ISO 27001 Eis 4.3 – Bepaling van de reikwijdte van het ISMS

Hoe u de reikwijdte van het ISMS kunt instellen

Het zal veel logischer zijn om de in-scope-activiteit te overwegen zodra u het werk voor 4.1 en 4.2 hebt voltooid. U zult waarschijnlijk rekening houden met de organisatie, dochterondernemingen, divisies, afdelingen, producten, diensten, fysieke locaties, mobiele werknemers, geografische gebieden, systemen en processen voor uw reikwijdte, aangezien de werkzaamheden op het gebied van informatieborging en risicobeoordeling die delen van uw organisatie zullen volgen die dat nodig hebben. beschermd te worden.

Vergeet niet om ook na te denken over wat de machtige belanghebbenden en geïnteresseerde partijen ook zullen verwachten. Als je zou overwegen om welk deel van de organisatie dan ook buiten het bereik te laten, wat zou dan de impact zijn voor die machtige geïnteresseerde partijen? Zou u ook meerdere systemen moeten runnen en uiteindelijk het personeel in verwarring brengen over wat wel en niet binnen de reikwijdte viel van de manier waarop ze werkten?

Welke delen van het bedrijf moeten de informatiemiddelen die u als waardevol beschouwt, creëren, openen of verwerken? Deze zouden vrijwel zeker binnen de reikwijdte moeten liggen als de druk van buitenaf door klanten zou worden uitgeoefend om aan hun behoeften op het gebied van informatieborging te voldoen. U kunt zich bijvoorbeeld concentreren op uw productontwikkeling en -levering, maar u moet nog steeds ook kijken naar de mensen, processen enz. eromheen. Denk ook na over wat je wel en niet kunt controleren of beïnvloeden.

Het kan een paar minuten werk kosten om dit werk gedaan te krijgen, maar het kan ook aanzienlijk langer duren in een grotere onderneming waar het politiek en praktisch een uitdaging kan zijn om een ​​beheersbare reikwijdte te bepalen. ISO-certificeringsinstanties zoals UKAS streven ook steeds meer naar een 'gehele organisatie'-bereik en machtige klanten zullen dat over het algemeen ook verwachten.

'Buiten bereik' documenteren

Ook voor het ISMS moet u zorgvuldig noteren welke gebieden buiten het toepassingsgebied vallen, samen met de belangrijkste raakvlakken en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en activiteiten die door andere organisaties worden uitgevoerd. Laten we ons op een simplistisch niveau voorstellen dat u een softwareontwikkelaar bent en vertrouwt op het uitbesteden van het datacenter voor het hosten van de service aan klanten.

U zou waarschijnlijk verduidelijken dat de reikwijdte voor uw 4.3 die binnen uw organisatie is voor de mensen en de software zelf, maar u zou de grenzen en activiteiten van het datacenter buiten uw gecontroleerde reikwijdte plaatsen – u zou immers verwachten dat ze ook de hun eigen vertrouwde ISMS.

Hetzelfde geldt voor fysieke eigendommen. Als er voor bepaalde werkzaamheden afhankelijk is van een verhuurder (bijvoorbeeld laden, slagbomen en ontvangstcontrole), kan dit een grens vormen waar de beveiliging van de fysieke locatie zelf buiten uw controle valt en u voer uw ISMS-activiteit uit binnen dat pand. Er wordt echter nog steeds van u verwacht dat u de leverancier beheert als onderdeel van uw leveranciersbeleid in bijlage A 15 en ervoor zorgt dat hun praktijken op zijn minst voldoen aan de vereisten voor uw ISMS en risicobereidheid, maar dat is voor een andere keer.

Andere punten om te overwegen

• Als u, voortbouwend op het bovenstaande punt, bepaalde onderdelen buiten de reikwijdte zou laten, wat zou dan de impact zijn voor het personeel? Zou een deel van hun werk binnen de reikwijdte vallen en een ander deel buiten de reikwijdte? Als dat zo is, zijn er dan nog meer risico's en complicaties waarbij ze praktijken (bijvoorbeeld) kunnen verwarren, het werk niet kunnen beschermen en meer bedreiging kunnen veroorzaken als er twee verschillende benaderingen worden gevolgd?
• Zijn er mogelijkheden om de zaken anders te beschrijven, bijvoorbeeld om sommige satellietkantoren te behandelen als telewerkers/op afstand, en niet als fysieke gebouwen of locaties in de scope?
• Het vroegtijdig vereenvoudigen of beperken van de reikwijdte kan zinvol zijn als u de informatiegrenzen effectief kunt segmenteren en kunt aantonen dat de risico's worden aangepakt. Als u echter later iets wilt toevoegen, houd er dan rekening mee dat een materiële wijziging in de reikwijdte ertoe kan leiden dat er nog een audit nodig is, afhankelijk van wat, wanneer, hoe en of dit wordt ingegeven door interne doelen of externe druk.