ISO27001信息安全管理体系组织环境
4.1 理解组织及其环境
组织应当确定与信息安全管理体系目的相关联及影响其实现预期结果能力的外部及内部环境。
注:确定这些问题参考 ISO31000:2009 中
5.3 条款的建立组织外部和内部环境;
4.2 理解相关方的需求和期望
组织应确定:
a) 信息安全管理体系的利益相关方;
b) 这些利益相关方的信息安全相关要求;
注:利益相关方的要求可能包括法律、法规要求和合同责任。
4.3 确定信息安全管理体系范围 组织应确定信息安全管理体系的边界和应用性,以建立其范围。
当确定此范围时,组织应考虑:
a) 4.1 所提及的外部和内部问题;
b) 4.2 所提及的要求;
c) 接口和组织执行的活动之间的依赖关系,以及其他组织执行的活动。范围应成为文件化信息。
4.4 信息安全管理体系
组织应按照本国际标准的要求建立、实施、维护和持续改进信息安全管理体系。