(VA) ENS - La preceptiva Declaració d'Aplicabilitat, ha de realitzar-se sistemàticament de Informació o per Àrees de Negoci?

La Declaració d'Aplicabilitat  és un de   els elements que s'obtenen  com a resultat de   una Anàlisi de Riscos previ. Per punt, com el seu propi nom indica, la Declaració d'Aplicabilitat  haurà d'aplicar-se  al Sistema d'Informació  que li  ha donat origen.

En  termes pràctics, podrà realitzar-se una Anàlisi de Riscos per a tot  el conjunt de sistemes i, a posteriori,  desenvolupar una o diverses Declaracions d'Aplicabilitat,  assignant a   cadascuna d'elles  els actius que tracte cada sistema independent.

La possibilitat coherent de realitzar una única Anàlisi de Riscos es dóna quan tots els Sistemes d'Informació  sotmesos a l'Anàlisi  de Riscos pertanguen al mateix  Domini de Seguretat,

és a dir,  aquell conjunt de sistemes sotmesos a una Política de Seguretat de   la Informació comú, això és: homogenis des del  punt de vista de mesures que cal  aplicar.

 L'eina  PILAR, distribuïda per   el CCN, permet aquest estudi separat per dominis de seguretat.

A   efectes pràctics, pot resultar útil desenvolupar primer els sistemes horitzontals (infraestructures compartides), per a seguir amb  els sistemes verticals, que poden anar afegint-se com a "família de serveis".