Phạm vi-Điều khoản 4.3 của tiêu chuẩn ISO 27001 liên quan đến việc thiết lập phạm vi của Hệ thống quản lý bảo mật thông tin (ISMS) của bạn. Đây là một phần quan trọng của ISMS vì nó sẽ cho các bên liên quan, bao gồm quản lý cấp cao, khách hàng, đánh giá viên và nhân viên, các lĩnh vực kinh doanh của bạn được ISMS bao gồm . Bạn sẽ có thể nhanh chóng và đơn giản mô tả hoặc hiển thị phạm vi của mình cho đánh giá viên và lý tưởng nhất là một người thường xuyên vì nhân viên mới của bạn cũng cần biết.
Mục lục
Tổng quan về việc thiết lập phạm vi của hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2013?
- Hoạt động trong phạm vi sẽ hợp lý hơn nhiều để xem xét khi bạn đã hoàn thành công việc cho 4.1 và 4.2 . Bạn có thể sẽ coi tổ chức, công ty con, bộ phận, phòng ban, sản phẩm, dịch vụ, vị trí thực tế, nhân viên di động, khu vực địa lý, hệ thống và quy trình cho phạm vi của bạn là sự đảm bảo thông tin và đánh giá rủi ro công việc sẽ tuân theo những bộ phận cần được bảo vệ trong tổ chức của bạn.
- Hãy nhớ cũng suy nghĩ về những gì mà các bên liên quan có quyền lực cũng sẽ mong đợi. Nếu bạn đã xem xét việc bỏ bất kỳ bộ phận nào của tổ chức ra khỏi phạm vi hoạt động, thì tác động của những bên quan tâm mạnh mẽ đó sẽ như thế nào? Bạn cũng sẽ phải chạy nhiều hệ thống và cuối cùng khiến nhân viên bối rối về những gì nằm trong và ngoài phạm vi trong cách họ làm việc?
- Những bộ phận nào của doanh nghiệp cần để tạo, truy cập hoặc xử lý tài sản thông tin mà bạn thấy là có giá trị? Những điều này gần như chắc chắn sẽ cần có phạm vi nếu áp lực từ bên ngoài do khách hàng thúc đẩy để đáp ứng nhu cầu đảm bảo thông tin của họ. Ví dụ: bạn có thể tập trung vào việc phát triển và phân phối sản phẩm của mình nhưng vẫn phải xem xét con người, quy trình, v.v. xung quanh nó. Cũng nên nghĩ về những gì bạn có thể và không thể kiểm soát hoặc ảnh hưởng.
- Có thể là vài phút nỗ lực để hoàn thành công việc này hoặc có thể mất nhiều thời gian hơn đáng kể trong một doanh nghiệp lớn hơn, nơi có thể thách thức về mặt chính trị và thực tế để xác định phạm vi có thể kiểm soát.
Nội dung
Tại sao phải thiết lập phạm vi của hệ thống quản lý an toàn thông tin?
- Mục đích chính của việc thiết lập phạm vi ISMS (hệ thống quản lý an toàn thông tin) là để xác định thông tin và tài sản thông tin nào bạn định bảo vệ
- Phạm vi là một yếu tố rất quan trọng của ISMS vì phạm vi sẽ thông báo cho tất cả các bên liên quan, nhân viên, khách hàng và kiểm toán viên của bạn về tất cả các lĩnh vực kinh doanh của bạn được đề cập trong việc triển khai ISMS của bạn.
- Phạm vi xác định các giới hạn / ranh giới mà bạn đã quyết định áp dụng cho việc triển khai ISMS của mình.
- Hầu như tất cả các đánh giá viên sẽ đề cập đến phạm vi triển khai ISMS của bạn, vì nó là một thành phần không thể thiếu trong việc triển khai ISMS của bạn. Đánh giá viên chứng nhận sẽ đánh giá xem tất cả các yếu tố của ISMS của bạn có hoạt động trong PV xác định của bạn hay không? Và tất nhiên anh ấy sẽ không chăm sóc tất cả các quy trình và hệ thống không thuộc PV triển khai ISMS của bạn.
- Phạm vi phải được xác định đúng cách như một tài liệu riêng biệt hoặc như một phần của chính sách tuân thủ bảo mật thông tin tổng thể của bạn.
- Một PV được xác định rõ ràng sẽ xác nhận rằng tất cả các lĩnh vực quan trọng trong tổ chức của bạn đều nhận được sự quan tâm thích đáng trong khi triển khai ISMS
Các nội dung chính cần phải có trong thiết lập phạm vi của hệ thống quản lý an toàn thông tin?
4.3 Xác định phạm vi của hệ thống quản lý an ninh thông tin
Tổ chức phải xác định khả năng áp dụng và ranh giới của hệ thống quản lý an ninh thông tin để thiết lập phạm vi. Khi thiết lập phạm vi này, tổ chức phải xem xét:
a) các vấn đề nội bộ và bên ngoài đề cập trong 4.1
b) Các yêu cầu đề cập trong 4.2, và
c) Sự tương giao và sự phụ thuộc giữa các hoạt động được thực hiện bởi tổ chức, và những hoạt động được thực hiện bởi các tổ chức khác.
