ISO 27001 资讯安全管理系统 【解析】(八)

六、 订定资讯安全管理系统适用范围
组织必须确定资讯安全管理系统的边界和适用性，以确定其范围。在确定此范围时，组织应考虑4.1中提到的外部和内部问题；还必须考虑到第4.2条中确定的有关各利害关系者的要求；必须考虑组织执行的活动与其他组织执行的活动之间的介接和依存关系。此范围必须文件化。
ISMS范围和边界决定了ISMS在组织中的适用程度。范围是规划资讯安全管理系统推行和实施的关键部分。确认正确且适用的ISMS范围非常重要，因为它将帮助组织满足其安全要求并规划ISMS实施，例如：确定所需的资源、时程表及预算。范围如果没有明确定义，将导致不必要的资源浪费（在时间、成本和努力方面），因为当在不同范围内进行风险评估时，将导致不正确地识别资讯安全风险。
此外，如果ISMS范围与组织的安全要求不一致，组织可能会发现ISMS浪费时间和资源，进而不重视实施资讯安全管理的益处。ISMS的范围可以根据组织整体或组织的一部分来定义，通常使用边界和适用性声明来说明组织的ISMS范围。所选定的ISMS范围对於组织实现其业务目标至关重要，一般而言，ISMS范围应涵盖提供服务和/或生产产品的所有流程，包括流程中相关人员、流程和技术以及相关资产的完整要素。ISMS范围应考量组织已知风险，例如：在金融机构中，未经授权存取线上交易的风险可能对其业务运营产生重大影响。因此，该金融机构的ISMS范围可以定义为线上交易服务。在定义ISMS范围和边界之前可以用下列范例问卷：

1. 您的组织中有哪些业务将由资讯安全管理系统负责？
2. 所选择的营运业务为何重要？
3. 所选业务的特徵是什麽，即企业、组织、其所在地、资产和技术将被纳入ISMS？
4. 是否需要外部各方遵守您的资讯安全管理系统？
5. 组织执行的活动之间是否存在任何关联或依赖关系？是由哪些人执行？这些人应该纳入范围吗？
   实施ISMS所需的工作负荷取决於适用范围的规模和复杂程度，然而在定义ISMS范围时，组织应考虑资讯安全和业务需求、利害关系者的期望以及预期资源等因素，为确保有效实施ISMS，应将其视为实现组织业务目标的推动方式。为了确定ISMS范围和边界，组织应执行以下活动：
6. 考虑组织的资讯安全要求，这些要求已在第4.1条 - 定义资讯安全要求中确定。
7. 考虑组织执行的活动与其他组织执行的活动之间的任何关联和依赖关系。
8. 考虑可能会因机密性、完整性或可用性的损失而对组织和/或社会造成重大影响的关键服务。
9. 定义组织范围和边界。
10. 定义资讯通信技术系统的范围和界限。
11. 定义实体范围和边界。
12. 整合相关基本范围和边界以获得ISMS范围和边界。
    组织可在需要时，就建议的ISMS范围和边界徵求验证机构的意见，并确保高阶管理者记录并核准ISMS范围。