(VA) ENS - La preceptiva Declaració d'Aplicabilitat, ha de realitzar-se sistemàticament de Informació o per Àrees de Negoci?
La Declaració d'Aplicabilitat és un de els elements que s'obtenen com a resultat de una Anàlisi de Riscos previ. Per punt, com el seu propi nom indica, la Declaració d'Aplicabilitat haurà d'aplicar-se al Sistema d'Informació que li ha donat origen.
En termes pràctics, podrà realitzar-se una Anàlisi de Riscos per a tot el conjunt de sistemes i, a posteriori, desenvolupar una o diverses Declaracions d'Aplicabilitat, assignant a cadascuna d'elles els actius que tracte cada sistema independent.
La possibilitat coherent de realitzar una única Anàlisi de Riscos es dóna quan tots els Sistemes d'Informació sotmesos a l'Anàlisi de Riscos pertanguen al mateix Domini de Seguretat,
és a dir, aquell conjunt de sistemes sotmesos a una Política de Seguretat de la Informació comú, això és: homogenis des del punt de vista de mesures que cal aplicar.
L'eina PILAR, distribuïda per el CCN, permet aquest estudi separat per dominis de seguretat.
A efectes pràctics, pot resultar útil desenvolupar primer els sistemes horitzontals (infraestructures compartides), per a seguir amb els sistemes verticals, que poden anar afegint-se com a "família de serveis".
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA