27001 的驗證可以自選範圍 (Scope);
但不是你自己隨便指定, 必須有所本...

在定義範圍時, 您必須先執行以下操作：

考慮第 4.1 條(瞭解組織及其全景)中定義的內部和外部問題

• 如何根據 ISO 27001 定義組織的環境。

考慮第 4.2 條(瞭解關注方之需要及期望)中定義的所有要求

• 如何根據 ISO 27001 和 ISO 22301 識別利害關係人。

你必須考慮 ISMS 範圍內發生的事情, 與外部世界之間的接口和依賴關係。

如果你把組織日常運作的某些部門視為範圍外的外部單位時, 當這些外部單位與你驗證過的 ISMS 範圍內部門合作的時候, 可能必須為兩者之間的每一項活動都簽署法律合約, 以確保外部單位不會損及你 ISMS 內部的控制措施. (這樣看似縮小範圍, 實則將麻煩擴大)

資安實施範圍的選定須考量: 內、外部議題 ，於稽核時會特別關注公司在這一個面向是否進行討論，通常展現在: 風險評估階段、或是內部會議、或是管理審查會議。(不是你心裡隨便想一個範圍指定就可以, 必須經過前面所述的各種會議討論之後, 因為邏輯上合理的演繹結果, 導致你縮小範圍; 稽核員審查的時候, 會看你們的會議紀錄是如何推演出這個範圍結論的? 如果稽核員認為你們的推演不合理, 那麼你們自訂的範圍就不會被認可)

只驗證更小的範圍 (Scope) 並不意味著更容易的工作。將公司的某些部分排除在範圍之外時，這意味著: 您必須將它們視為 “外部世界”：您必須限制他們對範圍內信息的存取(而不是完全不理會外部系統)，這可能會產生比原本預期還更多的問題。限制範圍對於較大的公司通常是可行的，但對於較小的公司通常不可行 (因為業務流程太緊密).

例如，如果您選擇只有您的 IT 部門在您的範圍內，並且該部門正在使用採購部門的服務，那麼 IT 部門應該對您的採購部門進行風險評估，以確定您的資訊是否存在風險。此外，這兩個部門應就所提供的服務簽署條款和條件。

有時，狹窄的範圍根本不可能，因為沒有與外界的接口。例如，如果範圍內和範圍外的員工坐在同一個房間，這樣的範圍定義幾乎不可行；如果範圍內外的員工使用同一個本地網絡（沒有隔離），並且可以訪問各種網絡服務，那麼這樣的範圍定義是不可行的: 你沒有辦法只在範圍內控制資訊流。

排除控制措施與 ISMS 範圍無關。你不能說: “我們將把控制措施 x、y 和 z 排除在範圍之外，因為我們不想要它們”；只有在沒有需要實施這些控制的風險或要求時，您才能排除這些控制。換言之，如果存在風險和/或需求，則不能排除相關控制

縮小您的 ISMS 範圍有時是不可能的，而且在大多數情況下，這會給您帶來不必要的開銷。因此似乎不是一個好的解決方案，最佳的解決方案可能是 - 嘗試將您的範圍擴展到整個組織。

經驗法則是：
如果您的組織員工不超過幾百名，並且只有一個或幾個地點，那麼最好讓 ISMS Scope 覆蓋整個組織。

是列出27001驗證範圍

「機房實體與環境安全」、「骨幹網路」、「電子郵件」、「入口網站與身分認證主機管理」

這四項就是驗證範圍，如果年度審查通過代表這四項都符合ISO 27001
稽核員到公司就是驗證範圍內都看，不會說這次只看機房，然後只發機房的驗證
這樣應該要後三項全刪只剩「機房實體與環境安全」，然後每年只驗機房XD