信息安全管理要求ISO/IEC27001的前身是英國BS7799的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出，并于1995年5月進行了修訂。信息安全對于每個企業(yè)或組織都是必要的，因此信息安全管理體系認證具有普遍適用性，不受地區(qū)，行業(yè)類別和公司規(guī)模的限制。從認證公司的現(xiàn)狀來看，更多的行業(yè)涉及電信，保險，銀行，數(shù)據(jù)處理中心，IC制造和軟件外包等行業(yè)。今天我們就來了解一下ISO27001適用性聲明SoA包含內(nèi)容有哪些的相關(guān)內(nèi)容吧。

　　適用性聲明SoA包含：

ISO27001適用性聲明SoA選擇的控制項以及理由，包括控制項是否已實施的狀態(tài)描述(例如：已完全實施，正在實施中，還未開始)。

ISO27001適用性聲明SoA刪減控制項的理由：選擇控制項的理由在一定程度上取決于控制項對降低信息安全風(fēng)險方面的效果。參考信息安全風(fēng)險評估結(jié)果和信息安全風(fēng)險處理計劃，以及實施必要控制措施所期望的信息安全風(fēng)險修正應(yīng)該是充分的。

ISO27001適用性聲明SoA刪減的原因可包括： 已確定該控制項不是實現(xiàn)所選信息安全風(fēng)險處理選項所必需的;該控制項不適用,因為它不在ISMS的范圍內(nèi)(例如如果組織的所有系統(tǒng)開發(fā)都是內(nèi)部開發(fā)，則A.14.2.7外包開發(fā)可以不適用);該控制項由自定義的控制項控制(例如如果已經(jīng)采用DLP系統(tǒng)管控移動介質(zhì)的使用，則A.8.3.1移動介質(zhì)的管理可以不適用，A.8.3.1的要求為編制移動介質(zhì)使用的規(guī)程文件)。

注：自定義的管控措施即不包含在ISO/IEC27001：2013附錄A里的控制措施

如果需要，可以將一個有用的適用性聲明SoA作為一個表生成，該表包含ISO/IEC27001：2013附錄A中所有114個控件，并加上ISO/IEC27001：2013附錄A中未提及的其他控制措施。表中的一列可以指示控制項是否實施風(fēng)險處理選項所需要，或者是否可以排除。下一列可以包含選擇或排除控件的理由。表的最后一列可以指示控件的當(dāng)前實施狀態(tài)。可以使用更多的列，例如用于ISO/IEC27001不要求但通常對后續(xù)審查有用的詳細信息;這些詳細信息可以是對如何實施控制的更詳細描述，也可以是對更詳細描述的交叉引用，以及與實施控制相關(guān)的文件化信息或政策。

所以可以對適用性聲明SoA的理解不應(yīng)停留在應(yīng)對ISO27001標(biāo)準(zhǔn)附錄的一個表，它其實是一個項目進度表，記錄每一項對組織有價值的信息安全控制項的實施進度。

通過上述介紹，對于ISO27001適用性聲明SoA包含內(nèi)容有哪些的問題，相信大家都已經(jīng)清楚了，想了解更多關(guān)于ISO27001的信息，請繼續(xù)關(guān)注中培偉業(yè)。