Co je to rozsah ISMS v ISO 27001?
Rozsah ISMS znamená šíři vaší ISO 27001 certifikace, jinými slovy na co se certifikace vaší informační bezpečnosti vztahuje. Rozsah ISMS vymezíte pomocí:
- informací, informačních aktiv
- produktů
- služeb
- procesů
- systémů , software a aplikací
- organizačních jednotek, poboček
- geograficky, konkrétní lokality
Příklad vymezení rozsahu ISMS
Příklad rozsahu ISMS číslo 1: Softwarová firma, která vyvíjí aplikaci pro zdravotnictví
- Softwarová firma, který vyvíjí SaaS platformu pro správu a údržbu zdravotnických přístrojů
- ISMS zahrnuje celou společnost, protože její hlavní podnikání je vývoj software
- Rozsah je tedy definovaný následovně:
- Organizace a lokality: Rozsah ISMS je v podstatě maximální tedy pokrývá naprostou většinu procesů firmy, všechny její pobočky a lokality
- Procesy: Klíčové procesy jsou návrh, vývoj, údržbu, testování, technická podpora, prodej a marketing
Příklad rozsahu ISMS číslo 2: Nemocnice
- Nemocnice se rozhodla zahrnout pouze svůj Nemocniční informační systém, protože v něm mají nejcitlivější informace
- Rozsah je tedy definovaný následovně:
- Organizace a lokality: pouze Oddělení provozu NIS, kanceláře IT managementu
- Systémy: Nemocniční informační systém, jeho databáze
- Fyzické lokality: Serverovna, páteřní síť
Jak Aptien pomůže při vedení rozsahu ISMS
- Jako nástroj pro řízení shody s ISO 27001 a informační bezpečnosti pomůže vést jednotlivé části rozsahu
- Katalog aktiv využijete pro vymezení rozsahu ISMS z hlediska aktiv, jako jsou informace, produkty nebo IT technologie
- Katalog procesů slouží k přehledu firemních procesů
- Organizační schéma zaměstnance připojíte pro vymezení rozsahu ISMS z hlediska lidí a organizační struktury
- Evidence budov nebo poboček využijete pro vymezení rozsahu z hlediska lokalit