“適用性聲明”是組織描述應(yīng)用于ISO27001信息安全管理體系（ISMS）的控制目標(biāo)和控制措施。在ISO27001:2005、GB/T22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》標(biāo)準(zhǔn)3.16條款指出：與組織信息安全管理體系相關(guān)并適用于組織信息安全管理體系（ISMS）的控制目標(biāo)和控制措施的文件化的陳述?？刂颇繕?biāo)和控制措施是基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同業(yè)務(wù)和組織對(duì)信息安全業(yè)務(wù)要求。

由此可見，重視組織信息安全管理體系ISMS策劃結(jié)果，是現(xiàn)場(chǎng)審核評(píng)價(jià)所選用適用性聲明是否合理的基礎(chǔ)，應(yīng)盡可能在不影響組織正常運(yùn)作前提下，設(shè)定異常、緊急極限條件，善于運(yùn)用“順向追蹤”和“逆向追溯”相結(jié)合的靈活多樣的審核方式，讓組織信息安全風(fēng)險(xiǎn)得以充分釋放；讓不易察覺或容易被忽視的風(fēng)險(xiǎn)在現(xiàn)場(chǎng)審核得以充分顯現(xiàn)。

1、需逐條確認(rèn)組織“選用”與“不選用”適用性聲明的合理性

適用性聲明共有133條控制目標(biāo)與控制措施。組織通常會(huì)采納其中的絕大部分，但對(duì)于A.10.9 “電子商務(wù)服務(wù)”這3條，許多組織都將其刪減。

一些組織在實(shí)施ISO27001信息安全管理體系時(shí)認(rèn)為，若用Internet網(wǎng)等進(jìn)行交易，才屬于電子商務(wù)服務(wù)，其實(shí)不然。筆者認(rèn)為：只要交易活動(dòng)與后臺(tái)物流及相關(guān)服務(wù)集成在一個(gè)IT系統(tǒng)中完成，就構(gòu)成電子商務(wù)服務(wù)。如某銀行通過“線下型”電話推銷等形式向客戶進(jìn)行理財(cái)產(chǎn)品服務(wù)，并把服務(wù)予以外包。試想，作為銀行如何保證外包方在向客戶提供服務(wù)過程中’其所獲得信息是被銀行充分授權(quán)且不會(huì)產(chǎn)生非授權(quán)使用？外包方在提供服務(wù)過程中如何對(duì)客戶身份進(jìn)行甄別？確保信息傳遞中不發(fā)生“張冠李戴"或由此帶來的信息泄露。很顯然，若組織存在上述活動(dòng)，不選用“電子商務(wù)服務(wù)”控制目標(biāo)與控制措施是不合理的。

隨著非網(wǎng)絡(luò)交易形式日益增多，如存在推銷活動(dòng)的證券、保險(xiǎn)、電信和委托房屋買賣等,雖可能不存在“在線交易”，但卻同樣可能造成個(gè)人隱私乃至組織商業(yè)利益被泄露、竊聽、冒充、算改或抵賴等，甚至它還有可能引起組織信息系統(tǒng)癱瘓，故不能刪減A.10.9.1“電子商務(wù)”與A.10.9.3“公共可用信息”等控制措施。

2、需對(duì)使用最普通、最頻繁的信息資產(chǎn)和使用過程中所產(chǎn)生衍生物的風(fēng)險(xiǎn)予以評(píng)估，制定、實(shí)施有效的控制措施

每天使用的手機(jī)，臺(tái)式、便攜式電腦，U盤，存儲(chǔ)設(shè)備和光盤等，已成為最普通、最頻繁的使用物品，并已成為開展工作不可或缺的信息交換工具。隨著信息技術(shù)曰新月異，這些產(chǎn)品的功能不斷增加、升級(jí)換代周期大為縮短，如手機(jī)具有信息存儲(chǔ)等功能之外，還可進(jìn)行電子商務(wù)活動(dòng)等。在現(xiàn)場(chǎng)審核時(shí)，要關(guān)注使用這些信息資產(chǎn)及由此產(chǎn)生如電磁波輻射以及商業(yè)間諜等衍生物風(fēng)險(xiǎn)，特別需高度關(guān)注組織對(duì)這些風(fēng)險(xiǎn)管理的有效性。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5567.html