Systém řízení bezpečnosti informací

2. Rozsah ISMS

Adekvátní rozsah ISMS v organizaci je nezbytným krokem pro efektivní řízení bezpečnosti informací. 

Rozsah se stanoví vymezením těch částí organizace, na které budou činnosti spojené s ISMS aplikovány, a ty části organizace na které aplikovány nebudou. V tomto kontextu je nutné přihlédnout k požadavkům organizace a k požadavkům dotčených stran, např. k zákonným a jiným právním požadavkům. Detailní rozsah ISMS, který musí zahrnovat aktiva a organizační části v rozsahu daného informačního nebo komunikačního systému, určuje povinná osoba sama. V souladu s nejlepší praxí je vhodné stanovit rozsah ISMS napříč celou organizací s minimem výjimek, tak aby bylo zajištěno, že jsou v rozsahu všechna klíčová aktiva organizace, která je potřeba chránit. I při stanovení rozsahu ISMS na celou organizaci probíhá případná kontrola ze strany NÚKIB pouze v rozsahu určených systémů v souladu se ZKB.

Organizačními částmi v rozsahu ISMS jsou např. sekce, odbory, oddělení, apod. V souvislosti s tím by měly být v organizaci současně známy hranice ISMS.