ISO27001信息安全认证范围与审核范围的区别在这里

1.认证范围是认证机构向被审查方的产品/服务/系统提供信用保证的范围，用来说明被审查方ISO27001信息安全认证涵盖的范围，一般表现在认证证书上。

证书范围包括认证机构、组织单位、活动和流程等。行为与流程是认证范围的核心。实况：组织活动及过程所处的领域和位置；组织单位：组织活动和过程设定的实施和管理组织结构；活动和过程：组织的特定业务活动和业务包括的所有过程。ISO27001信息安全认证范围通常以物理范围和商业范围来表示。

经营范围：软件开发、零配件采购、产品销售及售后服务(活动和过程)的信息安全管理。

2.审计范围按照GB/T19000-2008《质量管理体系基础和术语》界定为审计内容和范围，用以指导具体审计工作。审核范围通常包括对被审核组织的实际地点、组织单位、活动和流程的说明，以及审核涉及的时间。相对于认可范围，审计覆盖期较长，即审计时查询记录的开始时间。比如，对ISMS初始认证的审核覆盖期一般由iso27001正式运行至iso27001初始认证第二阶段审核的后一次审核结束；ISO27001信息安全认证监督审计的范围一般为上一次现场审计结束，直至上次会议结束为止。

3.特定审查范围不必完全符合认证的范围。首批认证第二阶段审核范围可大于认证范围。举例来说，第一次认证的第二阶段审核范围涵盖了一个企业，一个过程(产品售后服务)，或者一个地区定位。然而，如果ISO27001信息安全认证并未包含此内容，那么认证证书中的认证范围将不包括某个企业、某个过程或者某个地区。

监督性审核的审计范围一般不包括认证范围中的规定。比如，在监督审计过程中，只对组织内某些部门或业务进行审计。

对多个现场认证，无论初审还是监督评定，均可按一定原则进行抽样。专项审核范围只能涵盖部分认证范围，可能包括所有申请认证的场所。