Bilgi Güvenliği Yönetim Sistemi’nin (ISMS) kurulmasının ilk aşaması kapsamı belirlemektir. Bilgi varlıklarının tanımlanması, sahiplerin atanması, güvenlik seviyelerinin sorgulanması, risklerin tanımlanması ve mevcut durum kapsam tarafından yönlendirilir. Özellikle, ISO 27001 sertifikası için bir yönetim sistemi kuruluyorsa, hangi süreçleri, departmanları, şehirleri bu kapsama dahil edecek ve hangileri daha önemli olacak.
Ancak, bazı sorularla karşı karşıyayız: Bilgi güvenliği kapsamını dilediğimiz gibi seçebilir miyiz? Hangi seçim yolları daha kolay ve başarılı bir şekilde kurulabilir? Kapsamın seçimi yalnızca yönetimin isteğine mi bağlı? Organizasyonun herhangi bir bölümünü kesebilir ve istediğimiz gibi bir kapsam belirleyebilir miyiz?
TS / ISO 27001 standardını inceleyerek bu sorulara cevap bulmaya çalışalım. Standartta, “Bu standartta” iş “terimi, geniş anlamda işletmenin var olma amacının temelini oluşturan faaliyetler anlamına gelir.” (*) İfadesi, kapsamın işletmenin var olma hedeflerinin temelini oluşturan faaliyetleri içermesi gerektiğini belirtir. Ek olarak, aynı standardın 4.2.1.a maddesi İnsan Kaynaklarının kapsamını ve sınırlarını belirleme yükümlülüğünü ortaya koymaktadır;
Standart hükümlerden anlaşıldığı gibi, ISMS’nin kapsamı bir şirketin tamamı olmak zorunda değildir, ancak şirketin işletmenin hedeflerini içermesi gerekir. Örneğin, bir finansal kurum, finansal faaliyetlerinin sadece bir kısmını veya süreçlerini kapsam olarak tanımlayabilir, ancak sadece çalışanların izin bilgilerine başvuracak olsaydı faydalı olmazdı. Çalışan izinleri, işletmenin işletme hedeflerine dahil edilmez. Ancak, bir holdingin insan kaynakları şirketi için izin bilgileri en kritik ve seçilebilir olabilir.
Bir kapsam seçerken, organizasyon için kritik bir bilgi / bilgi grubu seçilebilir veya bir veya daha fazla iş süreci veya bir bölümdeki tüm işlemler kullanılabilir. ISMS’in kurulması süreçler boyunca devam ettiğinden, süreçlere bağlı olarak kapsamın seçilmesi çok daha yararlıdır. Diğer bir avantaj, kurumun ISMS kapsamının bilgi güvenliği açısından en ileri süreçlerden / bölümlerden başlamasıdır. Böylece, ISMS’nin kurulması sırasında, güvenlik seviyesinden ziyade sistemin kurulmasına odaklanmak mümkün olacaktır.
Kapsam yazıldığında, süreç, önemli varlıklar, ofisler, bağlantılar, ilişkiler ve anlaşmalar tanımlanmalıdır. Dışlama ve dışlama nedenlerini yazmak için, tüm proje bu kapsamda çalışacaktır ekibin istekleri daha iyi anlamasına ve daha doğru kararlar almasına yardımcı olacaktır. Ayrıca, e ticaret uygulama kapsam tanımı ne kadar ayrıntılı olursa, kapsam ile kapsam dışı arasındaki gri alan ne kadar ince olursa, bir satır o kadar doğru bir şekilde yazılır, proje başlar ve başarı olasılığı o kadar artar.
Kapsam seçimi sırasında kullanılabilecek bir yöntem, şekilde gösterildiği gibi bir şema (görsel kapsam) hazırlamaktır. Görsel kapsam, bölümler ve kapsamlar kapsamındaki kapsamlar, diğer ilgili iç (veya dışlanan) bölümler / işlemler ve nihayet dış kapsam ile ilgili kurumlar yerleştirilir. Daha sonra, kapsam ile dışarıdakiler arasındaki veri akışları oklarla gösterilir. Bu okların (kalın harflerle gösterilmiştir) kapsamı kesildiği durumlarda, anlaşmanın veya anlaşmanın zorunlu olduğu noktalara işaret ederler. Bu işaretlenmiş yerleri açıklayan en az bir yazılı belgenin varlığı da ilişkilerin anlaşılmasını kolaylaştıracaktır.
Kapsam belirleme kadar önemli olan bir diğer husus, bilgi güvenliği yönetim sistemi kurulduktan sonra ilk aşama tamamlanıncaya kadar kapsamı değiştirmemek. Kapsam neredeyse tüm ISMS süreçlerini, varlıkları, ilişkileri ve anlaşmaları tanımlar. Bu nedenle, kapsamdaki değişiklik tüm bu ilişkilerin yeniden değerlendirilmesini gerektirmektedir.
E-Ticaret 