ISO 27001-vereiste 4.3 – Bepaling van die omvang van die ISMS

Hoe om die omvang van die ISMS te stel

Die aktiwiteit binne-omvang sal baie meer logies wees om te oorweeg sodra jy die werk vir 4.1 en 4.2 voltooi het. Jy sal waarskynlik die organisasie, filiale, afdelings, departemente, produkte, dienste, fisiese liggings, mobiele werkers, geografiese gebiede, stelsels en prosesse vir jou omvang oorweeg, aangesien die inligtingversekering en risiko-evalueringswerk daardie dele van jou organisasie sal volg wat dit nodig het. beskerm te word.

Onthou om ook te dink oor wat die kragtige belanghebbendes wat belanghebbende partye ook sal verwag. As jy dit wel oorweeg om enige deel van die organisasie buite die bestek te laat, wat sou die impak vir daardie magtige belanghebbende partye wees? Sal jy ook verskeie stelsels moet bestuur en op die ou end personeel verwar oor wat binne en buite omvang was in die manier waarop hulle gewerk het?

Watter dele van die besigheid het nodig om die inligtingsbates wat jy as waardevol beskou te skep, toegang te verkry of te verwerk? Dit sal byna seker in omvang moet wees as die druk ekstern deur klante gedryf word om hul inligtingversekeringsbehoeftes te bevredig. Byvoorbeeld, jy konsentreer dalk op jou produkontwikkeling en aflewering, maar sal steeds moet kyk na die mense, prosesse ens rondom dit ook. Dink ook na oor wat jy kan en nie kan beheer of beïnvloed nie.

Dit kan minute se moeite wees om hierdie werk gedoen te kry of kan aansienlik langer neem in 'n groter onderneming waar dit polities en prakties uitdagend kan wees om 'n beheerbare omvang te bepaal. ISO-sertifiseringsliggame soos UKAS stoot ook meer na 'hele organisasie'-omvang en kragtige kliënte sal dit oor die algemeen ook verwag.

Hoe om 'buite-omvang' te dokumenteer

Jy moet ook noukeurig let op die 'buite omvang'-areas vir die ISMS, saamgevat saam met die sleutelkoppelvlakke en afhanklikhede tussen aktiwiteite wat deur die organisasie uitgevoer word en dié wat deur ander organisasies uitgevoer word. Op 'n simplistiese vlak, laat ons ons voorstel dat jy 'n sagteware-ontwikkelaar is en staatmaak op die uitkontraktering van die datasentrum vir die aanbieding van die diens aan kliënte.

Jy sal waarskynlik duidelik maak dat die omvang vir jou 4.3 dié binne jou organisasie is vir die mense en die sagteware self, maar die grense en aktiwiteite van die datasentrum buite jou beheerde omvang sal plaas – jy sou immers verwag dat hulle ook in stand moet hou hul eie vertroude ISMS.

Dit is dieselfde vir fisiese eiendom – as daar op 'n verhuurder staatgemaak word vir sekere werk (bv. laai, versperrings en ontvangsbeheer) wat 'n grens kan vorm waar die fisiese liggingsekuriteit self buite die bestek van jou beheer is en jy sou werk jou ISMS-aktiwiteit binne daardie eiendom. Daar sal egter steeds van jou verwag word om die verskaffer te bestuur as deel van jou verskafferbeleide in Bylae A 15 en seker te maak hul praktyke voldoen ten minste aan die vereistes vir jou ISMS en risiko-aptyt, maar dis vir 'n ander keer.

Ander punte om te oorweeg

• Voortbou op die punt hierbo, as jy wel dele buite omvang gelaat het, wat sou die impak vir personeel wees? Sou sommige van hul werk binne omvang wees en sommige buite omvang? Indien wel, is daar bykomende risiko's en komplikasies waar dit praktyke kan verwar (sê), nie werk kan beskerm nie en meer bedreiging kan veroorsaak deur twee verskillende benaderings te volg?
• Is daar geleenthede om dinge anders te beskryf, bv. behandel sommige satellietkantore as tele/afgeleë werkers, nie as fisiese persele of liggings in omvang nie?
• Om omvang vroeg te vereenvoudig of te beperk, kan sin maak as jy die inligtingsgrense effektief kan segmenteer en kan aantoon dat die risiko's aangespreek word. As jy egter 'n doelwit het om later iets by te voeg, hou dan in gedagte dat 'n wesenlike verandering in omvang 'n behoefte aan nog 'n oudit kan veroorsaak, afhangend van wat, wanneer, hoe en of dit deur interne doelwitte of eksterne druk gedryf word.