexto de la organización

Entorno interno y externo en el que opera la organización, incluyendo factores como la cultura, estructura, partes interesadas y entorno regulatorio.

Partes interesadas

Individuos o grupos que tienen un interés en el desempeño y éxito del SGSI, como empleados, clientes, proveedores y reguladores.

Alcance del SGSI

Definición de los límites y la aplicabilidad del SGSI dentro de la organización, incluyendo las ubicaciones físicas, activos de información, procesos y unidades organizacionales cubiertas.

Activo de información

Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.

 

 

5.  Actores y Responsabilidades

Actor

Responsabilidades

Comité de Seguridad

·       Aprobar la política de seguridad de la información.

·       Revisar y aprobar el alcance del SGSI.

·       Participar en la revisión periódica del SGSI.

Responsable de Seguridad

·       Desarrollar y mantener la política de seguridad de la información.

·       Coordinar la implementación del SGSI.

·       Realizar análisis de riesgos y definir tratamientos de riesgos.

Responsable de Sistemas

·       Implementar y mantener los controles técnicos de seguridad.

·       Gestionar la infraestructura de TI para asegurar la disponibilidad, integridad y confidencialidad de la información.

·       Colaborar en la gestión de incidentes de seguridad asegurando la continuidad del negocio.

Responsable de Recursos Humanos

·       Asegurar que los empleados reciben la formación adecuada en seguridad de la información.

·       Gestionar los procesos de incorporación y salida de empleados para asegurar el control de acceso a la información.

Personal de SOFFID

·       Conocer y cumplir con las políticas y procedimientos de seguridad de la información.

·       Reportar cualquier incidente de seguridad o sospecha de vulnerabilidad.

·       Participar en las acciones de formación y concienciación impartidas según el perfil laboral.

6.  Contexto de la organización

6.1        Descripción de la entidad

  • Denominación Social: SOFFID IAM SL
  • Marcas Comerciales: [-]
  • Domicilio: PASAJE NEWTON (ED NAORTE B,), 2 - 3 13 PAR, 7121, Palma (Balears, Illes)
  • NIF: B5778871

 

Objeto de negocio:

Desarrollo y comercialización de una plataforma de Gestión de Identidades y Accesos (IAM) que permite la administración de usuarios, accesos y credenciales, integrando funcionalidades de IGA, AM y PAM, y facilitando el cumplimiento normativo y de seguridad de la información.

 

6.2       Organigrama

La empresa se estructura en dos niveles: el Comité de Dirección, encargado de la toma de decisiones y el staff técnico que brinda servicios de desarrollo, consultoría, formación, soporte a los clientes.

 

6.3        Principales empresas relacionadas

 

[Empresas relacionadas]

 

7.  Cuestiones internas y externas

Las cuestiones internas y externas pertinentes para el propósito de la empresa y que pueden afectar a los resultados de la implantación del sistema de gestión se detallan en el documento SOF-DOC-04-2-2026 DAFO Contexto de revisión anual.

 

8.  Partes interesadas y sus requisitos

Partes interesadas: Una parte interesada consiste en una persona u organización que puede afectar, o ser afectada, o percibir ellas mismas que son afectadas, por una decisión o actividad.

 Las partes interesadas pertinentes para el propósito de la empresa se detallan en el documento SOF-DOC-04-2-2026 DAFO Contexto de revisión anual.

9.  Alcance: Definición formal

9.1       Denominación formal del Alcance del SGSI para la ISO27001 y el Esquema Nacional de Seguridad (ENS)

“Los sistemas de información que dan soporte a las actividades relativas al desarrollo, operación y soporte de la plataforma de Gestión de Identidades y Accesos (IAM) de SOFFID de acuerdo a la declaración de aplicabilidad establecida en el documento SOFFID-SGSI-DOC-06-02-Declaración de Aplicabilidad SOA”

 

Se incluyen los siguientes servicios y actividades:

[Servicios y actividades dentro del alcance]

 

9.2       Diagrama de Activos

El diagrama de activos para el propósito de la empresa se detalla en el documento anual de Análisis de Riesgos.

 

9.3       Listado de Activos

El listado de activos para el propósito de la empresa se detalla en el documento anual de Análisis de Riesgos.

 

 

 

 

 

Back to top