4.3 xác định phạm vi của hệ thống quản lý an ninh thông tin
Tổ chức phải xác định ranh giới và tính ứng dụng của hệ thống quản lý bảo mật thông tin để thiết lập phạm vi của nó.
Khi xác định phạm vi này, tổ chức phải xem xét:
a) các vấn đề ngoại vi và nội bộ được đề cập trong 4.1;
b) các yêu cầu được đề cập trong 4.2;
c) các tương tác và sự phụ thuộc giữa các hoạt động được thực hiện bởi tổ chức và những hoạt động được thực hiện bởi tổ chức khác.
Phạm vi phải được cung cấp dưới dạng thông tin được lưu trữ.
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
Điều khoản 4.3 của tiêu chuẩn ISO/IEC 27001:2022, “Xác định phạm vi của hệ thống quản lý an ninh thông tin,” yêu cầu tổ chức xác định các ranh giới và tính ứng dụng của hệ thống quản lý an ninh thông tin bằng cách xem xét một số yếu tố. Các yếu tố này bao gồm:
a) Các vấn đề bên ngoài và bên trong: Tổ chức nên xem xét bất kỳ vấn đề bên ngoài hoặc bên trong nào có thể ảnh hưởng đến phạm vi của hệ thống quản lý an ninh thông tin, chẳng hạn như các yêu cầu pháp lý và quy định, các mục tiêu kinh doanh và khung quản lý rủi ro của tổ chức.
b) Yêu cầu của các bên liên quan: Tổ chức cũng nên xem xét các yêu cầu của các bên liên quan được xác định trong phần 4.2, chẳng hạn như khách hàng, cơ quan thẩm quyền, đối tác kinh doanh và nhân viên.
c) Tương tác và phụ thuộc: Tổ chức nên xác định bất kỳ tương tác và phụ thuộc nào giữa các hoạt động được thực hiện bởi tổ chức và những hoạt động được thực hiện bởi các tổ chức khác, chẳng hạn như các dịch vụ thuê ngoài, các liên doanh hoặc các thỏa thuận kinh doanh khác.
Phạm vi của hệ thống quản lý an ninh thông tin nên được xác định rõ ràng và được ghi lại dưới dạng thông tin tài liệu mà mọi người liên quan có thể dễ dàng truy cập. Tài liệu này được coi là một phần cần thiết của hệ thống quản lý an ninh thông tin và nên được đánh giá và cập nhật thường xuyên để đảm bảo rằng nó phản ánh chính xác nhu cầu và mục tiêu an ninh thông tin của tổ chức.
Ví dụ minh hoạt về điều khoản 4.3 xác định phạm vi của hệ thống quản lý an ninh thông tin theo ISO/IEC 27001:2022
Đây là một ví dụ về cách một tổ chức có thể xác định phạm vi của hệ thống quản lý an ninh thông tin của mình:
Công ty XYZ cung cấp dịch vụ mua sắm trực tuyến cho khách hàng, người có thể duyệt, đặt hàng và thanh toán cho sản phẩm thông qua trang web của công ty. Tổ chức cũng duy trì một cơ sở dữ liệu về thông tin khách hàng, chẳng hạn như tên, địa chỉ và chi tiết thẻ tín dụng, được sử dụng để xử lý đơn hàng và thanh toán.
Khi xác định phạm vi của hệ thống quản lý an ninh thông tin của mình, công ty XYZ xem xét các yếu tố sau:
a) Vấn đề nội và ngoại: XYZ Corporation xem xét các rủi ro và cơ hội liên quan đến an ninh thông tin, cũng như các mục tiêu và nhu cầu của các bên liên quan, như được trình bày trong phần 4.1 của ISO/IEC 27001.
b) Yêu cầu của các bên liên quan: Là một nhà cung cấp dịch vụ mua sắm trực tuyến, XYZ Corporation phải tuân thủ nhiều yêu cầu về bảo vệ dữ liệu từ pháp luật và các cơ quan quy định, chẳng hạn như Nghị định bảo vệ dữ liệu chung châu Âu (GDPR). Ngoài ra, tổ chức phải đáp ứng mong muốn của khách hàng, người kỳ vọng rằng thông tin cá nhân và tài chính của họ sẽ được giữ an toàn.
c) Giao diện và phụ thuộc: XYZ Corporation cũng phải xem xét các giao diện và phụ thuộc giữa các hoạt động của mình và các tổ chức khác. Ví dụ, công ty phụ thuộc vào các bộ xử lý thanh toán bên thứ ba để xử lý thanh toán khách hàng và phải đảm bảo rằng những bộ xử lý này đáp ứng các yêu cầu về an ninh thông tin của nó.
Dựa trên phân tích này, XYZ Corporation quyết định phạm vi của hệ thống quản lý an ninh thông tin của mình sẽ bao gồm tất cả tài sản thông tin liên quan đến dịch vụ mua sắm trực tuyến của mình, bao gồm trang web, cơ sở dữ liệu và các hệ thống và quy trình liên quan.