4 组织环境/4.3 确定信息安全管理体系范围

4.3 确定信息安全管理体系范围

组织应确定信息安全管理体系的边界及其适用性,以建立其范围。

在确定范围时,组织应考虑:

a) 4.1中提到的外部和内部事项;

b) 4.2中提到的要求;

c) 组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。
该范围应形成文件化信息并可用。

【新版变化】

新版4.3没有变化。

【标准理解】

(1)组织应确定信息安全管理体系的边界和适用性,以明确信息安全管理体系的适用范围;

(2)信息安全管理体系边界信息通常包含以下信息:组织名称(如XX公司等)、组织地址、具体的产品和服务提供过程(如XXX产品设计,生产和销售等)、以及涉及的支持过程(如人力资源,采购,行政,IT)等;

(3)4.3提到的适用性,指的是标准条款对于组织是否适用。对于信息安全管理体系(ISO/IEC 27001)来说,正文条款4-10都不能以任何理由进行删除的。对于附录A中的控制要求,可以通过适用性声明(SOA)进行删减说明;

(4)在确定信息安全管理体系范围时,应以4.1和4.2的输出信息,以及组织所提供的产品和服务,作为输入信息,以确保信息安全管理体系范围符合组织的需求;

(5)在确定信息安全管理体系范围时,应考虑相应的接口和依赖关系,如一些研发制造型企业,应将支持性过程(如人力资源、IT、形成、采购等)纳入到信息安全管理体系的范围之内,而不能仅仅将研发和制造过程纳入到信息安全管理体系的范围;

(5)信息安全管理体系的范围,应进行文件化,如果组织有信息安全管理手册,可以放入质量管理手册中。

备注1:本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频:https://video.27001.cn/course-3.html

【行动要点】

(1)建立信息安全管理体系范围管理过程。(如图三);

(2)形成书面的《ISMS范围管理流程》或《ISMS范围管理程序》,明确ISMS范围确定流程和要求;

(3)按照《ISMS范围管理流程》或《ISMS范围管理程序》,对ISMS范围进行确认、评审和更新,并输出相应的记录。。

备注2:本系列讲解对应的过程乌龟图,以及输出的表单记录(示例),将在即将出版的书籍《ISO/IEC 27001: 2022标准详解与实施》中呈现。

备注3:本系列讲解的配套文件(包含一阶文件,二阶文件,三阶文件,以及四阶文件),所有文件均是独家全新编写的,企业付费(暂不接受个人付费)可以获取,请见《独家:ISO/IEC 27001: 2022全新全套文件提供和使用指导》

【输出文档】

(1)《ISMS范围管理流程》或《ISMS范围管理程序》;

(2)书面的信息安全管理体系范围。

【审核要点】

(1)是否有对信息安全管理体系的范围进行确定,并能提供书面的记录。

(2)信息安全管理体系的范围是否与4.1和4.2的输出信息,以及组织自身所提供的产品和服务存在不一致的地方。

(3)信息安全管理体系范围是否将支持性过程包含进去。