ISO/IEC 27001: 2022标准解读(4)正文 4 组织环境/4.3 确定信息安全管理体系范围

ISO/IEC 27001:2013标准 正文 4 组织环境/4.3 确定信息安全管理体系范围
4.3 确定信息安全管理体系的范围

组织应确定信息安全管理体系的边界和适用性,以建立其范围。

当确定该范围时,组织应考虑:
a) 在4.1 中提及的外部和内部问题;
b) 在4.2 中提及的要求;
c) 组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性

范围应文件化并保持可用性。

标准解读

  1. 应根据业务、组织、位置、资产和技术等确定ISMS覆盖边界和范围。
  2. 边界包括组织物理边界(厂区、区域)、逻辑边界(信息系统、网络通信)。
  3. 根据确定的边界确定ISMS覆盖的范围,外包项目亦需要纳入信息安全管理范围,ISO/IEC 27001:2013标准正文(条款4-条款10)不能删除。
  4. 边界和范围描述,必须形成书面文件。如果有编写信息安全管理手册,可以放在手册之中,如果没有编写手册,可以单独形成文件,当作纲领性文件。
  5. 确定的范围不能与实施本标准“4.1”与“4.2”时输出材料存在矛盾或不一致的情况。因此确定范围时,需要把“4.1”与“4.2”时输出材料作为输入材料进行考虑。
  6. 实施本条款需要的常用文件和记录:信息安全管理手册(或信息安全纲领性文件)、组织架构图、营业执照、厂区平面图、网络拓扑图、厂区租赁合约、信息系统清单等。