ISO 27001 资讯安全管理系统 【解析】(九)

(一) 正式范围定义的目的
范围定义的目的是准确说明组织所做的事情，范围说明应准确说明组织所做的事情是否符合标准。
范围的定义比较不适切的叙述如後：「XXX公司的资讯安全系统」，这样的叙述并未提供有关组织所提供符合ISO 27001标准要求之产品或服务的详细资讯，如此在验证或稽核上会有困难，也可能导致证书的公信力遭受质疑。
范围比较适切的叙述是：「由XXX公司提供的规划软件即服务平台的开发、维运及管理」，这样的叙述告诉我们，组织的SaaS平台维运和管理认证，而且还获得了开发认证。这也说明与系统的开发、维运和管理相关的人员和资讯系统都在范围内，并且也需要满足标准的要求。如果这个组织还提供其他服务，例如谘询，则不应混淆或假设这个单独的服务符合标准的要求，因为它没有记录在正式范围内，并且不受验证稽核。
(二) 确定和定义ISMS边界的策略及方法
应先了解组织以及与其最相关的问题，以及对其最感兴趣的人员和组织的需求和期望。请特别注意，对组织感兴趣的人员和组织的要求应包含必须遵守的任何法律或法规要求。例如，如果您的公司提供电子支付的服务，则应确保与客户资讯相关的人员、流程、系统和资讯都应在范围内，确保公司不违反电子支付专有的法律或法规(电子支付机构管理条例、电子支付机构使用者身分确认机制及交易限额管理办法)；范围如果仅包括业务推广部门，他们无权存取或影响任何客户资讯或其安全性，这样就无法满足那些对实现组织目标能力影响最大的人(客户、主管机关)的需求和期望。
确认组织及其目标最相关的详细资讯後，应该可以了解资讯安全管理系统范围内应包含哪些资讯；再来必须确定ISMS的边界，可以将其视为一个界限，作为可信任的控制环境与外部环境之间的界限(这种界限可以是实体、网际网路、系统或是部门)。多数情况下，确定实体边界最简单，最安全的方法是包括整个组织，将包括其所有人员、流程、系统和实体位置。对於拥有单一办公室的小型组织，或仅提供一种产品或服务的组织，要确定应包含在其中的人员和流程很容易，因为每个人都是组织的一部分。确定网际网路的逻辑边界可以透过识别连接网路出入口分界点存在的位置，或者组织对网路的控制和可现性的情况来帮助确定资讯网路的逻辑边界，网路架构图也是确认网路边界的一种辅助方式。现在有很多组织对於自己的网路架构不清楚，边界就很难去界定。如果有组织架构图，这样可以帮助轻松识别涉及范围内的特定产品或服务的部门/人员。但是，如果有人员在范围之外又使用相同的办公室或建筑物，则必须将其视为与范围之外的任何其他人相同并且受到控制。这可能包括单独的实体区域(例如机房)，只允许在范围内人员有进出权限；单独的资讯系统，与其他组织单位签订合约用来定义和执行与资讯安全相关的要求等。范围人员工作的任何实体位置，或者涉及范围服务的资讯和系统需要包括在范围内。
对於资讯的范围，用於确定ISMS边界的方法是建立资讯流程图，可以展现关联资料的逻辑对映。在此时并不用识别每个服务器/路由器/交换器/储存阵列或资料库等。例如，如果在地理位置不同处有多个资料库服务器，在资讯处理上只需将资料库标识为地图上的单个点即可。从资料输入系统/建筑物的所有可能方式开始，识别存储/处理/存档的所有可能位置以及所有可能的输出；此外还要注意资料在这些位置之间可能获得的方式，可以深入查看资料可能储存位置、资源及所使用的系统，以便最终获得需要在范围内的系统的完整清单，去确定它们所在的实体位置、它们之间的传输方法以及可以存取这些系统的个人。
缩小ISMS的范围可以降低其开始的资源成本。能够局限於某个部门而不用全组织的导入，对於负责资讯安全的人员而言当然比较轻松，但由於网路可以轻松跨越组织和实体边界，因此局部导入可能无法实际维护资讯安全。建议首先确定您的组织透过ISO 27001验证的ISMS控制，能为所有对组织感兴趣的各方带来最大利益为考量点，从此处开始识别人员、流程、系统和资料。限制ISMS范围的可行性和敏感性将在很大程度上取决於您组织的具体情况及其背景，关键在於范围有限的情况下，范围之外的组织资产必须与公司外部的组织资产以相同控制措施执行管控。