Il processo di gestione del rischio prevede che venga definito il contesto dell’organizzazione.

Indistintamente da quale standard si stia sviluppando, la ISO 9001 “Sistemi di gestione per la qualità”, la ISO 14001 “Sistemi di gestione ambientale”, la ISO 27001 “Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni”, dovrai fare i conti con la definizione del contesto e l’Analisi del Rischio.

Il Contesto

Il Contesto di un’organizzazione è la combinazione di fattori interni ed esterni che possono avere degli effetti sullo sviluppo e raggiungimento degli obiettivi di un’organizzazione (definizione della ISO 9000:2015).

Ma cercando di entrare più nel dettaglio quali sono gli elementi necessari per definire il contesto?

Innanzitutto dovremo parlare di fattori interni e esterni.

Elementi interni

• l’orientamento strategico, la cultura aziendale e le priorità presenti e future;
• il livello di innovazione attuale e previsto;
• le attività, i servizi e i prodotti offerti così come le potenziali evoluzioni della propria presenza sul mercato;
• la struttura organizzativa, inclusi i fornitori principali e i processi affidati all’esterno (in outsourcing o esternalizzati);
• numero, dislocazione e struttura delle ubicazioni fisiche;
• le tipologie delle informazioni trattate;
• le caratteristiche del sistema IT e dell’architettura di rete, tra cui: i principali servizi informatici e le relative tecnologie infrastrutturali e applicative; il tipo di dispositivi portatili in uso tra cui smartphone e tablet;  gli archivi analogici; i server;  i luoghi dove sono custoditi gli archivi e/o i locali tecnici, inclusi quelli gestiti da fornitori;
• i rapporti con lo staff interno e le loro competenze informatiche;
• le aspettative degli stakeholder.

Elementi esterni:

• elementi competitivi quali la concorrenza;
• la normativa applicabile e eventuali interventi normativi nel medio periodo;
• la situazione economica attuale e prevista dei mercati di riferimento;
• il clima politico e sociale nelle zone in cui opera l’organizzazione;
• la disponibilità sul mercato ed i costi delle risorse utili all’organizzazione;
• le future strategie di fornitori e di clienti anche potenziali;