企业在办理 ISO 27001 时，确定申请范围可以从以下几个方面考虑：

一、基于组织架构

1. 部门范围

• 明确企业内部哪些部门将纳入申请范围。可以从核心业务部门开始考虑，如信息技术部门、财务部门、人力资源部门等，这些部门通常涉及大量敏感信息的处理和存储。

• 对于一些辅助性部门，如行政部门、后勤部门等，可根据其与信息安全的关联程度来决定是否纳入。例如，如果行政部门负责管理企业的文件档案，可能需要纳入申请范围。

2. 分支机构

• 如果企业有分支机构，如分公司、办事处等，需要考虑是否将其纳入申请范围。这取决于分支机构的业务独立性、信息系统的独立性以及与总部的信息交互程度。

• 如果分支机构的业务与总部紧密相关，信息系统也由总部统一管理，那么可以将其与总部一起纳入申请范围。如果分支机构具有较高的独立性，可以单独确定申请范围。

二、基于业务流程

1. 核心业务流程

• 分析企业的核心业务流程，确定哪些流程涉及敏感信息的处理和传输。例如，客户信息管理流程、产品研发流程、财务结算流程等可能需要纳入申请范围。

• 对于一些非核心业务流程，如果其对信息安全的影响较小，可以暂不纳入申请范围。但需要注意的是，随着业务的发展和变化，申请范围可能需要适时调整。

2. 外包业务流程

• 如果企业将部分业务流程外包给第三方服务提供商，需要考虑这些外包业务流程对信息安全的影响。如果外包业务涉及敏感信息的处理，企业应与服务提供商协商，确定是否将其纳入申请范围。

• 在确定申请范围时，还需要考虑企业对外包业务的管理和监督能力，确保外包业务的信息安全符合 ISO 27001 的要求。

三、基于信息系统

1. 主要信息系统

• 确定企业的主要信息系统，如企业资源规划系统（ERP）、客户关系管理系统（CRM）、办公自动化系统等。这些系统通常存储着大量的企业敏感信息，应纳入申请范围。

• 对于一些小型的、辅助性的信息系统，如内部通讯工具、文档管理系统等，可以根据其重要性和信息安全风险来决定是否纳入申请范围。

2. 网络架构

• 考虑企业的网络架构，包括内部网络、外部网络、无线网络等。如果企业的网络架构较为复杂，可能需要对不同的网络区域进行划分，并确定哪些区域纳入申请范围。

• 例如，企业的内部办公网络可能需要纳入申请范围，而员工的家庭网络或公共无线网络则通常不纳入申请范围。

四、其他因素

1. 法律法规要求

• 了解相关的法律法规对企业信息安全的要求，确定是否有特定的业务领域或信息类型需要纳入申请范围。例如，金融行业可能需要对客户的金融信息进行严格的保护，医疗行业可能需要对患者的医疗数据进行保密。

2. 客户要求

• 如果企业的客户对信息安全有特定的要求，企业应考虑将满足客户要求的业务领域和信息系统纳入申请范围。这有助于提高客户满意度，增强企业的市场竞争力。

3. 风险评估结果

• 进行信息安全风险评估，根据评估结果确定申请范围。风险评估可以帮助企业识别出信息安全的高风险领域，这些领域通常需要优先纳入申请范围。

• 风险评估应定期进行，以确保申请范围能够及时反映企业信息安全状况的变化。

在确定申请范围时，企业应组织内部相关部门进行充分的讨论和协商，确保申请范围既能够满足企业的信息安全管理需求，又具有实际的可操作性。同时，企业还应与认证机构进行沟通，确保申请范围符合 ISO 27001 的认证要求。