TL; DR:
[...] is this a repetitive task that has to be done in the beginning of each risk assessment process (given that risk assessment conducted for certain limited scope such as a web service)?
Esattamente. Ma la parte che hai messo tra parentesi è davvero importante. Dai un'occhiata a questa immagine.
Puoi vedere qui che la creazione del contesto avviene prima di ogni valutazione del rischio. L'ambito è definito all'interno del contesto.
Risposta lunga:
Prima di tutto, dobbiamo rispondere alla seguente domanda:
Che cosa significa "contesto" all'interno della ISO / IEC 27005?
Considera la seguente nota:
ISO/IEC 27001:2005 does not use the term “context”. However, all of Clause 7in ISO/IEC 27005 relates to the requirements “define the scope and boundaries of the ISMS” [4.2.1 a)], “define an ISMS policy” [4.2.1 b)] and “define the risk assessment approach” [4.2.1 c)], specified in ISO/IEC 27001:2005.
e l'output del processo di creazione del contesto:
Output: The specification of basic criteria, the scope and boundaries**, and the organization for the information security risk management process.
Questi tre "articoli" stabiliscono il contesto.
Criteri di base
I criteri di base sono i criteri che descrivono in dettaglio il processo di gestione del rischio. Questi criteri seguono l'approccio di gestione del rischio e questo approccio segue gli obiettivi e l'ambito della gestione dei rischi.
I criteri di base possono essere:
- Criteri di valutazione del rischio
- Criteri di impatto
- Criteri di accettazione dei rischi
Non voglio entrare troppo in questi criteri, perché sono tutti ben descritti nella norma.
Ambito e limiti
L'ambito e i limiti si riferiscono sempre alla gestione dei rischi per la sicurezza delle informazioni. Devono essere definiti per "garantire che tutti rilevanti
beni sono presi in considerazione nella valutazione del rischio. Inoltre, i confini devono essere identificati per affrontare i rischi che potrebbero sorgere attraverso questi limiti. "
Questa parte è cruciale e probabilmente la più complicata dell'intero processo. Se la tua portata è troppo ampia, la raccolta di informazioni può richiedere così tanto tempo, che una volta che hai finito devi ricominciare da capo, perché nel frattempo sono cambiate molte cose. Più tempo hai bisogno, più soldi e risorse saranno spesi. Se il tuo ambito è troppo ristretto, escluderai molte e importanti informazioni e quindi molti possibili rischi. La parte peggiore di questo: non esiste una ricetta standard o "buona" per questo. Se non l'hai mai fatto prima, ricevi aiuto dall'esterno e segui questo processo passo dopo passo.
Nota importante che viene spesso dimenticata: "Inoltre, l'organizzazione dovrebbe fornire una giustificazione per qualsiasi esclusione dall'ambito."
Non lasciare solo parti della tua organizzazione. Questo non è solo significativo per un controllo, ma è anche utile per te e il tuo team. Perché dovresti scegliere un ambito nel modo in cui lo hai fatto e perché ha più senso di qualsiasi altro modo?
Organizzazione per la gestione dei rischi di sicurezza delle informazioni
Questo è abbastanza semplice (per capire): il tuo processo di gestione del rischio deve essere organizzato. I ruoli e le responsabilità devono essere assegnati, e tutte le attività formali che accompagnano un processo di gestione del rischio devono essere condotte. Questo è tutto molto semplice e altamente formalizzato.
Tutte le virgolette e la figura sono prese da ISO / IEC 27005, Seconda Edizione 2011-06-01