TL; DR:
[...] ¿es esta una tarea repetitiva que debe realizarse al principio de cada proceso de evaluación de riesgos (dado que la evaluación de riesgos se realiza para un alcance limitado, como un servicio web)?
Exactamente. Pero la parte que pones entre paréntesis es realmente importante. Echa un vistazo a esta imagen.
Aquí puede ver que el establecimiento del contexto tiene lugar antes de cada evaluación de riesgos. El alcance se define dentro del establecimiento de contexto.
Respuesta larga:
En primer lugar, tenemos que responder la siguiente pregunta:
¿Qué significa 'contexto' dentro de la norma ISO / IEC 27005?
Considera la siguiente nota:
ISO / IEC 27001: 2005 no utiliza el término “contexto”. Sin embargo, toda la Cláusula 7 en ISO / IEC 27005 se relaciona con los requisitos "definir el alcance y los límites del SGSI" [4.2.1 a)], "definir una política de SGSI" [4.2.1 b)] y "defina el enfoque de evaluación de riesgos" [4.2.1 c)], especificado en ISO / IEC 27001: 2005.
y el resultado del proceso de establecimiento de contexto:
Salida: la especificación de criterios básicos , el alcance y los límites **, y la organización para el proceso de gestión de riesgos de seguridad de la información .
Estos tres "elementos" establecen el contexto.
Criterios básicos
Los criterios básicos son los criterios que detallan su proceso de administración de riesgos. Estos criterios siguen su enfoque de gestión de riesgos y este enfoque sigue los objetivos y el alcance de su gestión de riesgos.
Los criterios básicos pueden ser:
- Criterios de evaluación de riesgos
- criterios de impacto
- Criterios de aceptación de riesgos
No quiero entrar en estos criterios demasiado, porque todos están bien descritos dentro de la norma.
Ámbito de aplicación y límites
El alcance y los límites siempre se refieren a la gestión de riesgos de seguridad de la información. Deben definirse para "garantizar que todos los relevantes
los activos se tienen en cuenta en la evaluación de riesgos. Además, los límites deben identificarse para abordar los riesgos que podrían surgir a través de estos límites ".
Esta parte es crucial y probablemente la más complicada en todo el proceso. Si su alcance es demasiado amplio, la recopilación de información puede llevar tanto tiempo, que una vez que haya terminado, tendrá que volver a empezar, porque mientras tanto ha cambiado mucho. Cuanto más tiempo necesite, más dinero y recursos se gastarán. Si su alcance es demasiado limitado, excluirá mucha información importante y, por lo tanto, muchos riesgos posibles. La peor parte de esto: no hay una receta estándar o "buena" para esto. Si nunca ha hecho esto antes, obtenga ayuda del exterior y siga este proceso paso a paso.
Nota importante que a menudo se olvida: "Además, la organización debe justificar cualquier exclusión del alcance".
No se limite a dejar parte de su organización. Esto no solo es significativo para una auditoría, sino que también es útil para usted y su equipo. ¿Por qué elegiría un alcance de la forma en que lo hizo y por qué tiene más sentido que cualquier otra forma?
Organización para la gestión de riesgos de seguridad de la información
Este es bastante fácil de entender: su proceso de administración de riesgos debe organizarse. Los roles y las responsabilidades deben asignarse, y todas las actividades formales que vienen con un proceso de gestión de riesgos deben llevarse a cabo. Todo esto es muy sencillo y altamente formalizado.
Todas las citas, así como la figura, se tomaron de ISO / IEC 27005, Segunda edición 2011-06-01