Jak správně určit rozsah ISMS?

Aktualizováno: 11. 1.

Jaký je účel rozsahu ISMS? Hlavním účelem nastavení rozsahu ISMS (systém řízení bezpečnosti informací) je definovat, které informace hodláte chránit. Nezáleží tedy na tom, zda jsou tyto informace uloženy v kancelářích vaší společnosti nebo někde v cloudu; nezáleží na tom, zda jsou tyto informace přístupné z vaší místní sítě nebo prostřednictvím vzdáleného přístupu. Jde o to, že budete odpovědní za ochranu těchto informací bez ohledu na to, kde, jak a kdo k nim přistupuje. Pokud tedy například máte notebooky, které vaši zaměstnanci nosí z vaší kanceláře, neznamená to, že tyto notebooky jsou mimo vaši oblast působnosti - měly by být zahrnuty do vašeho scopu (rozsahu) ISMS, pokud prostřednictvím těchto notebooků mohou zaměstnanci přistupovat k vaší místní síti a citlivým informacím a službám, které jsou v ní umístěné. Jak tedy určit rozsah ISMS? Řekněme, že se vedení vaší společnosti rozhodlo zavést ISMS a vy se tak můžete pustit do definování jeho rozsahu. V tomto kroku byste měli určit, do jaké míry chcete, aby se ISMS vztahoval na vaši organizaci a její informace. Můžete použít několik dokumentů, které jste si již vytvořili, jako například:

  • Politika bezpečnosti informací,

  • Cíle a plány informační bezpečnosti,

  • Role a odpovědnosti, které souvisejí s bezpečností informací a byly schváleny vedením.

Kromě toho budete potřebovat:

  • Seznamy lokací, majetku, technologií a informací organizace, které budou řízeny v rámci ISMS.

Při procházení těchto seznamů budete muset odpovědět na následující otázky:

  • Jaké oblasti nebo části, případně oddělení vaší organizace budou pokryty ISMS?

  • Jaké jsou charakteristiky těchto oblastí; jejich umístění, majetek, technologie, personál?

  • Budete od svých dodavatelů vyžadovat, aby dodržovali vaše pravidla ISMS?

  • Existují závislosti na jiných organizacích? A spadají do vašeho rozsahu ISMS?

Vaším cílem je také pokrýt následující:

  • procesy používané ke zpracovávání informací spadajících pod ISMS,

  • strategické a organizační plány vaší společnosti.

Váš rozsah ISMS by tedy měl pokrývat všechny systémy, procesy, fyzické lokality, služby (včetně cloudových), produkty, oddělení, dodavatele a všechny informace vaší organizace, které je třeba chránit. Rada na závěr Menší rozsah neznamená snazší práci. Když vynecháte některé části vaší společnosti mimo rozsah, musíte s nimi zacházet jako s "vnějším světem". Musíte pak omezit jejich přístup k informacím spadajících pod ISMS, což by mohlo způsobit více problémů, než jste původně chtěli.

4 zobrazení

Nejnovější příspěvky

Zobrazit vše

Ransomware je téma, které v online světě patří mezi největší hrozby. Stačí jedno špatné kliknutí a už jste cílem kyberútočníků. A dalším krokem bude bude vaše rozhodnutí, zda jim zaplatíte výkupné, ne

Vyplatí se certifikace pro ISO 27001? Pokud máte ISMS zavedeno a procesy běží alespoň 3 měsíce, tak je možné se nechat certifikovat. Celý certifikační proces spočívá v provedení certifikačního auditu,