De organisatie moet externe en interne [A1>belangrijke punten (issues)<A1] vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor informatiebeveiliging te behalen.
OPMERKING Het vaststellen van deze onderwerpen verwijst naar het vaststellen van de externe en interne context van de organisatie zoals behandeld in 5.3 van NEN-ISO 31000:2009.
De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging, en
b) welke eisen van deze belanghebbenden relevant zijn voor informatiebeveiliging.
OPMERKING De eisen van belanghebbenden kunnen eisen op het gebied van wet- en regelgeving en contractuele verplichtingen inhouden.
De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen.
Bij het vaststellen van dit toepassingsgebied moet de organisatie [A1>het volgende overwegen<A1]:
a) de in 4.1 genoemde externe en interne [A1>belangrijke punten (issues)<A1];
b) de in 4.2 genoemde eisen, en
c) raakvlakken en afhankelijkheden tussen de activiteiten die door de organisatie en de activiteiten die door andere organisaties worden verricht.
Het toepassingsgebied moet als gedocumenteerde informatie beschikbaar zijn.
gbjbn/lkn.
De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren, onderhouden en continu verbeteren, in overeenstemming met de eisen van deze norm.
