ISO 27001 scopeHet bepalen van de scope; het is sinds de wijziging van de ISO 27001 norm in 2013 één van de belangrijkste onderwerpen. Doorgaans is het bepalen van het doel en de scope de eerste stap binnen ieder ISO 27001 traject. De ISO 27001 scope geeft aan waarvoor je het ISO-certificaat precies wilt gaan behalen. Alles wat buiten de scope valt wordt niet in de certificering meegenomen.

Een goed afgebakende scope geeft richting

In algemene zin gezien duidt een scope de aard, grootte en kaders van een project aan. De scope maakt duidelijk wat er wel en niet binnen een project valt. Bij ISO 27001 kader je met de scope af welke informatietypen en bedrijfsonderdelen binnen het informatiebeveiligingssysteem (ISMS) vallen. Het is erg belangrijk dat je hier goed over nadenkt. Welke informatie en bedrijfsonderdelen wil je deel uit laten maken van het ISMS? Voor welke bedrijfsonderdelen is informatiebeveiliging cruciaal? Een scope goed afbakenen zorgt voor:

  • Duidelijkheid
  • Richting
  • Focus

Bij het bepalen van de ISMS-scope kies je welke informatie binnen je organisatie je wilt beveiligen. Het maakt daarbij niet uit waar die informatie is opgeslagen; of dat nu op kantoor, in de cloud, op het lokale netwerk is of elders. Ook maakt het niet uit door wie en hoe de informatie toegankelijk is. Als organisatie ben je verantwoordelijk voor het beschermen van alle informatie die binnen de scope valt.

Lees ook het artikel: Wat is een ISMS bij ISO 27001?

Wil je meer informatie over ISO 27001? [Whitepaper]

Wil je alles weten over informatiebeveiliging met ISO 27001? Download dan geheel vrijblijvend de gids ‘Informatiebeveiliging met ISO 27001’.

DOWNLOAD INFORMATIEGIDS
Informatiegids ISO 27001

Houd je ISMS scope organisatie breed!

In het verleden, toen de ‘oude’ generatie ISO-normen nog leidend was, werd er wel eens voor gekozen om ISO 27001 slechts voor een deel van de organisatie te implementeren. Daarmee werd de scope van het project verkleind. Ook nu krijgen we bij CertificeringsAdvies Nederland nog regelmatig de vraag of het verstandig is om met betrekking tot ISO 27001 een deel van de organisatie buiten de scope te laten? Ons advies: kies er bij informatiebeveiliging altijd voor om je hele organisatie binnen de scope te laten vallen. Op die manier verklein je organisatie breed alle risico’s en voorkom je onnodige overhead.

Een smallere ISO 27001 scope is niet goedkoper, sneller of makkelijker

Een smallere scope betekent namelijk niet dat certificeren voor ISO 27001 makkelijker wordt en/of sneller gaat. Sommige bedrijven denken de kosten te kunnen drukken door de scope te verkleinen. Dat levert echter vaak meer proberen op dan wanneer ze ervoor hadden gekozen om de scope organisatie breed te houden. Zodra je er namelijk voor kiest om bepaalde bedrijfsonderdelen buiten de scope te laten, dien je ze te behandelen als zijnde ‘een buitenstaander’. Daardoor staan ze dus op gelijke voet met een klant, leverancier of partner. Deze buitenwereld krijgt beperkte of zelfs geen toegang tot de informatiestroom die binnen de scope valt. Aan het buiten de scope laten van bepaalde bedrijfsonderdelen zitten veel meer haken en ogen dan je in eerste instantie zou denken.

In bepaalde situaties is het verkleinen van een scope zelfs niet eens mogelijk. Denk bijvoorbeeld aan een bedrijf waarbij medewerkers van de ene afdeling die binnen de scope valt in dezelfde ruimte zitten als medewerkers van de andere afdeling die buiten de scope valt. In zo’n geval is de scope niet af te bakenen. Dat geldt ook wanneer er gebruik wordt gemaakt van hetzelfde netwerk, zonder splitsing. In dit soort gevallen kun je de informatieflow niet controleren en is het dus veel makkelijker om het hele bedrijf binnen de scope te laten vallen.



Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl