Phạm vi của ISMS có lẽ là một trong những chủ đề được thảo luận nhiều nhất kể từ khi ISO 27001:2013 được xuất bản, vì nó giới thiệu một số khái niệm mới như giao diện (interfaces) và sự phụ thuộc (dependencies). Tuy nhiên, khi nghĩ về phạm vi theo cách có cấu trúc, thực sự không quá khó để thiết lập nó một cách chính xác.

1. Mục đích của phạm vi ISMS là gì?

Mục đích chính của việc thiết lập phạm vi ISMS (hệ thống quản lý an toàn thông tin) là xác định thông tin nào mà bạn định bảo vệ. Do đó, việc thông tin này được lưu trữ trong văn phòng công ty của bạn hay ở đâu đó trên đám mây không quan trọng; Không quan trọng thông tin này được truy cập từ mạng cục bộ của bạn hay thông qua truy cập từ xa. Vấn đề là bạn sẽ chịu trách nhiệm bảo vệ thông tin này cho dù thông tin này được truy cập ở đâu, bằng cách nào và bởi ai.

Vì vậy, ví dụ: nếu bạn có máy tính xách tay mà nhân viên của bạn mang ra khỏi văn phòng của bạn, điều này không có nghĩa là những máy tính xách tay này nằm ngoài phạm vi của bạn - chúng sẽ được đưa vào phạm vi của bạn nếu thông qua những máy tính xách tay này, nhân viên có thể truy cập vào mạng cục bộ của bạn và tất cả các thông tin nhạy cảm và dịch vụ nằm ở đó.

Tất nhiên, phạm vi cũng rất quan trọng nếu bạn tham gia chứng nhận - đánh giá viên sẽ kiểm tra xem tất cả các yếu tố của ISMS có hoạt động tốt trong phạm vi của bạn hay không; đánh giá viên sẽ không kiểm tra các phòng ban hoặc hệ thống không nằm trong phạm vi của bạn.

2. Các yêu cầu của ISO 27001 về phạm vi

Về cơ bản, ISO 27001 cho biết bạn phải thực hiện những điều sau khi xác định phạm vi:

• Tính đến các vấn đề bên trong và bên ngoài được định nghĩa trong điều khoản 4.1.

• Tính đến tất cả các yêu cầu được định nghĩa trong điều khoản 4.2.

• Xem xét các giao diện và sự phụ thuộc giữa những gì đang diễn ra trong phạm vi ISMS và thế giới bên ngoài.

Một điều khác bạn nên đưa vào tài liệu phạm vi ISMS của mình là mô tả ngắn gọn về vị trí của bạn (bạn có thể sử dụng sơ đồ tầng để mô tả tổng quan về phạm vi vòng ngoài) và các đơn vị trong tổ chức (ví dụ: sơ đồ tổ chức) - tiêu chuẩn này không yêu cầu nghiêm ngặt, nhưng các chuyên gia đánh giá chứng nhận muốn xem chúng có được bao gồm trong phạm vi hay không.

ISO 27001 yêu cầu bạn phải tài liệu hóa cho phạm vi ISMS - bạn có thể hợp nhất tài liệu này với một số tài liệu khác (ví dụ: Chính sách bảo mật thông tin), giữ nó như một tài liệu riêng biệt hoặc có một tài liệu có tham chiếu đến những người khác (ví dụ: các bên quan tâm và yêu cầu của họ, bối cảnh của tổ chức, v.v.).

Bây giờ, câu hỏi quan trọng là làm thế nào để giải quyết về những giao diện và phụ thuộc này.

Giao diện và phụ thuộc

Hãy bắt đầu với các phần phụ thuộc - có lẽ dễ dàng nhất để mô tả chúng bằng một sơ đồ. Bạn có thể vẽ các quá trình được bao gồm trong phạm vi ISMS của mình và sau đó bên ngoài vòng kết nối này vẽ các quá trình được cung cấp từ bên ngoài phạm vi của bạn. Hãy nhận diện sự phụ thuộc theo quá trình, ý tôi không chỉ là các quá trình bảo mật hoặc CNTT - ý tôi là các quá trình kinh doanh chính trong phạm vi của bạn; nếu bạn đã thực hiện ISO 9001, bạn có thể có một sơ đồ quá trình tương tự. Đây là một ví dụ:

Một khi bạn biết các phụ thuộc (dependences), bạn phải xác định các giao diện (interfaces). Chúng rất quan trọng đối với một công ty để hiểu ranh giới ISMS của mình và hiểu đầu vào và đầu ra nào sẽ đi qua các giao diện này để bảo vệ chúng tốt hơn.

