Ambito di valutazione del rischio e attività critiche

Hmmm. Penso di essere un po 'preoccupato per il modo in cui la tua azienda sta pensando a cosa è da che parte della linea critica rispetto a quella meno critica. Perché (dal modo in cui lo metti) sembra che stia adottando un approccio di tipo presunto "tradizionalista", tangibile, centrato sull'apparecchiatura, centrato sulla posizione, per determinare ciò che è e non è critico in termini di potenziale di rischio. il mio punto di vista, (sì, un leggero tocco di opinione che perde qui dentro, forse) è una tendenza che vorresti correggere presto.

Ci sono veramente due tipi di cose * che devi proteggere nella categoria critica: informazioni critiche e sistemi critici. Per dirla in breve ma in modo maldestro, la cosa sulle informazioni critiche è che l'informazione non esiste o passa a "dove dovrebbe essere". Non c'è modo di dire "Tutte le informazioni importanti ovunque nelle nostre reti, entra nel nostro datacenter, ora!" e farlo funzionare Devi uscire e trovare informazioni / dati vitali che sono estremamente importanti e che la tua azienda deve assolutamente proteggere. Devi andare dove è stato creato all'interno della tua azienda o dove entra nella tua azienda e vedere dove si trova. Hai bisogno di vedere chi scorre e dove. E poi vedi dove finisce per finire e viene memorizzato (probabilmente quel datacenter, finalmente.) E poi, una volta determinato quale sia l'informazione critica e dove si trova e dove scorre allora puoi iniziare fare la valutazione del rischio e tutta l'altra divertente pianificazione burocratica e così via.

Ma prima devi uscire sul campo e capire dove si trovano effettivamente le informazioni critiche. Non dico solo di valutare cose nella Location X perché Beh, le cose importanti sono teoricamente presumibilmente lì, e quindi è tutto lì. (E questo in particolare non è un ottimo approccio per affrontare questa era di uso onnipresente degli smartphone e utilizzo del cloud sempre crescente, a volte con pre-approvazione da parte della gestione centralizzata e talvolta senza.)

Per quanto riguarda i sistemi critici, penso che valga la stessa analisi. La cura dei rischi legati ai costosi server e alle apparecchiature di rete nel vostro datacenter è sicuramente un buon e amp; cosa necessaria da fare, ma una persona ragionevole potrebbe concludere che esaminando i rischi rilevanti per gli smartphone la R & I dirigenti di D portano in giro ogni giorno sono ancora più meritevoli di essere etichettati come "critici".

Ad ogni modo, i miei due centesimi. Saluti.

1. Per l'inizio di questo processo, a partire dalle risorse critiche ha senso. Per mangiare un dinosauro, devi ridurlo a pezzi. Rende più facile cucinare e deglutire. Alla fine vorrai avere tutto sotto l'ombrello dell'ISMS, o almeno fare del tuo meglio per ottenere tutto.

2. Dipende da te. Di quali sistemi la tua azienda non può vivere senza? Cosa detiene i dati personali che sarebbero dannosi nelle mani sbagliate? Quali sono i sistemi che costituiscono la spina dorsale della tua attività?

3. Un asset è qualcosa che è prezioso e utile. I processi possono essere più preziosi dei dati o viceversa a seconda della propria infrastruttura. Cosa significano per la tua azienda?

4. Non sei troppo sicuro di cosa stai chiedendo lì. È un buon inizio e ha senso con quello che hai detto sopra.

La mia prima prenotazione sarebbe che hai uno scopo per il tuo ISMS e un ambito più piccolo per la tua valutazione del rischio. In tal caso il tuo ISMS copre solo l'ambito più piccolo. Se tu (il business) stai bene con lo scope più piccolo, dì che è tutto ciò che coprirai nell'ISMS.

È accettabile considerare solo le risorse critiche? Il problema è che potresti scoprire che alcune risorse che ritieni non siano critiche sono di fatto critiche. Potrebbe essere meglio provare inizialmente e identificare tutte le risorse.

Come decidi cosa è critico? Determinate i vostri criteri di valutazione delle attività, in genere in che modo l'impatto di una perdita di riservatezza, integrità o disponibilità influirebbe sul business. Quindi esegui una valutazione di ciascun bene in base ai tuoi criteri.

I processi chiave sono una risorsa? Sì. La ISO 27005 le chiama attività primarie, con le cose che in genere si pensa siano denominate risorse di supporto. Lo trovo sempre un po 'strano, perché in genere valuterai il rischio in termini di risorse secondarie. Se si pensa alla non disponibilità di un processo di base, sarà quasi certamente fondamentale per il business.

Per l'elenco degli articoli che hai nel tuo esempio, mi aspetto che tutte queste risorse siano nella tua valutazione del rischio. Alla fine saprai meglio di me cosa c'è nel tuo business, ma le cose che non vedo sono: software; connettività internet; Alimentazione elettrica; costruzione; persone.