Probleme intalnite in definirea domeniului de aplicare a ISO 27001 pentru securitatea informatiei
Probabil ca stiati ca primul pas in implementarea standardului international ISO 27001 este definirea domeniului sau de aplicare. Ceea ce probabil ca nu stiati este ca, desi pare simplu la prima vedere, acest pas poate provoca uneori destul de multe probleme. Si anume, multe companii incearca sa isi mai reduca din costurile de implementare prin restrangerea domeniului de aplicare, insa se regasesc adesea intr-o situatie in care un astfel de domeniu le creeaza si mai multe dificultati.
Deci unde este problema? Problema care apare cand domeniul acoperit de standardul ISO 27001 nu este reprezentat de intreaga organizatie este faptul ca sistemul de management al securitatii informatiei (SMSI) trebuie sa aiba conexiuni cu lumea “exterioara” – iar in acest context, lumea exterioara nu sunt numai clientii, partenerii, furnizorii etc., ci si departamentele organizatiei care nu sunt acoperite de domeniul de aplicare ISO 27001. Poate parea amuzant, insa un departament care nu se incadreaza in domeniu ar trebui tratat in acelasi mod ca un furnizor extern.
De exemplu, daca alegeti ca numai departamentul IT sa se incadreze in domeniu, iar acest departament utilizeaza serviciile departamentului de achizitii, atunci departamentul IT ar trebui sa faca o evaluare a riscurilor din departamentul de achizitii pentru a identifica daca exista vreun risc pentru informatiile de care este responsabil departamentul IT; mai mult, aceste doua departamente ar trebui sa se puna de acord asupra unor termeni si conditii privind serviciile oferite.
De ce este necesara o asemenea bataie de cap? Trebuie sa priviti lucrurile din perspectiva organismului de certificare – care trebuie sa certifice faptul ca, in cadrul domeniului de aplicare al ISO 27001, sunteti capabili sa manipulati informatiile intr-un mod sigur, de vreme ce nu poate verifica niciun alt departament care nu este acoperit de domeniul de aplicare. Singura cale de a gestiona o astfel de situatie este de a trata celelalte departamente ca si cum ar fi companii externe. (Merita amintit si faptul ca auditorii care realizeaza certificari nu apreciaza niciodata un domeniu restrans de aplicare.)
Iar problemele nu se opresc aici. Uneori, un domeniu restrans este pur si simplu imposibil de definit, deaorece nu exista conexiuni cu lumea exterioara. De exemplu, daca angajatii din interiorul si din exteriorul domeniului lucreaza in aceeasi camera, un astfel de domeniu nici nu poate fi definit; daca atat angajatii din interiorul domeniului, cat si cei din exteriorul sau utilizeaza aceeasi retea locala si au acces la diferitele servicii din retea, in mod clar nu este posibila definirea unui astfel de domeniu – nu exista nicio metoda prin care ati putea controla fluxul de informatii care se incadreaza numai in domeniul de aplicare.
Ideea este urmatoarea – restrangerea domeniului de aplicare a SMSI este cateodata imposibila si atrage dupa sine o povara inutila. Prin urmare, ceea ce initial nu parea o solutie buna s-ar putea dovedi a fi pana la urma solutia optima – incercati sa extindeti domeniul ISO 27001 la intreaga organizatie. O regula empirica pe care o puteti folosi este urmatoarea: daca organizatia dvs. nu are mai mult de cateva sute de angajati si numai o locatie sau cateva (nu prea multe), cel mai bun lucru ar fi ca SMSI sa acopere intreaga organizatie.
Pe de alta parte, daca intr-adevar nu puteti include intreaga organizatie in domeniul de aplicare al SMSI, incercati sa implementati standardul ISO 27001 intr-o unitate organizationala care este suficient de independenta; incercati sa rezolvati relatiile cu celelalte unitati care nu se incadreaza in domeniul de acoperire determinandu-le serviciile cu ajutorul documentelor interne (politici, proceduri etc.) care vor servi drept “acorduri” – iar astfel veti putea documenta obligatiile acestor unitati organizationale intr-un mod care este utilizabil in operatiunile de zi cu zi. Si iata cum ati rezolvat primul pas din implementarea standardului ISO 27001.