ISO 27001-krav 4.3 – Bestemme omfanget av ISMS

Hvordan angi omfanget av ISMS

Aktiviteten i omfanget vil være mye mer logisk å vurdere når du har fullført arbeidet for 4.1 og 4.2. Du vil sannsynligvis vurdere organisasjonen, datterselskapene, divisjoner, avdelinger, produkter, tjenester, fysiske lokasjoner, mobile arbeidere, geografier, systemer og prosesser for ditt omfang, da informasjonssikkerheten og risikovurderingsarbeidet vil følge de delene av organisasjonen din som trenger å bli beskyttet.

Husk også å tenke på hva de mektige interessentene også vil forvente. Hvis du så på å forlate noen del av organisasjonen utenfor virkeområdet, hva ville konsekvensen være for de mektige interessentene? Ville du også måtte kjøre flere systemer og ende opp med å forvirre personalet om hva som var innenfor og utenfor omfanget i måten de jobbet på?

Hvilke deler av virksomheten trenger for å skape, få tilgang til eller behandle informasjonsmidlene du ser på som verdifulle? Disse ville nesten helt sikkert trenge å være i omfang hvis presset ble drevet eksternt av kunder for å tilfredsstille deres behov for informasjonssikkerhet. For eksempel kan du fokusere på produktutvikling og levering, men du må fortsatt se på menneskene, prosessene osv. rundt det også. Tenk også på hva du kan og ikke kan kontrollere eller påvirke.

Det kan være minutter med innsats for å få dette arbeidet gjort eller kan ta betydelig lengre tid i en større virksomhet der det kan være politisk og praktisk utfordrende å bestemme et kontrollerbart omfang. ISO-sertifiseringsorganer som UKAS presser også mer mot "hele organisasjonen", og sterke kunder vil generelt forvente det også.

Hvordan dokumentere "utenfor omfang"

Du bør også merke deg "utenfor omfang"-områdene for ISMS også, pakket sammen med nøkkelgrensesnittene og avhengighetene mellom aktiviteter utført av organisasjonen og de som utføres av andre organisasjoner. På et forenklet nivå, la oss forestille oss at du er en programvareutvikler og er avhengig av outsourcing av datasenteret for hosting av tjenesten til kunder.

Du vil sannsynligvis presisere at omfanget for din 4.3 er det innenfor organisasjonen din for menneskene og selve programvaren, men ville sette grensene og aktivitetene til datasenteret utenfor ditt kontrollerte omfang – du forventer tross alt at de også opprettholder deres egne pålitelige ISMS.

Det er det samme for fysisk eiendom – hvis det er avhengighet av en utleier for bestemt arbeid (f.eks. lasting, barrierer og mottakskontroll) som kan danne en grense der selve den fysiske plasseringssikkerheten er utenfor din kontroll og du ville jobb ISMS-aktiviteten din innenfor den eiendommen. Det forventes imidlertid fortsatt at du administrerer leverandøren som en del av leverandørens retningslinjer i vedlegg A 15 og sørger for at deres praksis i det minste oppfyller kravene til din ISMS og risikovilje, men det er til en annen gang.

Andre punkter å vurdere

• Med utgangspunkt i punktet ovenfor, hvis du la deler utenfor virkeområdet, hva ville konsekvensen være for personalet? Ville noe av arbeidet deres være innenfor omfanget og noe utenfor omfanget? Er det i så fall ytterligere risikoer og komplikasjoner der de kan forvirre praksis (f.eks.), ikke beskytte arbeid og forårsake mer trussel fra å følge to forskjellige tilnærminger?
• Er det muligheter for å beskrive ting annerledes, f.eks. behandle noen satellittkontorer som tele-/fjernarbeidere, ikke som fysiske lokaler eller lokasjoner i omfang?
• Å forenkle eller begrense omfanget tidlig kan være fornuftig hvis du effektivt kan segmentere informasjonsgrensene og demonstrere at risikoene blir adressert. Men hvis du har et mål om å legge til noe senere, så husk at en vesentlig endring i omfang kan utløse et behov for en ny revisjon, avhengig av hva, når, hvordan og om drevet av interne mål eller eksternt press.