ISO27001适用性声明SoA包含:
ISO27001适用性声明SoA选择的控制项以及理由,包括控制项是否已实施的状态描述(例如:已完全实施,正在实施中,还未开始)。
ISO27001适用性声明SoA删减控制项的理由:选择控制项的理由在一定程度上取决于控制项对降低信息安全风险方面的效果。参考信息安全风险评估结果和信息安全风险处理计划,以及实施必要控制措施所期望的信息安全风险修正应该是充分的。
ISO27001适用性声明SoA删减的原因可包括: 已确定该控制项不是实现所选信息安全风险处理选项所必需的;该控制项不适用,因为它不在ISMS的范围内(例如如果组织的所有系统开发都是内部开发,则A.14.2.7外包开发可以不适用);该控制项由自定义的控制项控制(例如如果已经采用DLP系统管控移动介质的使用,则A.8.3.1移动介质的管理可以不适用,A.8.3.1的要求为编制移动介质使用的规程文件)。
注:自定义的管控措施即不包含在ISO/IEC27001:2013附录A里的控制措施
如果需要,可以将一个有用的适用性声明SoA作为一个表生成,该表包含ISO/IEC27001:2013附录A中所有114个控件,并加上ISO/IEC27001:2013附录A中未提及的其他控制措施。表中的一列可以指示控制项是否实施风险处理选项所需要,或者是否可以排除。下一列可以包含选择或排除控件的理由。表的最后一列可以指示控件的当前实施状态。可以使用更多的列,
例如用于ISO/IEC27001不要求但通常对后续审查有用的详细信息;这些详细信息可以是对如何实施控制的更详细描述,也可以是对更详细描述的交叉引用,以及与实施控制相关的文件化信息或政策。
所以,可以对适用性声明SoA的理解不应停留在应对ISO27001标准 附录的一个表,它其实是一个项目进度表,记录每一项对组织有价值的信息安全控制项的实施进度。