Har du precis börjat eller är på väg att börja certifieringsprocessen? Följande information måste definieras: Certifieringens omfattning (scope) som omfattar den typ av verksamhet, produkter och tjänster som gäller för varje anläggning, utan att vara vilseledande eller tvetydig.
Tänk på att allt som ligger utanför omfattning inte kommer att ingå i certifieringen. Det vill säga, den kommer inte att undersökas eller testas.
En omfattning anger certifieringens art, storlek och ramar. Det är en textbeskrivning av den granskade organisationens verksamhet/processer.
En beskrivning av omfattningen visar omvärlden exakt vilken del av organisationen som har granskats och certifierats. En väldefinierad omfattning ger klarhet, riktning och fokus. När du definierar omfattningen är det bäst att tänka på följande:
Formulera omfattning så tydligt att en tredje part omedelbart ser och förstår vad certifikatet har utfärdats för. Omfattningen bör ange vilka verksamheter, processer och/eller tjänster som uppfyller den relevanta standarden.
Det ledningssystem som ska certifieras byggs upp på grundval av ett på förhand definierat tillämpningsområde. Omfattningen av certifieringen bestäms i samband med ansökan om certifiering. Utifrån beskrivningen kan ett certifieringsorgan avgöra om det finns en matchning för att certifiera klienten.
Det är inte vanligt att uttryckligen nämna stödprocesser inom en organisation i beskrivningen av omfattning om de inte har en framträdande roll inom certifieringsområdet. Marknadsföring, HR och upphandling är de mest uppenbara. Det betyder inte att de nödvändigtvis inte ingår i certifieringen. Det kan vara så att delar av till exempel HR eller upphandling verkligen ingår i tillämpningsområdet.
Man kan säga att allt som direkt påverkar den primära processen, som innehåller tjänsten/produkten till kunden, bör nämnas i beskrivningen (i den mån det ingår i omfattningen).
Se till att omfattningen är korrekt definierad utifrån vad som kontrolleras inom ledningssystemet;
Använd obestämd form/begränsa användningen av bestämda pronomen;
Undvik att använda förkortningar;
Använd inte tvetydiga eller vilseledande meningar;
Använd inte värderingar/subjektiva bedömningar (försäljningstexter);
Använd verb.
Till exempel:
”Försäljning och reparation av bilar”.
Istället för:
Bilhandlare
Om det finns flera aktiviteter är det bra att använda en struktur så att alla aktiviteter betraktas som en omfattning, för att undvika missvisande eller tvetydiga tolkningar av omfattningen. I ett sådant fall kan ett tillämpningsområde struktureras med hjälp av t.ex. punkter:
“Informationssäkerhet i samband med: – Utveckling, genomförande och förvaltning av programvara ……
– tillhandahålla tjänster ……..”
Exempel på en korrekt beskrivning av en ISMS-certifiering:
– Informationssäkerhet i samband med utveckling, genomförande och förvaltning av programvara för lagring, bevarande och behandling av alla (medicinska) uppgifter för att stödja hälso- och säkerhetstjänster, inklusive förvaltning av databaser och servrar i ett (externt) datacenter inom EU.
– Informationssäkerhet i samband med rådgivning, utformning, utveckling, integrering, underhåll och drift av mobila applikationer och webbapplikationer för bl.a. behandling av personlig hälsoinformation och tillhandahållande av tillhörande externa webbhotellstjänster.
