ISO/IEC 27001:2022

4.3 Określenie zakresu systemu zarządzania bezpieczeństwem informacji

Punkt 4.3 normy ISO 27001 obejmuje określenie zakresu Twojego SZBI. Jest to kluczowa część, ponieważ informuje interesariuszy, w tym kierownictwo wyższego szczebla, klientów, audytorów i pracowników, jakie obszary Twojej firmy są objęte SZBI. Powinieneś być w stanie szybko i prosto opisać lub pokazać swój zakres audytorowi, a Twoi nowi pracownicy również będą musieli go znać. Zewnętrzny audytor prawdopodobnie będzie również chciał zobaczyć szczegóły Oświadczenia o stosowalności w tym samym czasie, co zakres.

Jak ustalić zakres SZBI
Po zakończeniu prac nad punktami 4.1 i 4.2 łatwiej będzie Ci rozważyć działania objęte zakresem. Prawdopodobnie weźmiesz pod uwagę organizację, spółki zależne, oddziały, działy, produkty, usługi, lokalizacje fizyczne, pracowników mobilnych, lokalizacje geograficzne, systemy i procesy, ponieważ prace związane z zapewnieniem bezpieczeństwa informacji i oceną ryzyka będą dotyczyły tych części organizacji, które muszą być chronione.

Pomocne byłoby również rozważenie, czego mogą oczekiwać kluczowi interesariusze zaangażowani w ten proces. Jeśli rozważasz pozostawienie jakiejkolwiek części organizacji poza zakresem, ważne jest, aby pomyśleć o wpływie, jaki może to mieć na tych interesariuszy. Na przykład, czy będziesz musiał również uruchomić wiele systemów i skończyć z dezorientacją pracowników co do tego, co było w zakresie, a co poza zakresem w sposobie ich pracy?

Pomocne byłoby również rozważenie, które części firmy tworzą, uzyskują dostęp lub przetwarzają zasoby informacyjne, które uważasz za cenne. Jest prawdopodobne, że będą one musiały zostać uwzględnione, jeśli presja była wywierana zewnętrznie przez klientów w celu zaspokojenia ich potrzeb w zakresie bezpieczeństwa informacji. Na przykład możesz skupić się na rozwoju i dostarczaniu produktów, ale nadal będziesz musiał wziąć pod uwagę ludzi, procesy itp. Pomocne byłoby również rozważenie tego, co możesz kontrolować lub na co nie masz wpływu.

Korzystne byłoby udokumentowanie wszelkich obszarów, które wykraczają poza zakres SZBI. Mogą one obejmować kluczowe interfejsy i zależności między działaniami wykonywanymi przez organizację a działaniami wykonywanymi przez inne organizacje. Aby zilustrować tę koncepcję, rozważmy dewelopera oprogramowania, który polega na outsourcingu centrum danych w celu świadczenia usług hostingowych klientom.

Pomocne może być wyjaśnienie, że zakres twojego punktu 4.3 dotyczy ludzi i samego oprogramowania w twojej organizacji. Rozsądne byłoby umieszczenie granic i działań centrum danych poza kontrolowanym zakresem, ponieważ oczekiwałbyś, że będą one również utrzymywać własny SZBI.

Podobnie jest w przypadku własności fizycznej. Jeśli polegasz na wynajmującym w zakresie pewnych prac (np. załadunek, szlabany i kontrola recepcji), może to stanowić granicę, w której samo bezpieczeństwo fizycznej lokalizacji jest poza zakresem Twojej kontroli. W takich przypadkach możesz rozważyć prowadzenie działań SZBI w ramach tej nieruchomości. Niemniej jednak wskazane byłoby zarządzanie dostawcą zgodnie z polityką dostawcy określoną w Załączniku A 15 ISO/IEC 27001:2022, w celu zapewnienia, że jego praktyki spełniają przynajmniej wymagania dotyczące Twojego SZBI i apetytu na ryzyko. Jest to kwestia do dalszej dyskusji.

Pomocne może być rozważenie kilku dodatkowych kwestii. Jeśli pozostawisz części poza zakresem, jaki wpływ może to mieć na pracowników? Czy część ich pracy byłaby w zakresie, a część poza zakresem? Jeśli tak, to czy mogą pojawić się dodatkowe zagrożenia i komplikacje, w których mogą na przykład mylić praktyki, nie chronić pracy i powodować większe zagrożenie wynikające z zastosowania dwóch różnych podejść?
Czy moglibyśmy rozważyć opisanie rzeczy w inny sposób, na przykład traktując niektóre biura tymczasowe jako pracowników zdalnych, a nie jako fizyczne pomieszczenia lub lokalizacje objęte zakresem?
Uproszczenie lub ograniczenie zakresu może być korzystne na wczesnym etapie, jeśli możemy skutecznie podzielić granice informacji i wykazać, że ryzyko jest uwzględniane. Jeśli jednak Twoim celem jest dodanie czegoś później, warto pamiętać, że istotna zmiana zakresu może wywołać potrzebę przeprowadzenia kolejnego audytu, w zależności od tego, co, kiedy, w jaki sposób i czy jest to spowodowane celami wewnętrznymi czy presją zewnętrzną.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM