65在ISO/IEC 27001：2005中描述沒有ISO/IEC 27001：2013詳細(xì)，當(dāng)然最詳細(xì)的描述肯定在ISO/IEC 27003中。但是ISO/IEC27003主要關(guān)注如何做，即解決how to do，ISO/IEC 27001主要關(guān)注做什么，即解決what to do。ISO/IEC 27001：2005 4.2.1 a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its loca - tion, assets and technology, and including details of and justification for any exclusions from the scope (see l.2)，在GB/T 22080-2008 /ISO/IEC 27001: 2005中譯為：根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對(duì)范圍任何刪減的詳細(xì)說明和正當(dāng)理由。這個(gè)說法確實(shí)更明確一些，至少告訴了我們確定范圍和邊界需要考慮的因素有業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等，但是這顯然不是ISO/IEC 27001應(yīng)該關(guān)心的問題，如何確定應(yīng)該是ISO/IEC 27003的任務(wù)。

66在ISO/IEC 27001: 2013中要考慮的點(diǎn)都比較“虛”，a）參考4 1中的內(nèi)部與外部要點(diǎn),b）參考4.2中的要求以及c）組織完成或其他組成完成的活動(dòng)之間的接口及依賴。通俗的講就是需要參考組織到底什么情況，以及相關(guān)方有什么要求，活動(dòng)之間有什么借口和依賴關(guān)系。這樣的描述符合ISO/IEC 27001的“身份”，更重要的是不再限定到底考慮什么，而是轉(zhuǎn)移為“自圓其說”。因?yàn)椴徽撌莂）組織情況還是b）相關(guān)方要求，都是組織集體確定的，而c）可以認(rèn)為是一個(gè)技術(shù)性指導(dǎo)意見，搞清楚接口和依賴關(guān)系才能讓邊界清晰，這種指導(dǎo)在ISO/IEC 27003中比較多見。