65在ISO/IEC 27001：2005中描述沒有ISO/IEC 27001：2013詳細，當然最詳細的描述肯定在ISO/IEC 27003中。但是ISO/IEC27003主要關注如何做，即解決how to do，ISO/IEC 27001主要關注做什么，即解決what to do。ISO/IEC 27001：2005 4.2.1 a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its loca - tion, assets and technology, and including details of and justification for any exclusions from the scope (see l.2)，在GB/T 22080-2008 /ISO/IEC 27001: 2005中譯為：根據業務、組織、位置、資產和技術等方面的特性，確定ISMS的范圍和邊界，包括對范圍任何刪減的詳細說明和正當理由。這個說法確實更明確一些，至少告訴了我們確定范圍和邊界需要考慮的因素有業務、組織、位置、資產和技術等，但是這顯然不是ISO/IEC 27001應該關心的問題，如何確定應該是ISO/IEC 27003的任務。

66在ISO/IEC 27001: 2013中要考慮的點都比較“虛”，a）參考4 1中的內部與外部要點,b）參考4.2中的要求以及c）組織完成或其他組成完成的活動之間的接口及依賴。通俗的講就是需要參考組織到底什么情況，以及相關方有什么要求，活動之間有什么借口和依賴關系。這樣的描述符合ISO/IEC 27001的“身份”，更重要的是不再限定到底考慮什么，而是轉移為“自圓其說”。因為不論是a）組織情況還是b）相關方要求，都是組織集體確定的，而c）可以認為是一個技術性指導意見，搞清楚接口和依賴關系才能讓邊界清晰，這種指導在ISO/IEC 27003中比較多見。