計劃工作的第一部就是設定工作範圍。
劃定範圍的要求在標準的條文4.2.1.a中。具體的要求是,該組織將“依據在商業方面的特點、組織、位置、資產和技術,定義ISMS的範圍和界限,幷包括從範圍中排除的所有細節和理由。”
標準的第1章節(範圍)中也明確提到這點。它強調,標準中“商業”的廣義解釋是以該組織的生存爲目的的主要活動。
第1章節給出決定ISMS項目範圍的四個準則如下:
1.哪個法律或管理機構將爲ISMS負責?
2.上述機構將擁有、經營和依賴哪些信息資產?
3.生成、存儲和共享信息相關的流程都有哪些?
4.有什麼法律和規章的規定要求適用於該信息?
範圍界定實踐
範圍界定實踐應當確定什麼在ISMS的範圍內,什麼是範圍之外。ISMS於是在內外之間設定了一個邊界。ISMS的開發要求內、外部之間有一個聯繫點,這個聯繫點將被當做一個潛在的風險點,需要具體和適當的應對處理。
小型組織
在小組織裏,所有的東西都應該在ISMS的範圍內。這符合標準規定的期望,簡單的情形適用簡單的方案。ISO 27001特別強調從範圍內排除的要求,並特別指出,所有的信息資產,或者和信息資產有關的任何東西,都應在信息安全管理體系的範圍內。
大型組織
在較大的組織裏,特別是那些有多個部門、多個經營場所和單位的組織裏,範圍的劃定將更爲複雜。上述的四個準則將有助於我們做出適當的決定。通常情況下,簡 單地列出所有的信息資產和信息流的行爲有助於明確確定ISMS的範圍。要對在範圍內的資產分別進行風險評估,所以儘早地識別出來它們有利於整個項目的進 展。
要注意,如流程一類的信息資產,不能一半在ISMS中,一半不在;它們要麼整個全在範圍內,要麼就全部都不在。
法律和監管框架
對較大組織來講,法律和監管框架對ISMS的範圍有具體的要求。很顯然,屬於任何一個單一的法規或其他法律要求的範圍內的信息和信息管理流程,必需在ISMS的範圍內。