Por que definir o escopo do SGSI?
O Escopo do Sistema de Gestão da Segurança da Informação SGSI é o que irá nortear a implementação da ISO 27001 na sua empresa.
Assim como em qualquer outra norma o escopo é o que nos indica até onde a empresa será certificada. Com essa definição conseguimos enxergar de forma clara nosso trabalho de atuação na implementação do seu SGSI. E também será usado como base dos órgãos certificadores para realizar a auditoria de certificação da sua empresa.
Ao definir o escopo do SGSI iremos ter claro quais são as informações que a sua empresa irá proteger. Independente se as informações estão armazenadas no escritório ou em nuvem, se estão em formato físico ou digital, ou se é acessada da rede local ou de forma remota.
Como defino o meu escopo para o meu SGSI?
Entendemos como é importante definir o escopo para a implementação do SGSI. Mas é necessário seguir alguns pontos antes de ter essa definição. E você deve estar se perguntando o que devo fazer?
Quem nunca ouviu falar que precisamos nos autoconhecer para melhorar? Com a sua empresa não pode ser diferente, por isso antes de definir o seu escopo para a implementação do SGSI você precisa de fato conhecer a sua empresa!
Para isso podemos seguir os seguintes pontos:
1 – Conhecer seu contexto interno. Entender de fato como está a sua empresa em relação à segurança da informação.
2 – Conhecer seu contexto externo. Entender o mercado em que atua e analisar quais são as variáveis que interferem a sua empresa tanto de forma negativa ou positiva.
Com essas duas informações conseguiremos ter uma análise de cenário com o momento atual que sua empresa se encontra.
3 – Identificar as partes interessadas no que se tange a segurança das informações que sua empresa possui. Ou seja, pessoas ou organizações que de alguma forma tenham relações com as informações que sua empresa tem.
4 – Entender as interfaces. Pode ser que sua empresa tenha interfaces com terceiros como contabilidade, desenvolvimento de software, manutenção de infraestrutura, entre outros.
Seguindo esses passos mais as informações sobre localização física, processos, pessoas e sistemas de tecnologia da informação você terá informações o suficiente para definir seu escopo do SGSI.
Planilha – Mapeamento de Processos
Baixe nossa planilha preenchendo o formulário e entenda mais.
Cuidado ao definir seu escopo
Um ponto que é importante analisar ao definir seu escopo é que ter um escopo menor nem sempre será a melhor saída para sua empresa, quando tratamos de empresas menores o ideal é que o escopo cubra toda e empresa. Assim conseguirá realizar a implementação em todos os pontos, a partir do momento que você define um escopo menor deixando algum departamento de fora esse departamento deve ser tratado como um departamento externo da sua empresa.
Controle específico
Ou seja, em caso de qualquer troca de informação do seu escopo definido com os departamentos que estão fora será necessário o controle específico para garantir a segurança das informações do seu escopo (desde a análise de risco dos departamentos fora do escopo, como definição de termos e condições de serviços prestados entre os departamentos).
Local físico
Assim, outro ponto que devemos levar em conta é o local físico e infraestrutura de TI, se os colaboradores (dentro e fora do seu escopo) utilizarem a mesma sala ou a mesma rede local o seu espoco não será possível de ser atendido na ISO 27001. Para isso será necessário a separação física e de rede dos setores que estão contemplados no seu escopo com os demais.
Então essa é uma dica, se caso a sua empresa for de porte menor, com apenas a sede, onde os colaboradores trabalham juntos, o ideal é que seu escopo cubra toda a sua empresa, porém se entende que realmente há a necessidade de realizar um escopo menor, não existe certo ou errado, apenas terá que realizar as adequações necessárias para que seu escopo definido de fato garanta a segurança das informações com base na ISO 27001.
[Post] ISO 27001: Confira empresas que precisam da ISO 27001
Se você ficou interessado em saber mais sobre ISO 27001 e o escopo do Sistema de Gestão da Segurança da Informação, aproveite para fazer o diagnóstico da sua empresa. Então clique no banner e saiba mais!
Sucesso a todos.