Jak správně určit rozsah ISMS?

aký je účel rozsahu ISMS? Hlavním účelem nastavení rozsahu ISMS (systém řízení bezpečnosti informací) je definovat, které informace hodláte chránit. Nezáleží tedy na tom, zda jsou tyto informace uloženy v kancelářích vaší společnosti nebo někde v cloudu; nezáleží na tom, zda jsou tyto informace přístupné z vaší místní sítě nebo prostřednictvím vzdáleného přístupu. Jde o to, že budete odpovědní za ochranu těchto informací bez ohledu na to, kde, jak a kdo k nim přistupuje. Pokud tedy například máte notebooky, které vaši zaměstnanci nosí z vaší kanceláře, neznamená to, že tyto notebooky jsou mimo vaši oblast působnosti - měly by být zahrnuty do vašeho scopu (rozsahu) ISMS, pokud prostřednictvím těchto notebooků mohou zaměstnanci přistupovat k vaší místní síti a citlivým informacím a službám, které jsou v ní umístěné. Jak tedy určit rozsah ISMS? Řekněme, že se vedení vaší společnosti rozhodlo zavést ISMS a vy se tak můžete pustit do definování jeho rozsahu. V tomto kroku byste měli určit, do jaké míry chcete, aby se ISMS vztahoval na vaši organizaci a její informace. Můžete použít několik dokumentů, které jste si již vytvořili, jako například:

  • Politika bezpečnosti informací,

  • Cíle a plány informační bezpečnosti,

  • Role a odpovědnosti, které souvisejí s bezpečností informací a byly schváleny vedením.

Kromě toho budete potřebovat:

  • Seznamy lokací, majetku, technologií a informací organizace, které budou řízeny v rámci ISMS.

Při procházení těchto seznamů budete muset odpovědět na následující otázky:

  • Jaké oblasti nebo části, případně oddělení vaší organizace budou pokryty ISMS?

  • Jaké jsou charakteristiky těchto oblastí; jejich umístění, majetek, technologie, personál?

  • Budete od svých dodavatelů vyžadovat, aby dodržovali vaše pravidla ISMS?

  • Existují závislosti na jiných organizacích? A spadají do vašeho rozsahu ISMS?

Vaším cílem je také pokrýt následující:

  • procesy používané ke zpracovávání informací spadajících pod ISMS,

  • strategické a organizační plány vaší společnosti.

Váš rozsah ISMS by tedy měl pokrývat všechny systémy, procesy, fyzické lokality, služby (včetně cloudových), produkty, oddělení, dodavatele a všechny informace vaší organizace, které je třeba chránit. Rada na závěr Menší rozsah neznamená snazší práci. Když vynecháte některé části vaší společnosti mimo rozsah, musíte s nimi zacházet jako s "vnějším světem". Musíte pak omezit jejich přístup k informacím spadajících pod ISMS, což by mohlo způsobit více problémů, než jste původně chtěli.



0 zobrazení0 komentářů

Nejnovější příspěvky

Zobrazit vše