由 猿小六 确定范围后,确定适用于您计划使用 ISMS 覆盖的领域的任何法律法规或者监管标准。这些法律法规或者监管标准可能来自您的组织所在的行业,或者国家、省、市,或您产品所销售市场所在地的政府机构,或者其他国际标准机构的要求。
输入
可能适用于您的组织的最新的法规或立法标准。
您可能会发现,从了解标准的律师或专家那里得到输入和审查是有帮助的。
输出
ISMS范围内的附加声明。如果您的ISMS将包含两到三个以上的法律法规或者监管标准 ,您也可以在安全手册中创建一个单独的文件或附录,列出所有适用的法律法规或者监管标准的细节。
案例
下面的斜体示例显示了在确定适用法律法规或者监管标准后添加到范围声明中的文本。
范围和目的
公司致力于保护自己和客户的信息。为了实现这一目标,公司已经按照 ISO/IEC 27001:2013、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》的要求和规定实施了信息安全管理体系。
公司的 ISMS 适用于以下业务领域:
- 财务部门
- 用于后端业务的内部IT系统和网络(如电子邮件、工时表、合同开发和存储,以及报告编写)
(注:用于开发和存储公司软件的IT系统和网络是软件开发ISMS的一部分。更多信息请参考软件开发安全手册。)