信息安全管理认证要求ISO/IEC27001的前身是英国BS7799的标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月进行了修订。信息安全对于每个企业或组织都是必要的,因此信息安全管理体系认证具有普遍适用性,不受地区,行业类别和公司规模的限制。从认证公司的现状来看,更多的行业涉及电信,保险,银行,数据处理中心,IC制造和软件外包等行业。今天我们就来了解一下ISO27001适用性声明SoA包含内容有哪些的相关内容吧。
ISO27001适用性声明SoA删减控制项的理由:选择控制项的理由在一定程度上取决于控制项对降低信息安全风险方面的效果。参考信息安全风险评估结果和信息安全风险处理计划,以及实施必要控制措施所期望的信息安全风险修正应该是充分的。
ISO27001适用性声明SoA删减的原因可包括: 已确定该控制项不是实现所选信息安全风险处理选项所必需的;该控制项不适用,因为它不在ISMS的范围内(例如如果组织的所有系统开发都是内部开发,则A.14.2.7外包开发可以不适用);该控制项由自定义的控制项控制(例如如果已经采用DLP系统管控移动介质的使用,则A.8.3.1移动介质的管理可以不适用,A.8.3.1的要求为编制移动介质使用的规程文件)。
自定义的管控措施即不包含在ISO/IEC27001:2013附录A里的控制措施
适用性声明SoA包含:
ISO27001适用性声明SoA选择的控制项以及理由,包括控制项是否已实施的状态描述(例如:已完全实施,正在实施中,还未开始)。ISO27001适用性声明SoA删减控制项的理由:选择控制项的理由在一定程度上取决于控制项对降低信息安全风险方面的效果。参考信息安全风险评估结果和信息安全风险处理计划,以及实施必要控制措施所期望的信息安全风险修正应该是充分的。
ISO27001适用性声明SoA删减的原因可包括: 已确定该控制项不是实现所选信息安全风险处理选项所必需的;该控制项不适用,因为它不在ISMS的范围内(例如如果组织的所有系统开发都是内部开发,则A.14.2.7外包开发可以不适用);该控制项由自定义的控制项控制(例如如果已经采用DLP系统管控移动介质的使用,则A.8.3.1移动介质的管理可以不适用,A.8.3.1的要求为编制移动介质使用的规程文件)。
自定义的管控措施即不包含在ISO/IEC27001:2013附录A里的控制措施
可以将一个有用的适用性声明SoA作为一个表生成,该表包含ISO/IEC27001:2013附录A中所有114个控件,并加上ISO/IEC27001:2013附录A中未提及的其他控制措施。表中的一列可以指示控制项是否实施风险处理选项所需要,或者是否可以排除。下一列可以包含选择或排除控件的理由。表的最后一列可以指示控件的当前实施状态。可以使用更多的列,例如用于ISO/IEC27001不要求但通常对后续审查有用的详细信息;这些详细信息可以是对如何实施控制的更详细描述,也可以是对更详细描述的交叉引用,以及与实施控制相关的文件化信息或政策。
所以可以对适用性声明SoA的理解不应停留在应对ISO27001标准附录的一个表,它其实是一个项目进度表,记录每一项对组织有价值的信息安全控制项的实施进度。
下一篇:企业建立ISO27001认证的意义及战略规划用途是什么
服务项目
联系我们
上海总部地址: 上海市莘松路380号智慧园商务大楼2楼211室
市场电话: 021-64196861 64191739 13370039986
联系人: 余小姐 李小姐
培训电话: 021-64196861 64191739 13817262650
联系人: 董小姐 陈小姐