Có một số cách tiếp cận để xác định giao diện:

• Bạn có thể cố gắng xác định tất cả các điểm cuối mà bạn kiểm soát - ví dụ: trong mạng cục bộ của bạn - giao diện có thể là bộ định tuyến (vì sau thời điểm đó, bạn thường không kiểm soát được liên kết - công ty viễn thông thì họ kiểm soát được), đối với văn phòng của bạn, giao diện có thể là cửa ra vào, v.v.

• Có lẽ cách tiếp cận tốt hơn sẽ là xác định các đặc tính cấp cao của giao diện thông qua ba yếu tố sau: (1) con người, (2) quá trình và (3) công nghệ. Vì vậy, trong ví dụ hiển thị trong sơ đồ trên, mọi người trong công ty A sẽ là tất cả người dùng phần mềm, trong khi trong công ty CNTT cung cấp phát triển và bảo trì phần mềm sẽ là nhà phát triển phần mềm chính; quá trình sẽ là hỗ trợ (giải quyết các vấn đề với lỗi phần mềm) và phát triển các chức năng phần mềm mới; công nghệ sẽ là ứng dụng Help desk, email, VPN, FTP, v.v.

3. Những sai lầm về phạm vi ISMS

Khi xác định phạm vi, bạn nên cẩn thận với những vấn đề sau:

Phạm vi nhỏ hơn không có nghĩa là một công việc dễ dàng hơn. Khi để một số bộ phận trong công ty của bạn ra khỏi phạm vi, điều này có nghĩa là bạn phải coi họ như một “thế giới bên ngoài”: bạn phải giới hạn quyền truy cập của họ vào thông tin trong phạm vi, điều này có thể tạo ra nhiều vấn đề hơn dự đoán ban đầu. Giới hạn về phạm vi này phải được xác định rõ ràng, cụ thể.

Việc loại trừ các kiểm soát không liên quan gì đến phạm vi ISMS. Bạn không thể nói điều gì đó như "chúng tôi sẽ loại trừ các kiểm soát x, y và z khỏi phạm vi vì chúng tôi không muốn áp dụng chúng"; bạn chỉ có thể loại trừ các biện pháp kiểm soát nếu không có rủi ro cũng như các yêu cầu đòi hỏi việc thực hiện các biện pháp kiểm soát đó. Nói cách khác, nếu có rủi ro và / hoặc yêu cầu, bạn không thể loại trừ các biện pháp kiểm soát liên quan.

4. Lợi ích của việc xác định phạm vi ISMS

- Định nghĩa về phạm vi nghe có vẻ phức tạp, nhưng khi bạn trải qua quá trình này, bạn sẽ bắt đầu đánh giá cao nó – thông qua đó - không chỉ bạn sẽ hiểu rõ hơn về môi trường mà công ty của bạn hoạt động và nhận ra những yêu cầu bảo mật nào bạn cần phải đáp ứng, bạn cũng sẽ có thể tập trung tốt hơn nhiều vào thông tin nhạy cảm nhất của bạn. Đây chính là lý do tại sao bạn cần xác định (và lập tài liệu) phạm vi ISMS của mình trước khi bắt đầu viết bất kỳ tài liệu bảo mật nào khác.

Để yêu cầu dịch vụ tư vấn và đào tạo ISO 27001 - Hãy liên hệ ngay với chúng tôi:

CÔNG TY TNHH ITVC TOÀN CẦU

Tầng 6 Tòa nhà Thương mại, Số 22 Lý Tự Trọng, Phường Minh Khai, Quận Hồng Bàng, TP Hải Phòng.

Tel: 02253 261 208 - Hotline: 0914 564 579

Email: itvc.haiphong@itvc-global.com