在ISO27001認證定義適用范圍時，應考慮組織的適用環境、適用、現有IT技術、現有信息資產等。

　　信息安全管理體系的范圍就是需要進行管理的安全領域。組織需要根據自己的實際情況，可以在整個組織范圍內、也可以在個別部門或領域內實施。在本階段的工作，應將組織劃分成不同的信息安全控制領域，這樣做易于組織對有不同需求的領域進行適當的信息安全管理。

　　ISO27001認證流程有哪些?

　　1、準備階段：組建信息安全管理團隊，制定相關政策件，明確相關責任和工作流程。

　　2、診斷階段：了解企業內部對信息安全的各項要求及當前存在的問題。

　　3、險估體系建立：根據診斷數據進行險分析和險估，并根據險水平制定險應對方式。

　　4、信息安全標準體系建立：根據上一步得到的數據，將企業需要遵循的各條信息安全標準及要求列成一套完整的體系，以便日后使用。

　　5、制定相應測試方法:采用合適的測試手法，如內部測試及外部測試，來對所有可能存在險的情況進行考察，并正式落實進行測試。

　　6、施行考核:具體包含能力考核、物資考核及件考核三大部分。

　　7、估:根據上一步中得出的數據，進行總體的信息安全水平方法對當前情況進行總體性的較量。

　　8、驗證:對采用了ISO27001規范之后有無效力和適應性進行外部真實性考核。