范围公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。
下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件,其最新版本(包括任何修改）适用于本标准。
ISO/IEC 27000，信息技术—-安全技术-—信息安全管理体系—-概述和词汇.
ISO/IEC 27000中的术语和定义适用于本文件.
公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题，需考虑：
明确外部状况：
社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地的；
影响组织目标的主要动力和趋势；
与外部利益相关方的关系,外部利益相关方的观点和价值观。
明确内部状况：
治理、组织结构、作用和责任；
方针、目标，为实现方针和目标制定的战略；
基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）；
与内部利益相关方 ...