获得证书较多的是涉及:保险、证券、银行、金融产业链所涉及的行业(票据印刷、IC卡制造)以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。

如何设置ISMS的范围以满足ISO 27001?

完成4.1和4.2的工作后,考虑范围内的活动将更加合乎逻辑。

您可能会将范围内的组织,子公司,部门,部门,产品,服务,物理位置,移动工作人员,地理位置,系统和流程视为信息保证和风险评估。

工作将遵循组织中需要保护的那些部分。

记住,也要考虑利益相关者的强大利益相关方也会期望什么。

如果您确实希望将组织的任何部分都排除在范围之外,那么对于那些强大的利益相关方会产生什么影响?您是否还必须运行多个系统并最终使工作人员混淆工作范围内和外的内容?

如何记录ISMS符合ISO 27001的“范围外”?

您还应该仔细注意ISMS的“范围外”区域,该区域与组织执行的活动与其他组织执行的活动之间的关键接口和依赖关系紧密结合在一起。

在一个简单的级别上,让我们假设您是一个软件开发人员,并且依赖于将数据中心外包来将服务托管给客户。

您可能已经澄清了4.3的范围是组织内部人员和软件本身的范围,但是会使数据中心的边界和活动超出了您的控制范围–毕竟,您希望他们也保持自己的职责。

自己信任的ISMS。

物质财产也一样–如果某项工作(例如装载,障碍和接收控制)可能会形成一个边界,物理位置安全性本身就超出了您的控制范围,您将在该属性内进行ISMS活动。

但是,您仍然需要管理供应商,这是您的一部分附件A 15中的供应商政策, 并确保其实践至少满足您的ISMS和风险承受能力的要求,但这是另一回事了。

在上述观点的基础上,如果您确实超出了范围,对员工会有什么影响?他们的某些工作会在范围内,而另一些会不在范围内吗?如果是这样,是否存在其他风险和复杂性,它们可能会使实践(例如)混乱,不能保护工作,

并导致因采用两种不同方法而带来的更大威胁?

是否有机会以不同的方式描述事物,例如将某些卫星办公室视为远程/远程工作者,而不是范围内的物理场所或位置?

如果您可以有效地分割信息边界并证明风险正在得到解决,则尽早简化或限制范围可能是有意义的。

但是,如果您的目标是稍后添加一些内容,那么请记住,范围的重大变化可能会触发对另一审核的需求,具体取决于内部目标或外部压力所驱动的时间,时间,方式和方式。