信息安全管理计划工作的第一步就是设定工作范围。

划定范围的要求在信息安全管理体系标准的条文中。具体的要求是，该组织将“依据在商业方面的特点、组织、位置、资产和技术，定义ISMS的范围和界限，并包括从范围中排除的所有细节和理由。”通常来讲，要划在范围内部的都是些核心的信息资产。对此，昆明亭长朗然科技有限公司信息安全管理意识培训专员董志军说：当然，也存在为了方便通过认证，而特意将范围划小的情形。不过，这种情况非常之少，对商业企业来讲，搞信息安全管理体系建设，是要投入巨大的人力物力，以换取信息安全水平提升方面的回报。因此，没必要搞些表面工作。

标准的第1章节（范围）中也明确提到这点。它强调，标准中“商业”的广义解释是以该组织的生存为目的的主要活动。

第1章节给出决定ISMS项目范围的四个准则如下：
1.哪个法律或管理机构将为ISMS负责？
2.上述机构将拥有、经营和依赖哪些信息资产？
3.生成、存储和共享信息相关的流程都有哪些？
4.有什么法律和规章的规定要求适用于该信息？

范围界定实践
范围界定实践应当确定什么在ISMS的范围内，什么是范围之外。ISMS于是在内外之间设定了一个边界。ISMS的开发要求内、外部之间有一个联系点，这个联系点将被当做一个潜在的风险点，需要具体和适当的应对处理。

小型组织
在小组织里，所有的东西都应该在ISMS的范围内。这符合标准规定的期望，简单的情形适用简单的方案。ISO 27001特别强调从范围内排除的要求，并特别指出，所有的信息资产，或者和信息资产有关的任何东西，都应在信息安全管理体系的范围内。

大型组织
在较大的组织里，特别是那些有多个部门、多个经营场所和单位的组织里，范围的划定将更为复杂。上述的四个准则将有助于我们做出适当的决定。通常情况下，简 单地列出所有的信息资产和信息流的行为有助于明确确定ISMS的范围。要对在范围内的资产分别进行风险评估，所以尽早地识别出来它们有利于整个项目的进 展。
要注意，如流程一类的信息资产，不能一半在ISMS中，一半不在；它们要么整个全在范围内，要么就全部都不在。

法律和监管框架
对较大组织来讲，法律和监管框架对ISMS的范围有具体的要求。很显然，属于任何一个单一的法规或其他法律要求的范围内的信息和信息管理流程，必需在ISMS的范围内。

附加的话
总之，信息安全管理体系的工作范围应该有一个划定，特别是对于大型机构，不然工作起来没有一个边界，就难以衡量成功与否。关于对此的认识，很多计划实施信息安全管理系统的组织机构，需加强内部人员沟通，以免产生误解。毕竟，对于所有组织机构来讲，各个部门的人员几乎都为认为自己的工作岗位很重要，相关部门的信息资产和流程应该被列进范围之类。实际上并非如此，尽管高管们清楚核心的信息资产所在，要让员工们认识到这点，才能真正让其投入到后期的信息安全控管工作之中。

当然，除了防范推诿扯皮，从强化风险治理及法规遵循的角度来讲，将相关信息资产与商业流程划入信息安全管理体系工作的范围之内，也是需要进行沟通协调的，这种沟通协调工作虽然不多，不过也算是整体信息安全意识沟通工作中的一部分。

针对各种规模的组织机构，包括大、中、小型，昆明亭长朗然科技有限公司都有适用的信息安全意识沟通与宣教资源素材，欢迎有兴趣、有需要的客户及合作伙伴联系我们，洽谈业务合作。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

ISO 27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证的规范。如果信息安全管理体系被认为符合规范要求，组织可以被发放正式的证书以确认之。因此，证书往往能够体现一家组织的信息安全管理水准，于是，很多国际型的组织便要求供应链也具有相应的证书，方可与之建立信息联系和业务合作。对此，昆明亭长朗然科技有限公司信息安全管理咨询专员董志军称：欧美的大型组织通常会要求供应商证明自己在信息安全管理方面尽职尽责，证书就是最好的证明。

认证机构
认证是由独立的，可信的认证机构进行的。它们在不同的国家有不同的叫法，包括‘注册机构’、‘评估和登记机关’、‘认证/注册中心’和‘登记司’等等。无论他们被如何称呼，他们都在做同样的事情，并接受同样的要求。

