在ISO/IEC 27001：2005中描述没有ISO/IEC 27001：2013详细

65在ISO/IEC 27001：2005中描述没有ISO/IEC 27001：2013详细，当然最详细的描述肯定在ISO/IEC 27003中。但是ISO/IEC27003主要关注如何做，即解决how to do，ISO/IEC 27001主要关注做什么，即解决what to do。ISO/IEC 27001：2005 4.2.1 a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its loca - tion, assets and technology, and including details of and justification for any exclusions from the scope (see l.2)，在GB/T 22080-2008 /ISO/IEC 27001: 2005中译为：根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当理由。这个说法确实更明确一些，至少告诉了我们确定范围和边界需要考虑的因素有业务、组织、位置、资产和技术等，但是这显然不是ISO/IEC 27001应该关心的问题，如何确定应该是ISO/IEC 27003的任务。

66在ISO/IEC 27001: 2013中要考虑的点都比较“虚”，a）参考4 1中的内部与外部要点,b）参考4.2中的要求以及c）组织完成或其他组成完成的活动之间的接口及依赖。通俗的讲就是需要参考组织到底什么情况，以及相关方有什么要求，活动之间有什么借口和依赖关系。这样的描述符合ISO/IEC 27001的“身份”，更重要的是不再限定到底考虑什么，而是转移为“自圆其说”。因为不论是a）组织情况还是b）相关方要求，都是组织集体确定的，而c）可以认为是一个技术性指导意见，搞清楚接口和依赖关系才能让边界清晰，这种指导在ISO/IEC 27003中比较多见。