3.1.4 范围和边界

范围是与组织相关的引发信息安全风险的各种因素。边界是与组织信息安全相关的物理或逻辑上的管理界限。组织应明确信息安全风险管理的范围，以确保在风险管理中考虑所有相关的组织战略、业务和资产。此外，需要识别边界以解决通过这些边界可能产生的风险。例如常见的风险管理范围可以是IT应用程序、IT基础设施、业务流程或组织确定的部分；常见的边界可以是组织的逻辑边界、管理权限边界、内外网的连接点或物理环境边界等。

另外，由于风险管理过程可能适用于不同的层面，例如战略、运营、计划、项目或活动等，因此所考虑的范围和边界也会不同。 j4c1LiLmx9jDPeAV20yWBqvNFOVQZUqjpE1aKKVQaev2SsZOztI/JB4c43CQ2kJ0