用户投稿六、订定资讯安全管理系统适用範围
组织必须确定资讯安全管理系统的边界和适用性,以确定其範围。在确定此範围时,组织应考虑4.1中提到的外部和内部问题;还必须考虑到第4.2条中确定的有关各利害关係者的要求;必须考虑组织执行的活动与其他组织执行的活动之间的介接和依存关係。此範围必须文件化。
ISMS範围和边界决定了ISMS在组织中的适用程度。範围是规划资讯安全管理系统推行和实施的关键部分。确认正确且适用的ISMS範围非常重要,因为它将帮助组织满足其安全要求并规划ISMS实施,例如:确定所需的资源、时程表及预算。範围如果没有明确定义,将导致不必要的资源浪费(在时间、成本和努力方面),因为当在不同範围内进行风险评估时,将导致不正确地识别资讯安全风险。
此外,如果ISMS範围与组织的安全要求不一致,组织可能会发现ISMS浪费时间和资源,进而不重视实施资讯安全管理的益处。ISMS的範围可以根据组织整体或组织的一部分来定义,通常使用边界和适用性声明来说明组织的ISMS範围。所选定的ISMS範围对于组织实现其业务目标至关重要,一般而言,ISMS範围应涵盖提供服务和/或生产产品的所有流程,包括流程中相关人员、流程和技术以及相关资产的完整要素。ISMS範围应考量组织已知风险,例如:在金融机构中,未经授权存取线上交易的风险可能对其业务运营产生重大影响。因此,该金融机构的ISMS範围可以定义为线上交易服务。在定义ISMS範围和边界之前可以用下列範例问卷:
实施ISMS所需的工作负荷取决于适用範围的规模和複杂程度,然而在定义ISMS範围时,组织应考虑资讯安全和业务需求、利害关係者的期望以及预期资源等因素,为确保有效实施ISMS,应将其视为实现组织业务目标的推动方式。为了确定ISMS範围和边界,组织应执行以下活动:考虑组织的资讯安全要求,这些要求已在第4.1条 - 定义资讯安全要求中确定。考虑组织执行的活动与其他组织执行的活动之间的任何关联和依赖关係。考虑可能会因机密性、完整性或可用性的损失而对组织和/或社会造成重大影响的关键服务。定义组织範围和边界。定义资讯通信技术系统的範围和界限。定义实体範围和边界。整合相关基本範围和边界以获得ISMS範围和边界。
组织可在需要时,就建议的ISMS範围和边界徵求验证机构的意见,并确保高阶管理者记录并核准ISMS範围。
微信扫一扫打赏
支付宝扫一扫打赏
