Standard Podcast [3:53m]: Hide Player | Play in Popup | Download


计划工作的第一部就是设定工作范围。
划定范围的要求在标准的条文4.2.1.a中。具体的要求是,该组织将“依据在商业方面的特点、组织、位置、资产和技术,定义ISMS的范围和界限,并包括从范围中排除的所有细节和理由。”

标准的第1章节(范围)中也明确提到这点。它强调,标准中“商业”的广义解释是以该组织的生存为目的的主要活动。

第1章节给出决定ISMS项目范围的四个准则如下:
1.哪个法律或管理机构将为ISMS负责?
2.上述机构将拥有、经营和依赖哪些信息资产?
3.生成、存储和共享信息相关的流程都有哪些?
4.有什么法律和规章的规定要求适用于该信息?

范围界定实践
范围界定实践应当确定什么在ISMS的范围内,什么是范围之外。ISMS于是在内外之间设定了一个边界。ISMS的开发要求内、外部之间有一个联系点,这个联系点将被当做一个潜在的风险点,需要具体和适当的应对处理。

小型组织
在小组织里,所有的东西都应该在ISMS的范围内。这符合标准规定的期望,简单的情形适用简单的方案。ISO 27001特别强调从范围内排除的要求,并特别指出,所有的信息资产,或者和信息资产有关的任何东西,都应在信息安全管理体系的范围内。

大型组织
在较大的组织里,特别是那些有多个部门、多个经营场所和单位的组织里,范围的划定将更为复杂。上述的四个准则将有助于我们做出适当的决定。通常情况下,简 单地列出所有的信息资产和信息流的行为有助于明确确定ISMS的范围。要对在范围内的资产分别进行风险评估,所以尽早地识别出来它们有利于整个项目的进 展。
要注意,如流程一类的信息资产,不能一半在ISMS中,一半不在;它们要么整个全在范围内,要么就全部都不在。

法律和监管框架
对较大组织来讲,法律和监管框架对ISMS的范围有具体的要求。很显然,属于任何一个单一的法规或其他法律要求的范围内的信息和信息管理流程,必需在ISMS的范围内。