本文目录

3 定义 ISMS 的范围


当管理层做出适当的承诺时,您就可以开始建立您的 ISMS 了。

在这一步中,您应该确定您希望将 ISMS 应用到您的组织中的程度。

输入

您可以使用在《获得管理层支持》中创建的几个“结果”文档,例如:

  • 信息安全政策。
  • 信息安全目标和计划。
  • 由管理层定义的与信息安全相关的角色和职责。

此外,你还需要:

  • ISMS 控制的组织的领域、位置、资产和技术清单。

在查看这些列表时,你可能想要回答以下类似的问题:

  • ISMS 将覆盖您组织的哪些领域?
  • 这些领域的特点是什么:其位置、资产、技术均被列入 ISMS 么?
  • 您是否要求供应商遵守您的 ISMS?
  • 是否依赖于其他组织?他们应该被考虑吗?

你的目标是覆盖以下内容:

  • 用于建立 ISMS 的范围和背景的过程。
  • 战略和组织环境。

要点:保持您的范围可管理。考虑只包含组织的一部分,例如组织中的逻辑或物理分组。大型组织可能需要多个信息安全管理系统来维护可管理性。例如,他们可能为财务部门和该部门使用的网络提供一个 ISMS,而为软件开发部门和系统提供一个单独的 ISMS。

输出

ISMS 的记录范围。

当你确定了范围,你需要记录它,通常是几个陈述或段落。记录的范围经常成为您组织的安全手册的第一部分。或者,它可能仍然是您计划维护的一组 ISMS 文档中的独立文档。

通常,范围、安全策略和安全目标被组合到一个文档中。

请参考下面的示例。

案例

范围和目的

公司致力于保护自己和客户的信息。为达致这一目标,公司已根据 ISO/IEC 27001:2013 推行信息安全管理体系。

公司的 ISMS 适用于以下业务领域:

  • 财务部门
  • 用于后端业务的内部IT系统和网络(如电子邮件、工时表、合同开发和存储,以及报告编写)

(注:用于开发和存储公司软件的 IT 系统是软件开发 ISMS 的一部分,更多信息请参考软件开发安全手册。)



最近更新于 2022-05-22 猿小六2022-05-21 发布, 已阅 320 次。