Phạm vi này phải có sẵn như thông tin dạng văn bản
Làm thế nào để soạn thảo bảng thiết lập phạm vi của hệ thống quản lý an toàn thông tin phù hợp với tiêu chuẩn ISO 27001:2013?
Xác định những gì cần được bảo vệ
- Một trong những câu hỏi đầu tiên cần đặt ra là “những gì cần được bảo vệ”? Có khả năng là sẽ có nhiều tài sản thông tin cần được bảo vệ để hỗ trợ tổ chức đạt được các mục tiêu kinh doanh của mình. Điều quan trọng là phải hiểu tổ chức nào trong số này cho là quan trọng nhất và do đó, cần thực hiện phương pháp tiếp cận ưu tiên dựa trên rủi ro để xác định phạm vi. Để xác định rằng tài sản thực sự có giá trị bảo vệ, tổ chức cần giải thích lý do tại sao mỗi tài sản yêu cầu bảo vệ.
- Phạm vi của một ISMS ban đầu có thể được xác định để chỉ bao gồm các quá trình, dịch vụ, hệ thống hoặc các bộ phận cụ thể. Sau đó, các câu chuyện thành công có thể được trình bày như một trường hợp kinh doanh để mở rộng phạm vi ISMS hoặc tạo một phạm vi khác, riêng biệt với các yêu cầu và biện pháp bảo vệ khác nhau.
- Để làm cho phạm vi hoàn toàn rõ ràng
- Đặc biệt là đối với các bên thứ ba
- Đó là một bài tập hữu ích để xác định những gì không thuộc phạm vi
- Dù bằng cách nào, phạm vi phải xác định rõ ràng những gì sẽ được đưa vào
- Dựa trên các mục tiêu kinh doanh và tài sản thông tin cần được bảo vệ
- Và cần rõ ràng rằng bất kỳ điều gì khác nằm ngoài phạm vi.
Hiểu tổ chức
- Phạm vi của một ISMS nên tận dụng các cơ cấu tổ chức, quản lý và điều hành hiện có.
- Do đó (những) người được giao nhiệm vụ quản lý an toàn thông tin trong một tổ chức
- Nên bắt đầu bằng cách xác định các cấu trúc có liên quan
- Và bất kỳ ràng buộc nào được đặt ra bởi các cấu trúc hiện đang tồn tại.
- Nếu hiện tại không có quản trị thì tiến độ sẽ bị hạn chế khi cố gắng xác định
- Các yêu cầu, rủi ro cũng như thực hiện các biện pháp kiểm soát an ninh
- Do đó, PV của bất kỳ công việc ban đầu là thực hiện 1 khuôn khổ quản lý
- Và điều hành thích hợp (xem Chương 2, Quản trị an toàn thông tin).
- Trong trường hợp phạm vi của ISMS được xác định bởi nhu cầu bảo vệ một tài sản
- Cụ thể (ví dụ: dữ liệu chủ thẻ) hoặc cung cấp một mục tiêu (ví dụ: chứng nhận theo ISO / IEC 27001) thì điều quan trọng trước tiên là phải hiểu các thành phần và cấu trúc hệ thống liên quan đến việc phân phối của các dịch vụ có liên quan.
Đảm bảo xác nhận phạm vi
- Phạm vi của ISMS, chính sách, dự án hoặc đánh giá, v.v.
- Cần được xác nhận và đồng ý chính thức bởi các bên liên quan cấp cao
- Có liên quan (lãnh đạo cao nhất), để quản lý các kỳ vọng
- Và xác định rõ các mục tiêu sẽ được thực hiện.
- Nếu không xác định chính xác và thống nhất phạm vi
- Theo cách này có thể dẫn đến các mục tiêu không rõ ràng
- Khó đo lường tiến độ và cuối cùng làm giảm cơ hội thành công.
- Đối với những người quản lý an ninh thông tin
- Điều quan trọng là phải xem xét ranh giới của quyền kiểm soát và quyền hạn.
- Ví dụ, nếu tính bảo mật của các dịch vụ hoặc hệ thống trong một bộ phận cụ thể
- Nằm ngoài tầm kiểm soát/quyền hạn của chủ sở hữu ISMS, chúng sẽ không được đưa vào phạm vi.
- Trong bối cảnh của cuộc đánh giá, việc thống nhất những hệ thống nào trong phạm vi
- Có thể là đặc biệt quan trọng để đảm bảo rằng đánh giá viên
- Được phép truy cập vào những hệ thống nào và trong những trường hợp nào.
- Việc không xin phép trước thậm chí có thể dẫn đến vi phạm pháp luật
- (chẳng hạn như Đạo luật sử dụng sai máy tính năm 1990).
