“適用性聲明”是組織描述應(yīng)用于ISO27001信息安全管理體系（ISMS）的控制目標和控制措施。在ISO27001:2005、GB/T22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標準3.16條款指出：與組織信息安全管理體系相關(guān)并適用于組織信息安全管理體系（ISMS）的控制目標和控制措施的文件化的陳述?？刂颇繕撕涂刂拼胧┦腔陲L險評估和風險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同業(yè)務(wù)和組織對信息安全業(yè)務(wù)要求。

由此可見，重視組織信息安全管理體系ISMS策劃結(jié)果，是現(xiàn)場審核評價所選用適用性聲明是否合理的基礎(chǔ)，應(yīng)盡可能在不影響組織正常運作前提下，設(shè)定異常、緊急極限條件，善于運用“順向追蹤”和“逆向追溯”相結(jié)合的靈活多樣的審核方式，讓組織信息安全風險得以充分釋放；讓不易察覺或容易被忽視的風險在現(xiàn)場審核得以充分顯現(xiàn)。

1、需逐條確認組織“選用”與“不選用”適用性聲明的合理性

適用性聲明共有133條控制目標與控制措施。組織通常會采納其中的絕大部分，但對于A.10.9 “電子商務(wù)服務(wù)”這3條，許多組織都將其刪減。

一些組織在實施ISO27001信息安全管理體系時認為，若用Internet網(wǎng)等進行交易，才屬于電子商務(wù)服務(wù)，其實不然。筆者認為：只要交易活動與后臺物流及相關(guān)服務(wù)集成在一個IT系統(tǒng)中完成，就構(gòu)成電子商務(wù)服務(wù)。如某銀行通過“線下型”電話推銷等形式向客戶進行理財產(chǎn)品服務(wù)，并把服務(wù)予以外包。試想，作為銀行如何保證外包方在向客戶提供服務(wù)過程中’其所獲得信息是被銀行充分授權(quán)且不會產(chǎn)生非授權(quán)使用？外包方在提供服務(wù)過程中如何對客戶身份進行甄別？確保信息傳遞中不發(fā)生“張冠李戴"或由此帶來的信息泄露。很顯然，若組織存在上述活動，不選用“電子商務(wù)服務(wù)”控制目標與控制措施是不合理的。

隨著非網(wǎng)絡(luò)交易形式日益增多，如存在推銷活動的證券、保險、電信和委托房屋買賣等,雖可能不存在“在線交易”，但卻同樣可能造成個人隱私乃至組織商業(yè)利益被泄露、竊聽、冒充、算改或抵賴等，甚至它還有可能引起組織信息系統(tǒng)癱瘓，故不能刪減A.10.9.1“電子商務(wù)”與A.10.9.3“公共可用信息”等控制措施。

2、需對使用最普通、最頻繁的信息資產(chǎn)和使用過程中所產(chǎn)生衍生物的風險予以評估，制定、實施有效的控制措施

每天使用的手機，臺式、便攜式電腦，U盤，存儲設(shè)備和光盤等，已成為最普通、最頻繁的使用物品，并已成為開展工作不可或缺的信息交換工具。隨著信息技術(shù)曰新月異，這些產(chǎn)品的功能不斷增加、升級換代周期大為縮短，如手機具有信息存儲等功能之外，還可進行電子商務(wù)活動等。在現(xiàn)場審核時，要關(guān)注使用這些信息資產(chǎn)及由此產(chǎn)生如電磁波輻射以及商業(yè)間諜等衍生物風險，特別需高度關(guān)注組織對這些風險管理的有效性。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.1cjaei.cn/zs/202008/ccaa_5567.html