| ISO/IEC 27001: 2022标准 正文 4 Context of the organization 组织环境/4.3 Determining the scope of the information security management system 确定信息安全管理体系范围 |
4.3 Determining the scope of the information security management system 确定信息安全管理体系范围 The organization shall determine the boundaries and applicability of the information security management system to establish its scope. 组织应确定信息安全管理体系的边界及其适用性,以建立其范围。 When determining this scope, the organization shall consider: 在确定范围时,组织应考虑: a) the external and internal issues referred to in 4.1; a) 4.1中提到的外部和内部事项; b) the requirements referred to in 4.2; b) 4.2中提到的要求; c) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations. c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。 The scope shall be available as documented information. 该范围应形成文件化信息并可用。 |
| ISO/IEC 27001: 2013标准 正文 4 组织环境/4.3 确定信息安全管理体系范围 |
4.3 确定信息安全管理体系的范围 组织应确定信息安全管理体系的边界和适用性,以建立其范围。 当确定该范围时,组织应考虑: a) 在4.1 中提及的外部和内部问题; b) 在4.2 中提及的要求; c) 组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性。 范围应文件化并保持可用性。 |
标准解析:
- 本条款(ISO/IEC 27001: 2022)条文与ISO/IEC 27001: 2013一样,没有变化。
- 实施本条款,组织应根据“4.1”和“4.2”输出的内容,确定信息安全管理体系的范围。
- 确定范围除了明确覆盖的业务,还需明确覆盖的组织物理边界(厂区、区域)和相关的逻辑边界(信息系统、网络通信)。
- 外包项目亦需要纳入信息安全管理范围,ISO/IEC 27001:2022标准正文(条款4-条款10)不能删除。
- 信息安全管理体系的范围,必须形成书面文件。如果有编写信息安全管理手册,可以放在手册之中,如果没有编写手册,可以单独形成文件,当作纲领性文件。
- 信息安全管理体系范围确定后,必须形成书面的信息安全管理过程之间以及与外部管理过程之间的关系图(参见本条款c)。
实施本条款应输出的文档:
- 信息安全管理手册,或信息安全管理体系范围和信息安全管理过程关系图。
本条款审核要点:
- 审核“4.1”和“4.2”输出的内容(如法律法规清单和评价记录、客户信息安全要求清单及评审记录等)、组织架构图、营业执照、厂区平面图、网络拓扑图、厂区租赁合约、信息系统清单等资料,确认组织信息安全管理体系范围是否合理,或是否与上述资料存在矛盾的地方。
