ISO 27001 Bilgi Güvenliği Yönetim Sistemini uygulamayı düşünürken yapmanız gereken ilk ve en önemli şeylerden biri, Bilgi Güvenliği Yönetim Sisteminizin (BGYS) ‘kapsamını’ belirlemektir.
Kapsam, sistemin kuruluşunuz içinde neleri kapsayacağını tanımlar. Ayrıca ISO 27001 BGYS standardında neyin dahil edilmeyeceği ve neden dahil edilmeyeceğini de belirtir.
Sözleşmeler için İhale
Bunu doğru yapmak hayati önem taşır, çünkü bir ihale sunuyorsanız, kapsamın işinizin sözleşmeyle ilgili alanlarını kapsadığından emin olmanız gerekir.
Öte yandan, ISO 27001 kapsamını çok geniş ayarlamak istemezsiniz. Bunu yaparsanız, o zaman kendiniz için gereksiz işler ve işiniz için masraf yaratmış olursunuz. Bir Bilgi Güvenliği Yönetim Sistemini sürdürmek çok fazla iştir ve ISO 27001 bilgi yönetimi için daha geniş bir kapsam daha fazla zamanınızı gerektirir. Aynı zamanda denetlemenin daha uzun süreceği anlamına gelir. Bu nedenle, sertifikasyon kuruluşunuz size ek denetim günleri satmaktan belirleyecek bu da ek maliyettir.
Bunu düşün. Personelinizin çoğu kritik bilgilerle çalışmıyorsa, neden tam kapsamlı bir BGYS kapsamına girmeleri gerekir? Cevap şu: gerekmez.
Kapsamınızın yalnızca gerektiği kadar geniş olması gerekir.
Maliyetleri Minimumda Tutun
Alcumus ISOQAR’da bir kuruluşun bize ISO 27001 sertifikası için teklif için geldiği bir örnek vardı. UKAS akreditasyonun zorunlukları gereği sistemi denetlemek için ne kadar zamana ihtiyacımız olduğunu hesaplamak için bir dizi soru sorduk. Kaç personeli olduğunu sorduğumuzda cevap 15.000 idi. Bu 30 denetim günü anlamına gelirdi. Bizim için harika bir iş!
Ancak daha derine inip bu 15.000 kişinin ne yaptığını sorduğumuzda, çoğunun herhangi bir hassas veriye veya bilgiye erişimi olmayan işçiler olduğu ortaya çıktı. Bu nedenle, UKAS akrediteli ISO 27001 bilgi güvenliği onlar için ilk düşündüğümüz ölçekte gerçekten bir zorluk değildi. Hassas bilgilerle karşılaşan tek personel, faturalama bölümünde çalışan 30 kadardı. O zaman ISO 27001 kapsamını neden bu insanlar üzerinden çevrelemeyelim?
Küçük bir serveti kurtarabileceklerinin farkına varmak, gerçekten mutlu olan müşterimiz için hoş bir haberdi!
ISO 27001 Kapsamında Dikkat Edilmesi Gerekenler
Açıkçası, yukarıdakilerin ima ettiğinden biraz daha karmaşık – ama siz anladınız. Sistemin kapsamı, başlangıçta korktuğunuz kadar göz korkutucu olmayabilir ve bu nedenle uygulama ve ISO 27001 sertifikasyon maliyetine hoş bir şekilde şaşırabilirsiniz.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi hakkında düşünen herhangi bir kuruluşun kapsamı oluştururken aşağıdakileri dikkate alması gereken faktörler şunlardır:
Personelin rolleri
İşledikleri bilgilerin hassasiyeti
Herhangi bir yasal gereklilik
Müşterilerin ve ilgili tarafların beklentileri
Nihayetinde kendi ihtiyaçlarınızın kapsamını oluşturmak için, Sertifikasyon Kuruluşunuzdan tavsiye almalısınız.
