iT邦幫忙

2024 iThome 鐵人賽

DAY 8
0
Security

資訊安全管理系統制度白手起家系列 第 9

[Day 8] 決定你能做多大—定義範圍

  • 分享至 

  • xImage
  •  

組織的規模類型很多,有些組織只是小型或微型企業,有些則是中大型企業或跨國企業,雖然前一個主題要ISMS制度規劃者要透視整個組織,然而ISMS並沒有規定一定得要「全組織導入」,組織可以依照自己的需求來匡出想要導入ISMS的範圍 (Scope),畢竟不是所有的組織都適合全組織導入,因此組織可以自由決定要在全部或是在局部範圍 (如一個生產線、一個部門或一種業務等等) 導入ISMS制度。

雖然ISMS不限制組織要導入的範圍,但組織需就要導入的範圍進行分析,也就是前一個主題提到的全景,以及導入範圍與其他組織 (內部或外部) 連結的介面 (Interface) 及相依性 (Dependency),這有助於釐清來自於內部或外部可能的風險,例如組織只想導入「IT基礎建設維運」,這時與IT基礎建設維運有關的內外部組織都要涵蓋進來,舉凡是MIS團隊、IT使用者、供應商或是雲端服務等都要包含在內,若有代管客戶IT服務時,則客戶也要包含進來。

在思考匡列範圍時,運用以風險為主的思維 (Risk-based Thinking) 較為適當,因為導入ISMS的目的是為了要降低組織的資訊安全風險,並保護組織所想要保護的資產,若把ISMS匡在一個對降低風險無關痛癢的範圍,或是所匡列的範圍並無法降低或降低程度極為有限時,那麼導入ISMS不僅是浪費資源,也容易讓ISMS本身無法發揮應有的作用。

通常ISMS導入的範圍會由組織的最高管理階層 (Top Management) 審查,由最高管理階層確認組織的哪個部份要導入ISMS,畢竟最高管理階層必須為ISMS投入必要資源,若匡得太大可能會虛耗太多資源,而匡得太小又可能搔不到癢處,且最高管理階層必須要對的管理系統制度的運作與維持要有所承諾 (Commitment),因此讓最高管理階層「畫押」是ISO管理系統標準的必備要求,ISMS自然也不會例外。

還有一個重點,匡列的範圍在通過第三方稽核,由驗證組織授證時,證書上會載明ISMS驗證的範圍,因此若導入ISMS與組織業務有直接相關時,將範圍匡在有直接相關的業務上會是一個不錯的作法,當然若導入ISMS只是為了滿足特定要求 (如法遵),本身不會因為導入ISMS而獲利時,選擇小範圍的導入也是個好選擇,但要注意所選擇的ISMS範圍應要能有效的控制或緩解風險,若無法做到,則可能會在第三方驗證稽核時被關切。

主條文 4.3要求組織需將範圍以文件化資訊提供,亦即組織需將決定導入ISMS的範圍的分析與決定方式編寫為文件,以及相關的決定記錄 (可能是會議記錄) 作為佐證。

另外,即便一開始匡了某個範圍,未來仍然可以依照需求擴大範圍,當組織決定要增列範圍時,可向驗證組織申請增列範圍,驗證組織會決定額外的稽核活動,或是與追查稽核 (授證有效期間內的年度稽核) 一起進行;同樣的,若組織無法在匡列的範圍內符合管理系統要求時,則驗證組織有權減列範圍,針對嚴重缺失的範圍排除於授證範圍之外,以維持驗證範圍的一致性。


上一篇
[Day 7] 透視你的組織—組織全景
下一篇
[Day 9] 理解過程、程序和指引的差異
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言