六、 訂定資訊安全管理系統適用範圍
組織必須確定資訊安全管理系統的邊界和適用性,以確定其範圍。在確定此範圍時,組織應考慮4.1中提到的外部和內部問題;還必須考慮到第4.2條中確定的有關各利害關係者的要求;必須考慮組織執行的活動與其他組織執行的活動之間的介接和依存關係。此範圍必須文件化。
ISMS範圍和邊界決定了ISMS在組織中的適用程度。範圍是規劃資訊安全管理系統推行和實施的關鍵部分。確認正確且適用的ISMS範圍非常重要,因為它將幫助組織滿足其安全要求並規劃ISMS實施,例如:確定所需的資源、時程表及預算。範圍如果沒有明確定義,將導致不必要的資源浪費(在時間、成本和努力方面),因為當在不同範圍內進行風險評估時,將導致不正確地識別資訊安全風險。
此外,如果ISMS範圍與組織的安全要求不一致,組織可能會發現ISMS浪費時間和資源,進而不重視實施資訊安全管理的益處。ISMS的範圍可以根據組織整體或組織的一部分來定義,通常使用邊界和適用性聲明來說明組織的ISMS範圍。所選定的ISMS範圍對於組織實現其業務目標至關重要,一般而言,ISMS範圍應涵蓋提供服務和/或生產產品的所有流程,包括流程中相關人員、流程和技術以及相關資產的完整要素。ISMS範圍應考量組織已知風險,例如:在金融機構中,未經授權存取線上交易的風險可能對其業務運營產生重大影響。因此,該金融機構的ISMS範圍可以定義為線上交易服務。在定義ISMS範圍和邊界之前可以用下列範例問卷: