Wie man den Umfang des ISMS einrichtet
Hier sind die wichtigsten Schritte zur Erstellung eines effektiven Umfangs für Ihr ISMS gemäß ISO 27001:
Legen Sie die Grundlagen fest. Bevor Sie mit der Festlegung Ihres Umfangs beginnen können, stellen Sie sicher, dass Sie die Arbeiten für Klausel 4.1 und Klausel 4.2 erledigt haben. Klausel 4.3 erfordert eine erhebliche Entscheidungsfindung von der obersten Führungsebene, daher stellen Sie sicher, dass sie von Anfang an stark eingebunden ist.
Kartieren Sie den Umfang. Sobald Sie Ihr Risikoverhalten und Ihre Risikotoleranz verstehen, können Sie damit beginnen, den Umfang Ihres ISMS zu kartieren. Dies bedeutet, die Informationswerte und Aktivitäten zu identifizieren, die Sie schützen müssen.
Berücksichtigen Sie Ihre Interessengruppen. Ihre Interessensgruppen sind die Personen, die ein hohes Interesse an der Informationssicherheit Ihrer Organisation haben. Zu diesen Interessengruppen können Kunden, Mitarbeiter, Partner und Regulierungsbehörden gehören. Sie müssen deren Bedürfnisse und Erwartungen berücksichtigen, wenn Sie Ihren Umfang festlegen – dies hängt mit der Liste der Interessengruppen gemäß Klausel 4.2 zusammen.
Konzentrieren Sie sich auf das Wesentliche. Nicht alle Informationswerte und Aktivitäten sind gleich wichtig. Bei der Festlegung Ihres Umfangs konzentrieren Sie sich auf die wesentlichen Werte und Aktivitäten, die geschützt werden müssen.
Seien Sie realistisch. Es ist wichtig, realistisch zu sein, wenn Sie Ihren Umfang festlegen. Sie müssen in der Lage sein, die implementierten und aufgestellten Kontrollen umzusetzen und aufrechtzuerhalten.
Überprüfen und aktualisieren Sie regelmäßig. Die Informationssicherheitslandschaft Ihrer Organisation ändert sich ständig. Daher müssen Sie Ihren ISMS-Umfang regelmäßig überprüfen und aktualisieren.
Einige der Dinge, die Sie bei der Definition des Umfangs Ihres ISMS beachten sollten:
Der Umfang sollte:
- Umfassend genug sein, um alle wichtigen Informationswerte und Aktivitäten Ihrer Organisation abzudecken.
- Spezifisch genug sein, um Unklarheiten zu vermeiden.
- Flexibel genug sein, um Änderungen im Geschäftsbetrieb Ihrer Organisation zuzulassen.