Ongeacht de sector waarin een organisatie actief is, ongeacht de grootte, produceert het informatie binnen zichzelf en is elke informatie waardevol. Hoewel de activiteiten die moeten worden ondernomen voor informatiebeveiliging en de reikwijdte van deze onderzoeken variëren naargelang de kenmerken van de organisatie, zullen ze als basis worden vastgesteld. Informatiebeveiligingsbeheersysteemheeft de volgende scope:

  • Beveiligingsbeleid: topmanagement van de organisatie, informatiebeveiliging het beleid dat moet worden gevolgd en uitgelegd.
  • Classificatie van informatie: informatieactiva moeten worden geïnventariseerd en het belang ervan moet worden bepaald.
  • Zorgen voor personeelsbeveiliging: deze studie voorkomt dat medewerkers fouten maken en minimaliseert het risico van misbruik van informatie.
  • Zorgen voor fysieke beveiliging: minimaliseert aanvallen op informatiebronnen en het risico op informatiecorruptie of -verandering.
  • Zorgen voor operationele veiligheid: computersystemen moeten voldoende en betrouwbaar zijn. Bovendien moeten deze systemen continu worden ontwikkeld.
  • Controle van toegang tot informatie: alleen bevoegde personen moeten toegang hebben tot de informatie.
  • Zorgen voor een snelle reactie op het moment van het incident: een tijdige en snelle respons moet mogelijk zijn op basis van de manier waarop beveiligingsinbreuken optreden.
  • Zorgen voor de continuïteit van het werk: de aanvallen op de informatie mogen de belangrijkste werken van de organisatie niet onderbreken en moeten snel kunnen terugkeren naar de normale omgeving.
  • Naleving: het informatiebeveiligingsbeheersysteem moet op een niveau zijn dat toereikend is om te voldoen aan de vereisten van wettelijke vereisten.

In tegenstelling tot wat vaak wordt gedacht, is Information Security Management System niet alleen een project van informatietechnologieën in de organisatie. Dit systeem is een informatiebeveiligingsproject dat betrekking heeft op de hele organisatie. Daarom is het topmanagement niet verantwoordelijk voor het opzetten en gebruiken van dit systeem, maar voor de gegevensverwerkingseenheden.

Hoewel het Information Security Management System verband lijkt te houden met de informatieverwerkingseenheid, is het eigenlijk gerelateerd aan alle eenheden en processen van de organisatie.

Deze misverstanden kunnen worden beïnvloed door het feit dat er nog geen wettelijke voorschriften inzake informatiebeveiliging zijn opgesteld. Het opzetten van een informatiebeveiligingsbeheersysteem Aangezien er geen verplichting is, is het beheer van informatiebeveiliging niet zo wijdverspreid in openbare instellingen of in de particuliere sector als verwacht.

Neem voor meer informatie over de standaardomvang van het ISO 27001 Information Security Management System contact op met ervaren managers en medewerkers van de certificatie-instelling van TURCERT.