通常来讲，经认可的认证机构是一个已经证明完全符合任何国际和国家标准规定的认证机构。不过，董志军补充说：信息安全管理体系证书的含金量主要体现在国际认证机构所发放的。因为文化环境的因素，国际大牌认证机构的国内分支发放的大量证书变质严重、可信度低；本土的拷贝机构所发放的证书虽然在可信度方面同样为众人所不齿，但是由于其有官方背景，反而受到很多寻求庇护的组织的青睐。

认证流程

对于已经通过ISO 9000或任何其他管理体系标准认证的任何组织，该认证流程将会非常熟悉。认证机构将分两个阶段发起审核流程。第一阶段将进行文件的审查（可能包括也可能不包括预认证的访问），这将使审计人员进行首次实际的正式访问以便能：

• 熟悉该组织机构；
• 对文件进行审查；
• 确保ISMS得到了足够的开发，已经能够接受正式的审计；
• 获取足够的关于该组织的信息，以及认证的目的和范围，以便有效地准备他们的审计。

这次访问是通常时间比较短，取决于组织的规模，可能只需要一两天。在作出访问之前，一些组织将开展远程文件审查。

正式审计
正式的审计，通常被称为’初审’，将花上数天时间。审计过程包括测试组织的（信息安全管理体系ISMS）文档流程以和标准的要求进行比较，以确认该组织已制订出符合标准要求的文档体系，然后再测试组织对ISMS的实际遵从情况。

审计工作将遵循一个预先设定的计划。审计人员将与他们进行沟通，包括和组织中的哪些人以及用什么顺序与他们面谈。

审计报告

认证审核将使用负面报道（也就是说，它会找出不足之处，而不是光辉点），以评估ISMS确保该组织的程序和流程，该组织的实际活动和执行的记录符合ISO 27001的要求，并且给出申报的系统的范围。审计的结果将是：
*书面审计报告（通常可在审计完成时交付）
*不符合项纠正措施和意见
*商定的纠正措施和时限

不符合项可以是轻微的或严重的;轻微的不符合项将被作为主要的改进机会，严重的不符合项将意味着该组织并不会（在这个阶段）成功地获得认证。通常， 当一个严重的不符合项被发现出来时，审计人员会建议，审计过程暂停，以便该组织使用足够的时间解决这个严重问题之后再重新开始。

审计输出结果

访问的预期结果应当是组织的ISMS通过了ISO 27001的认证和证书的效果问题。该证书应得到适当的展示，组织应该开始准备应对它的第一次监督访问，它将在约6个月后进行。

任何轻微的不符合项应该得到解决，并由邮件告知，所有证书的发放将依赖在事前商定的时间表内的整改情况。

审计监督将在审计后进行，既要确保他们不会发展成为不符合项，也要作为该组织持续改进活动的一部分。 正式批准的认证标志可以被组织用来当作营销材料。

补充说明

通常来讲，专业的信息安全内审人员都会知道如何应对外部审计和测评机构。但是审计人员的检查项通常也会包括检查工作区域和走访工作人员，如果这些区域和人员对信息安全的普遍理解和操作实践有重大失误，则会严重影响审计结果。经常出现严重的不符合项来自员工的访谈，造成审计的失败和时间的浪费。为防范这种情况，董志军建议组织的安全负责人注意强化办公区域的安全实践，在提升工作区域人员安全意识的同时，教导工作人员们如何正确应对审计面谈，至少让他们在信息安全方面不要随意猜测、推断、说些不肯定的话甚至瞎扯。比如某些人对某些安全要求可能有自己不同的观点，但是却不符合普适的安全价值，如果在面谈时对审计人员不加遮掩地表达出来，再添油加醋地进行一番批判，那就会造成审计人员认为组织在针对人员的信息安全意识培训工作方面存在不足。

昆明亭长朗然科技有限公司创作了大量信息安全意识方面的教程资源，包括动画视频、电子课件和宣传图片。同时，我们也提供在线的信息安全意识学习平台，可让受众们快速地学习和接受通用的信息安全意识理念。欢迎有兴趣有客户或合作伙伴联系我们，在线体验我们的作品，并进行合作洽谈。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898