קפוץ לנושא
כיצד להגדיר את היקף ה-ISMS
הפעילות בהיקף תהיה הרבה יותר הגיונית לשקול לאחר שתסיים את העבודה עבור 4.1 ו-4.2. סביר להניח שתשקול את הארגון, החברות הבנות, החטיבות, המחלקות, המוצרים, השירותים, המיקומים הפיזיים, העובדים הניידים, הגיאוגרפיות, המערכות והתהליכים עבור ההיקף שלך, מכיוון שעבודת הבטחת המידע והערכת הסיכונים תהיה בעקבות אותם חלקים בארגון שלך שצריכים להיות מוגן.
זכור לחשוב גם למה יצפו בעלי העניין החזקים. אם אכן היית מסתכל על השארת חלק כלשהו בארגון מחוץ לתחום, מה תהיה ההשפעה על אותם בעלי עניין רבי עוצמה? האם תצטרך גם להפעיל מערכות מרובות ובסופו של דבר לבלבל את הצוות לגבי מה שהיה בתוך ומחוץ להיקף באופן שבו הם עבדו?
אילו חלקים בעסק צריכים כדי ליצור, לגשת או לעבד את נכסי המידע שאתה רואה כבעלי ערך? אלה יצטרכו כמעט בוודאות להיות בהיקף אם הלחצים היו מונעים מבחוץ על ידי לקוחות כדי לספק את צורכי אבטחת המידע שלהם. לדוגמה, אתה עשוי להתמקד בפיתוח המוצר שלך ובמשלוח, אך עדיין תצטרך להסתכל על האנשים, התהליכים וכו' סביבו. תחשוב גם על מה אתה יכול ומה אתה לא יכול לשלוט או להשפיע.
זה יכול להיות דקות של מאמץ לבצע את העבודה הזו או שזה עשוי להימשך זמן רב בהרבה במפעל גדול יותר שבו זה יכול להיות מאתגר מבחינה פוליטית ומעשית לקבוע היקף שניתן לשליטה. גופי הסמכת ISO כמו UKAS דוחפים יותר לכיוון של 'כל הארגון' גם לקוחות רבי עוצמה יצפו לכך.
כיצד לתעד 'מחוץ לתחום'
כמו כן, עליך לשים לב היטב גם לתחומי ה-'מחוץ לתחום' עבור ה-ISMS, עטופים לצד הממשקים והתלות המרכזיים בין פעילויות המבוצעות על ידי הארגון לבין אלו המבוצעות על ידי ארגונים אחרים. ברמה פשטנית, נניח שאתה מפתח תוכנה ומסתמך על מיקור חוץ של מרכז הנתונים לצורך אירוח השירות ללקוחות.
סביר להניח שהיית מבהיר שההיקף של 4.3 שלך הוא זה בתוך הארגון שלך עבור האנשים והתוכנה עצמה, אבל יוציא את הגבולות והפעילויות של מרכז הנתונים מחוץ להיקף הנשלט שלך - אחרי הכל היית מצפה שהם גם ישמרו ISMS מהימן משלהם.
זה אותו דבר לגבי רכוש פיזי - אם יש הסתמכות על בעל בית לעבודות מסוימות (למשל טעינה, מחסומים ובקרת קליטה) שעלולה להוות גבול שבו אבטחת המיקום הפיזי עצמה היא מחוץ לתחום השליטה שלך ואתה להפעיל את פעילות ה-ISMS שלך בנכס זה. עם זאת, עדיין מצפים ממך לנהל את הספק כחלק ממדיניות הספקים שלך בנספח A 15 ולהבטיח ששיטות העבודה שלהם עומדות לפחות בדרישות ה-ISMS ותיאבון הסיכון שלך, אבל זה לפעם אחרת.
נקודות נוספות שכדאי לקחת בחשבון
- בהתבסס על הנקודה שלמעלה, אם אתה משאיר חלקים מחוץ לתחום, מה תהיה ההשפעה על הצוות? האם חלק מהעבודות שלהם יהיו בהיקף וחלק מחוץ לתחום? אם כן, האם ישנם סיכונים וסיבוכים נוספים שבהם הם עלולים לבלבל בין שיטות עבודה (למשל), לא להגן על העבודה ולגרום לאיום נוסף כתוצאה מביצוע שתי גישות שונות?
- האם יש הזדמנויות לתאר דברים אחרת, למשל להתייחס לחלק ממשרדי הלוויין כאל עובדים טלפוניים/מרחוקים, לא כאל מקום פיזי או מיקומים בהיקף?
- פישוט או הגבלת היקף מוקדם יכול להיות הגיוני אם תוכל לפלח ביעילות את גבולות המידע ולהוכיח שהסיכונים נמצאים בטיפול. עם זאת, אם יש לך מטרה להוסיף משהו מאוחר יותר, זכור ששינוי מהותי בהיקף עשוי לעורר צורך בביקורת נוספת, תלוי מה, מתי, איך והאם מונע על ידי יעדים פנימיים או לחצים חיצוניים.
אנו נדריך אותך בכל שלב
הכלי המובנה שלנו לוקח אותך מההגדרה ועד להסמכה עם אחוזי הצלחה של 100%.
הזמן הדגמה
