ISO27001信息安全管理體系對組織環(huán)境的要求

Date08 4 月 2019

組織環(huán)境（context）
4.1 理解組織及其環(huán)境（context）
組織應(yīng)確定與其意圖相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)
部情況（issue）。
注：對這些情況的確定，參見 ISO31000：2009[5]，5.3 中建立外部和內(nèi)部環(huán)境的內(nèi)容。
4.2 理解相關(guān)方的需求和期望
組織應(yīng)確定：
a) 信息安全管理體系相關(guān)方；
b) 這些相關(guān)方的信息安全要求。
注：相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。
4.3 確定信息安全管理體系范圍
組織應(yīng)確定信息安全管理體系的邊界及其適用性以建立其范圍。
在確定范圍時，組織應(yīng)考慮：
a) 4.1 中提到的外部和內(nèi)部情況；
b) 4.2 中提到的要求；
c) 組織執(zhí)行活動之間以及與其他組織執(zhí)行活動之間的接口和依賴關(guān)系。
該范圍應(yīng)形成文件化信息并可用。
4.4 信息安全管理體系
組織應(yīng)按照本標(biāo)準(zhǔn)的要求，建立、實施、保持和持續(xù)改進信息安全管理體系。