ISO27001適用性聲明SoA包含：

ISO27001適用性聲明SoA選擇的控制項以及理由，包括控制項是否已實施的狀態(tài)描述（例如：已完全實施，正在實施中，還未開始）。

ISO27001適用性聲明SoA刪減控制項的理由：選擇控制項的理由在一定程度上取決于控制項對降低信息安全風險方面的效果。參考信息安全風險評估結果和信息安全風險處理計劃，以及實施必要控制措施所期望的信息安全風險修正應該是充分的。

ISO27001適用性聲明SoA刪減的原因可包括： 已確定該控制項不是實現(xiàn)所選信息安全風險處理選項所必需的；該控制項不適用,因為它不在ISMS的范圍內(例如如果組織的所有系統(tǒng)開發(fā)都是內部開發(fā)，則A.14.2.7外包開發(fā)可以不適用)；該控制項由自定義的控制項控制（例如如果已經(jīng)采用DLP系統(tǒng)管控移動介質的使用，則A.8.3.1移動介質的管理可以不適用，A.8.3.1的要求為編制移動介質使用的規(guī)程文件）。

注：自定義的管控措施即不包含在ISO/IEC27001：2013附錄A里的控制措施

如果需要，可以將一個有用的適用性聲明SoA作為一個表生成，該表包含ISO/IEC27001:2013附錄A中所有114個控件，并加上ISO/IEC27001:2013附錄A中未提及的其他控制措施。表中的一列可以指示控制項是否實施風險處理選項所需要，或者是否可以排除。下一列可以包含選擇或排除控件的理由。表的最后一列可以指示控件的當前實施狀態(tài)?？梢允褂酶嗟牧校缬糜贗SO/IEC27001不要求但通常對后續(xù)審查有用的詳細信息；這些詳細信息可以是對如何實施控制的更詳細描述，也可以是對更詳細描述的交叉引用，以及與實施控制相關的文件化信息或政策。

所以可以對適用性聲明SoA的理解不應停留在應對ISO27001標準附錄的一個表，它其實是一個項目進度表，記錄每一項對組織有價值的信息安全控制項的實施進度。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5471.html