某组织委托三方对其数据中心机房进行改造，因该改造项目内容只涉及基础设施，因此不在信息安全风险评估范围内，这在认证审核时是可接受的。（）

信息安全风险评估的覆盖范围：

（1）根据ISO 27001等标准：信息安全风险评估不仅包含信息系统和数字资产，还涵盖物理环境和基础设施（如电力、空调、消防等）。这些设施的稳定性直接影响信息系统的可用性、完整性和机密性。例如：电力系统改造可能引入断电风险，导致服务中断；空调系统异常可能引发设备过热，造成硬件损坏；消防系统改造可能影响火灾应急响应能力，威胁数据安全。

（2）认证审核的要求：在ISO 27001的A.11物理和环境安全控制项中，明确要求组织需评估并管理物理环境的风险。若改造项目未纳入风险评估，则可能违反以下原则：全面性：未覆盖所有可能影响信息安全的因素；预防性：未识别改造可能引入的新风险（如施工期间的物理访问漏洞）。例外情况的局限性：即使改造仅涉及“非关键”设施（如装修墙面），仍需评估其对安全的间接影响（如施工人员出入权限管理）。

题目中未明确排除关键设施，因此默认需纳入评估。综上所述：错误。数据中心机房的改造项目必须纳入信息安全风险评估范围，否则在认证审核中会被视为不符合标准要求（如ISO 27001）。未评估基础设施改造的风险可能导致审核不通过。