XÁC ĐỊNH PHẠM VI ISMS TRONG CHỨNG NHẬN ISO 27001
Đạt chứng chỉ ISO 27001 chứng minh rằng các tổ chức đã thực hiện một hệ thống quản lý ANTT bền vững, thiết lập một một hệ thống kiểm soát về an toàn an ninh thông tin để đảm bảo tính bảo mật, toàn vẹn và sẵn có về tài sản thông tin.
XÁC ĐỊNH PHẠM VI ISMS
Nếu một công ty tách ISMS đang áp dụng cho một dự án hoặc một số các sản phẩm và khách hàng cụ thể, thuần túy chỉ dành cho mục đích chứng nhận? Một số nhận xét trên diễn đàn truyền thông xã hội được phân chia một cách đáng ngạc nhiên.
Một số cho rằng sẽ lãng phí thời gian để phát triển một ISMS chỉ cho một số dự án hoặc sản phẩm cụ thể, cho rằng điều này có thể chỉ ra rằng ban quản lý của tổ chức không hỗ trợ đầy đủ một chế độ bảo mật thông tin toàn diện và các thông lệ bảo mật thông tin của họ có thể là không rõ ràng, tốt nhất. Nó có thể có vẻ lạ đối với một số tổ chức có ISMS toàn doanh nghiệp nhưng chỉ xác nhận một phần của nó, vì các kiểm soát ISMS (ví dụ các chính sách, thủ tục và quy trình) có thể được thực hiện trong toàn tổ chức.
Một số khác nói rằng rất phổ biến đối với phạm vi và xác nhận một phần của tổ chức, đặc biệt là khi áp dụng cho các hợp đồng cụ thể, chẳng hạn như một dự án phát triển phần mềm. Điều này là do không phải tất cả thông tin mà tổ chức kiểm soát, lưu trữ và quá trình đều quan tâm đến các bên liên quan hoặc khách hàng của dự án (hoặc sản phẩm) đang được đề cập đến. Bằng cách giữ phạm vi nhỏ, cơ quan chứng nhận chỉ tiến hành đánh giá các hồ sơ ISMS có trong phạm vi để chứng nhận. Tuy nhiên, không có gì ngăn cản tổ chức sử dụng các chính sách, quy trình và thủ tục từ hệ thống ISMS được chứng nhận ISO 27001 để có lợi cho phần còn lại của tổ chức.
Chúng tôi có xu hướng đồng ý với ý kiến thứ hai. Mục đích của việc phát triển và xác định phạm vi của ISMS chính là xác định các thông tin mà ISMS dự định bảo vệ. Theo định nghĩa, ISMS đề cập đến quá trình thu thập, lưu trữ, truy cập, xử lý và phân phối thông tin liên quan đến một sản phẩm hoặc dịch vụ cụ thể.
Hình minh họa: xác định phạm vi ISMS trong chứng nhận ISO 27001
Do đó không cần phải bao gồm thông tin cho toàn bộ tổ chức, công ty con, với các loại khách hàng, sản phẩm và dịch vụ khác nhau, và các cách thu thập, lưu trữ, truy cập và phân phối thông tin khác nhau.
Một tổ chức có thể có nhiều phạm vi khác nhau cho các ISMS khác nhau trên toàn thế giới, với mỗi phạm vi chỉ bao gồm một quá trình hoặc các quá trình liên quan thu thập, lưu trữ và / hoặc phân phối thông tin liên quan đến sản phẩm hoặc dịch vụ cụ thể đó hoặc công ty con. Mỗi công ty con hoạt động như một tổ chức độc lập và có quy mô riêng để xác nhận.
Khi xác định phạm vi, ISO 27001: 2013 yêu cầu bạn xem xét các vấn đề về tổ chức bên trong và bên ngoài như được quy định trong mục 4.1 của Tiêu chuẩn và các yêu cầu của các bên liên quan như đã nêu trong điều 4.2 của Tiêu chuẩn.
Do đó, phạm vi chỉ tập trung vào các thông tin cần thiết để tạo niềm tin cho các bên liên quan dựa trên cốt lõi, các sản phẩm hoặc dịch vụ có liên quan.
Kiểm tra thực sự sẽ là trong quá trình đánh giá chứng nhận, khi đánh giá viên sẽ đánh giá ISO 27001 xem phạm vi ISMS đã được xác định chính xác không và xem tất cả các bên liên quan, các bên quan tâm, các vấn đề nội bộ và bên ngoài đã được xem xét.
Tổ chức chứng nhận SIS CERT là tổ chức thưc hiện đánh giá chứng nhận ISO 27001:2013, sẽ cấp chứng chỉ ISO 27001:2013. Chứng nhận này sau đó được duy trì thông qua các cuộc kiểm tra giám sát thường xuyên theo lịch trình hàng năm của cơ quan đánh giá, với việc tái chứng nhận được thực hiện trên cơ sở ba năm một lần.
Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc đào tạo và đánh giá chứng nhận ISO 27001:2013.