從SoA的推薦形式可以看出，ISO27001:2013的附錄A應(yīng)理解為必須考慮的參考資料而不是必須執(zhí)行管理要求?；谶@樣的認(rèn)知，ISO27002:2013中對(duì)附錄A的解釋才顯得合理。例如A.8.2.2信息的標(biāo)記，說明有“信息及相關(guān)資產(chǎn)的標(biāo)記有時(shí)有負(fù)面作用。分級(jí)的資產(chǎn)容易被識(shí)別，從而被內(nèi)部人員或外部攻擊者竊取。”，可見選取該控制項(xiàng)存在負(fù)面作用，應(yīng)當(dāng)依據(jù)具體的信息安全風(fēng)險(xiǎn)和相關(guān)的其它管理?xiàng)l件決定是否選取，而不是盲目的采納。

另一方面，這也對(duì)要求供應(yīng)商獲取ISO27001認(rèn)證的組織傳遞了更多的信息，即不應(yīng)當(dāng)僅僅要求供應(yīng)商獲取ISO27001的認(rèn)證證書，同時(shí)應(yīng)當(dāng)查閱供應(yīng)商的SoA，從而可以確認(rèn)供應(yīng)商實(shí)施了哪些方面的信息安全控制，控制的程度如何，例如，對(duì)ISO27001:2013的附錄A.11.2.9清理桌面和屏幕策略，其考慮的風(fēng)險(xiǎn)是敏感信息被非授權(quán)人員看到，所以建議電腦的屏幕自動(dòng)鎖屏，辦公桌面等不要放置敏感文件。針對(duì)電腦屏幕的自動(dòng)鎖屏這項(xiàng)控制，有的組織采用管理要求實(shí)現(xiàn)，有的組織采用域策略強(qiáng)制執(zhí)行實(shí)現(xiàn)，顯然，不同的實(shí)現(xiàn)方式其實(shí)現(xiàn)結(jié)果的穩(wěn)定性也是不一樣的，通過管理要求實(shí)現(xiàn)難免出現(xiàn)有的人為了工作方便而不設(shè)置屏保。

適用性聲明是ISO27001信息安全管理體系的一項(xiàng)特色要求。借助適用性聲明，在獲證組織與相關(guān)方組織之間可以傳遞更豐富的信息。信息技術(shù)本就是日新月異、快速變化的領(lǐng)域，如何確保組織在變化的環(huán)境中，穩(wěn)定的管控信息的安全，核心還是依賴于及時(shí)的信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，如果只是關(guān)注教條的執(zhí)行標(biāo)準(zhǔn)中的附錄A的要求，最終只能造成管理資源的浪費(fèi)，無法真正實(shí)現(xiàn)信息安全管理的目標(biāo)。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5518.html