ISO 27001-krav 4.3 – Fastställande av ISMS:s omfattning

Hur man ställer in omfattningen av ISMS

Inom-scope-aktiviteten kommer att vara mycket mer logisk att överväga när du har slutfört arbetet för 4.1 och 4.2. Du kommer förmodligen att överväga organisationen, dotterbolagen, divisionerna, avdelningarna, produkterna, tjänsterna, fysiska platserna, mobila arbetare, geografier, system och processer för din omfattning eftersom informationssäkring och riskbedömningsarbete kommer att följa de delar av din organisation som behöver att skyddas.

Kom ihåg att också tänka på vad de mäktiga intressenterna kommer att förvänta sig. Om du tittade på att lämna någon del av organisationen utanför räckvidd, vad skulle effekten bli för dessa mäktiga intressenter? Skulle du också behöva köra flera system och sluta förvirra personalen om vad som fanns inom och utanför räckvidden i hur de arbetade?

Vilka delar av verksamheten behöver skapa, komma åt eller bearbeta de informationstillgångar du ser som värdefulla? Dessa skulle med största sannolikhet behöva vara inom räckvidden om trycket drevs externt av kunderna för att tillfredsställa deras behov av informationssäkring. Du kanske till exempel fokuserar på din produktutveckling och leverans men skulle fortfarande behöva titta på människorna, processerna etc. kring det också. Tänk också på vad du kan och inte kan kontrollera eller påverka.

Det kan vara några minuter av ansträngning att få detta arbete gjort eller kan ta betydligt längre tid i ett större företag där det kan vara politiskt och praktiskt utmanande att fastställa en kontrollerbar omfattning. ISO-certifieringsorgan som UKAS driver också mer mot "hela organisationen" och kraftfulla kunder förväntar sig i allmänhet det också.

Hur man dokumenterar "utanför räckvidden"

Du bör också noggrant notera områdena "utanför räckvidden" för ISMS också, tillsammans med de viktigaste gränssnitten och beroenden mellan aktiviteter som utförs av organisationen och de som utförs av andra organisationer. På en förenklad nivå, låt oss föreställa oss att du är en mjukvaruutvecklare och förlitar sig på outsourcing av datacentret för värd för tjänsten till kunder.

Du skulle förmodligen förtydliga att omfattningen för din 4.3 är den inom din organisation för människorna och själva mjukvaran, men skulle sätta datacentrets gränser och aktiviteter utanför ditt kontrollerade omfång – trots allt skulle du förvänta dig att de också skulle upprätthålla deras eget betrodda ISMS.

Det är samma sak för fysisk egendom – om det finns ett beroende av en hyresvärd för visst arbete (t.ex. lastning, barriärer och mottagningskontroll) som kan utgöra en gräns där den fysiska platssäkerheten i sig ligger utanför din kontroll och du skulle arbeta med din ISMS-aktivitet inom den fastigheten. Du skulle dock fortfarande förväntas hantera leverantören som en del av dina leverantörspolicyer i bilaga A 15 och säkerställa att deras praxis åtminstone uppfyllde kraven för ditt ISMS och riskaptit, men det är till en annan gång.

Andra punkter att tänka på

• Med utgångspunkt i punkten ovan, om du lämnade delar utanför räckvidden, vad skulle påverkan vara för personalen? Skulle en del av deras arbete vara inom omfattningen och en del utanför omfattningen? Om så är fallet, finns det ytterligare risker och komplikationer där de kan förvirra praxis (säg), inte skydda arbetet och orsaka mer hot från att följa två olika tillvägagångssätt?
• Finns det möjligheter att beskriva saker annorlunda, t.ex. behandla vissa satellitkontor som distansarbetare, inte som fysiska lokaler eller platser i omfattning?
• Att förenkla eller begränsa omfattningen tidigt kan vara meningsfullt om du effektivt kan segmentera informationsgränserna och visa att riskerna hanteras. Men om du har ett mål att lägga till något senare, tänk på att en väsentlig förändring i omfattning kan utlösa ett behov av ytterligare en revision, beroende på vad, när, hur och om det drivs av interna mål eller externa påtryckningar.