在ISO/IEC 27001:2005中描述没有ISO/IEC 27001:2013详细
65在ISO/IEC 27001:2005中描述没有ISO/IEC 27001:2013详细,当然最详细的描述肯定在ISO/IEC 27003中。但是ISO/IEC27003主要关注如何做,即解决how to do,ISO/IEC 27001主要关注做什么,即解决what to do。ISO/IEC 27001:2005 4.2.1 a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its loca - tion, assets and technology, and including details of and justification for any exclusions from the scope (see l.2),在GB/T 22080-2008 /ISO/IEC 27001: 2005中译为:根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当理由。这个说法确实更明确一些,至少告诉了我们确定范围和边界需要考虑的因素有业务、组织、位置、资产和技术等,但是这显然不是ISO/IEC 27001应该关心的问题,如何确定应该是ISO/IEC 27003的任务。
66在ISO/IEC 27001: 2013中要考虑的点都比较“虚”,a)参考4 1中的内部与外部要点,b)参考4.2中的要求以及c)组织完成或其他组成完成的活动之间的接口及依赖。通俗的讲就是需要参考组织到底什么情况,以及相关方有什么要求,活动之间有什么借口和依赖关系。这样的描述符合ISO/IEC 27001的“身份”,更重要的是不再限定到底考虑什么,而是转移为“自圆其说”。因为不论是a)组织情况还是b)相关方要求,都是组织集体确定的,而c)可以认为是一个技术性指导意见,搞清楚接口和依赖关系才能让边界清晰,这种指导在ISO/IEC 27003中比较多见。