Theo dõi và xem xét
- Phạm vi của ISMS, chính sách, kiểm toán hoặc dự án không cố định
- Và có thể phát triển theo thời gian khi hoàn cảnh
- Mối đe dọa, công nghệ và yêu cầu phát triển.
- Do đó, việc xác định phạm vi không phải là điều nên được thực hiện một lần
- Khi bắt đầu một dự án và sau đó sẽ bị lãng quên.
- Thay vào đó, phạm vi phải được theo dõi và xem xét định kỳ
- Hoặc khi có những thay đổi đáng kể.
- Trong trường hợp đánh giá (có thể là vì mục đích kiểm soát nội bộ hoặc chứng nhận)
- Một trong những điều đầu tiên mà đánh giá viên cần làm là xem xét
- Và đánh giá tính phù hợp của phạm vi.
Các yếu tố có thể ảnh hưởng / thay đổi phạm vi của ISMS bao gồm:
- Phụ thuộc vào thời gian: ví dụ như phạm vi của một ISMS cụ thể
- Hoặc dự án bảo mật chỉ có thể áp dụng cho một khoảng thời gian cụ thể
- Thay đổi trong môi trường pháp lý
- Thay đổi / cập nhật các tiêu chuẩn và / hoặc các yêu cầu của bên thứ ba
- Thay đổi trong tổ chức (ví dụ: cơ cấu tổ chức thay đổi)
- Xác định sự không phù hợp và / hoặc sự cố chỉ ra phạm vi không chính xác
- Mức độ hoàn thiện tổng thể của ISMS (phạm vi có thể tăng theo thời gian)
- Thay đổi trong các quy trình và thực hành (ví dụ: ngừng hoạt động nhất định)
- Dịch vụ thuê ngoài.
Trách nhiệm soạn thảo và phê duyệt phạm vi của hệ thống quản lý an toàn thông tin?
- Trách nhiệm soạn thảo tài liệu
- Quy trình thiết lập PV hệ thống quản lý an ninh thông tin theo ISO 27001:2013
- Sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra.
- Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ.
Thiết lập phạm vi của hệ thống quản lý an toàn thông tin được phổ biến áp dụng như thế nào?
- Hệ thống quản lý ATTT là nhu cầu thiết yếu của một tổ chức
- Khi cần đảm bảo ATTT một cách toàn diện.
- Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001: 2013
- Sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ.
- Do tiêu chuẩn ISO 27001 xem xét đảm bảo ATTT trên nhiều khía cạnh
- Nên việc xây dựng và áp dụng hệ thống đòi hỏi
- Phải có sự quyết tâm của lãnh đạo tổ chức
- Và sự phối hợp đồng bộ các bộ phận của tổ chức trong việc xây dựng, duy trì hệ thống
Mẫu thiết lập phạm vi của hệ thống quản lý an toàn thông tin tham khảo?
- Mẫu ví dụ thiết lập PV của 1 tổ chức:
- Công ty Cổ phần đầu tư Công nghệ và Thương mại SOFTDREAMS thiết lập PV:
1 Phần mềm hóa đơn điện tử EasyInvoice
2 Phần mềm kế toán EasyBooks
3 Dịch vụ chứng thực chữ ký số công công cộng EasyCA
4 Phần mềm máy chủ ký số EasySign
5. Các dự án Công Nghệ Thông Tin
6. Các dịch vụ CNTT khác
Tóm lược và khẳng định yêu cầu của việc thiết lập phạm vi của hệ thống quản lý an toàn thông tin?
- Tổ chức của bạn nên xác định PV về:
- Cơ cấu tổ chức của bạn.
- Nhu cầu kinh doanh của bạn.
- Địa điểm kinh doanh của bạn.
- Các quy trình và sản phẩm quan trọng của doanh nghiệp bạn.
- Định nghĩa PV phục vụ mục đích nêu chính xác những gì 1 tổ chức thực hiện được
- Không có định nghĩa về PV chính thức
- Tuyên bố về 1 tổ chức được chứng nhận ISO 27001
- Có thể có ý nghĩa rất lớn, hoặc không nhiều chút nào.
- Sau khi xem xét các chi tiết và các bên liên quan nhất đến tổ chức của bạn
- Và các mục tiêu của tổ chức
- Bạn nên có ý tưởng tốt về những thông tin nào nên nằm trong hệ thống
- Bây giờ các ranh giới của ISMS phải được xác định
- Có thể được coi như một vành đai phục vụ như một ranh giới giữa môi trường
- Được kiểm soát đáng tin cậy và thế giới bên ngoài.
- Tính khả thi và hợp lý của việc giới hạn phạm vi ISMS của bạn
- Sẽ phụ thuộc rất nhiều vào các chi tiết cụ thể của tổ chức của bạn, bối cảnh.
- Điểm mấu chốt cần nhớ là, với một hạn chế, các tài sản của tổ chức
- Nằm ngoài phạm vi đó phải được đối xử giống như các tài sản bên ngoài công ty của bạn.