本篇延續Day 8 的步驟往下說明,下一個步驟是
定義出ISMS的範疇
此步驟主要涉及ISO27001標準裡的第四條與第五條條款,所謂定義出ISMS的範疇包括以下幾點:
- 明確定義欲保護的資料所儲存的位置,不論儲存的方式為實體或是數位(數位又可分本地或是雲端)。
- 明確定義這些需要保護的資料可以如何索取(e.g., 某個實體的檔案櫃、某個員工的公司筆電等)
- 明確定義哪些不會或不該被列入本次ISMS的列管範圍。可能該裝置或地域並非由企業自身所擁有或是具有控制權。又或者所儲存的資料區域內打從一開始就不會或不該存放機密資料(e.g., 原本有一部份的硬體機房放在公司的停車場內,那就應該把這個硬體機房的位置移到別處,然後把公司的停車場剃除ISMS的列管範圍。
過小的ISMS範疇會導致資料風險增加,但是過大的範疇也會導致推行或是執行ISMS時會變成太複雜無法管理。
(未完待續)