Jaký je účel rozsahu ISMS? Hlavním účelem nastavení rozsahu ISMS (systém řízení bezpečnosti informací) je definovat, které informace hodláte chránit. Nezáleží tedy na tom, zda jsou tyto informace uloženy v kancelářích vaší společnosti nebo někde v cloudu; nezáleží na tom, zda jsou tyto informace přístupné z vaší místní sítě nebo prostřednictvím vzdáleného přístupu. Jde o to, že budete odpovědní za ochranu těchto informací bez ohledu na to, kde, jak a kdo k nim přistupuje. Pokud tedy například máte notebooky, které vaši zaměstnanci nosí z vaší kanceláře, neznamená to, že tyto notebooky jsou mimo vaši oblast působnosti – měly by být zahrnuty do vašeho scopu (rozsahu) ISMS, pokud prostřednictvím těchto notebooků mohou zaměstnanci přistupovat k vaší místní síti a citlivým informacím a službám, které jsou v ní umístěné. Jak tedy určit rozsah ISMS? Řekněme, že se vedení vaší společnosti rozhodlo zavést ISMS a vy se tak můžete pustit do definování jeho rozsahu. V tomto kroku byste měli určit, do jaké míry chcete, aby se ISMS vztahoval na vaši organizaci a její informace. Můžete použít několik dokumentů, které jste si již vytvořili, jako například:
- Politika bezpečnosti informací,
- Cíle a plány informační bezpečnosti,
- Role a odpovědnosti, které souvisejí s bezpečností informací a byly schváleny vedením.
Kromě toho budete potřebovat:
- Seznamy lokací, majetku, technologií a informací organizace, které budou řízeny v rámci ISMS.
Při procházení těchto seznamů budete muset odpovědět na následující otázky:
- Jaké oblasti nebo části, případně oddělení vaší organizace budou pokryty ISMS?
- Jaké jsou charakteristiky těchto oblastí; jejich umístění, majetek, technologie, personál?
- Budete od svých dodavatelů vyžadovat, aby dodržovali vaše pravidla ISMS?
- Existují závislosti na jiných organizacích? A spadají do vašeho rozsahu ISMS?
Vaším cílem je také pokrýt následující:
- procesy používané ke zpracovávání informací spadajících pod ISMS,
- strategické a organizační plány vaší společnosti.
Váš rozsah ISMS by tedy měl pokrývat všechny systémy, procesy, fyzické lokality, služby (včetně cloudových), produkty, oddělení, dodavatele a všechny informace vaší organizace, které je třeba chránit. Rada na závěr Menší rozsah neznamená snazší práci. Když vynecháte některé části vaší společnosti mimo rozsah, musíte s nimi zacházet jako s „vnějším světem“. Musíte pak omezit jejich přístup k informacím spadajících pod ISMS, což by mohlo způsobit více problémů, než jste původně chtěli.
