4 组织环境（context）

4.1 理解组织及其环境（context）

组织应确定与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部情况（issue）。

注：对这些情况的确定，参见ISO31000：2009[5]，5.3中建立外部和内部环境的内容。

4.2 理解相关方的需求和期望

组织应确定：

a) 信息安全管理体系相关方；

b) 这些相关方的信息安全要求。

注：相关方的要求可包括法律法规要求和合同义务。

4.3 确定信息安全管理体系范围

组织应确定信息安全管理体系的边界及其适用性以建立其范围。

在确定范围时，组织应考虑：

a) 4.1中提到的外部和内部情况；

b) 4.2中提到的要求；

c) 组织执行活动之间以及与其他组织执行活动之间的接口和依赖关系。

该范围应形成文件化信息并可用。

4.4 信息安全管理体系

组织应按照本标准的要求，建立、实施、保持和持续改进信息安全管理体系。