颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    ISO27001体系的适用性声明SoA编写

    来源: 网络
    日期: 2020-07-16
    浏览次数: 127


    ISO27001适用性声明SoA包含:

         

    ISO27001适用性声明SoA选择的控制项以及理由,包括控制项是否已实施的状态描述(例如:已完全实施,正在实施中,还未开始)。
         

    ISO27001适用性声明SoA删减控制项的理由:选择控制项的理由在一定程度上取决于控制项对降低信息安全风险方面的效果。参考信息安全风险评估结果和信息安全风险处理计划,以及实施必要控制措施所期望的信息安全风险修正应该是充分的。
        

    ISO27001适用性声明SoA删减的原因可包括: 已确定该控制项不是实现所选信息安全风险处理选项所必需的;该控制项不适用,因为它不在ISMS的范围内(例如如果组织的所有系统开发都是内部开发,则A.14.2.7外包开发可以不适用);该控制项由自定义的控制项控制(例如如果已经采用DLP系统管控移动介质的使用,则A.8.3.1移动介质的管理可以不适用,A.8.3.1的要求为编制移动介质使用的规程文件)。
        

    注:自定义的管控措施即不包含在ISO/IEC27001:2013附录A里的控制措施

        

    如果需要,可以将一个有用的适用性声明SoA作为一个表生成,该表包含ISO/IEC27001:2013附录A中所有114个控件,并加上ISO/IEC27001:2013附录A中未提及的其他控制措施。表中的一列可以指示控制项是否实施风险处理选项所需要,或者是否可以排除。下一列可以包含选择或排除控件的理由。表的最后一列可以指示控件的当前实施状态。可以使用更多的列,

       

    例如用于ISO/IEC27001不要求但通常对后续审查有用的详细信息;这些详细信息可以是对如何实施控制的更详细描述,也可以是对更详细描述的交叉引用,以及与实施控制相关的文件化信息或政策。

       

    所以,可以对适用性声明SoA的理解不应停留在应对ISO27001标准 附录的一个表,它其实是一个项目进度表,记录每一项对组织有价值的信息安全控制项的实施进度。


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开