在ISO27001認(rèn)證定義適用范圍時(shí)，應(yīng)考慮組織的適用環(huán)境、適用、現(xiàn)有IT技術(shù)、現(xiàn)有信息資產(chǎn)等。

　　信息安全管理體系的范圍就是需要進(jìn)行管理的安全領(lǐng)域。組織需要根據(jù)自己的實(shí)際情況，可以在整個(gè)組織范圍內(nèi)、也可以在個(gè)別部門(mén)或領(lǐng)域內(nèi)實(shí)施。在本階段的工作，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，這樣做易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼?/p>

　　ISO27001認(rèn)證流程有哪些?

　　1、準(zhǔn)備階段：組建信息安全管理團(tuán)隊(duì)，制定相關(guān)政策件，明確相關(guān)責(zé)任和工作流程。

　　2、診斷階段：了解企業(yè)內(nèi)部對(duì)信息安全的各項(xiàng)要求及當(dāng)前存在的問(wèn)題。

　　3、險(xiǎn)估體系建立：根據(jù)診斷數(shù)據(jù)進(jìn)行險(xiǎn)分析和險(xiǎn)估，并根據(jù)險(xiǎn)水平制定險(xiǎn)應(yīng)對(duì)方式。

　　4、信息安全標(biāo)準(zhǔn)體系建立：根據(jù)上一步得到的數(shù)據(jù)，將企業(yè)需要遵循的各條信息安全標(biāo)準(zhǔn)及要求列成一套完整的體系，以便日后使用。

　　5、制定相應(yīng)測(cè)試方法:采用合適的測(cè)試手法，如內(nèi)部測(cè)試及外部測(cè)試，來(lái)對(duì)所有可能存在險(xiǎn)的情況進(jìn)行考察，并正式落實(shí)進(jìn)行測(cè)試。

　　6、施行考核:具體包含能力考核、物資考核及件考核三大部分。

　　7、估:根據(jù)上一步中得出的數(shù)據(jù)，進(jìn)行總體的信息安全水平方法對(duì)當(dāng)前情況進(jìn)行總體性的較量。

　　8、驗(yàn)證:對(duì)采用了ISO27001規(guī)范之后有無(wú)效力和適應(yīng)性進(jìn)行外部真實(shí)性考核。