淺析ISO27001附錄A與適用性聲明SoA的關(guān)系

發(fā)布時間：2020-10-20 作者：廣匯聯(lián)合來源：廣匯聯(lián)合

從SoA的推薦形式可以看出，ISO27001:2013的附錄A應理解為必須考慮的參考資料而不是必須執(zhí)行管理要求?；谶@樣的認知，ISO27002:2013中對附錄A的解釋才顯得合理。例如A.8.2.2信息的標記，說明有“信息及相關(guān)資產(chǎn)的標記有時有負面作用。分級的資產(chǎn)容易被識別，從而被內(nèi)部人員或外部攻擊者竊取。”，可見選取該控制項存在負面作用，應當依據(jù)具體的信息安全風險和相關(guān)的其它管理條件決定是否選取，而不是盲目的采納。

另一方面，這也對要求供應商獲取ISO27001認證的組織傳遞了更多的信息，即不應當僅僅要求供應商獲取ISO27001的認證證書，同時應當查閱供應商的SoA，從而可以確認供應商實施了哪些方面的信息安全控制，控制的程度如何，例如，對ISO27001:2013的附錄A.11.2.9清理桌面和屏幕策略，其考慮的風險是敏感信息被非授權(quán)人員看到，所以建議電腦的屏幕自動鎖屏，辦公桌面等不要放置敏感文件。針對電腦屏幕的自動鎖屏這項控制，有的組織采用管理要求實現(xiàn)，有的組織采用域策略強制執(zhí)行實現(xiàn)，顯然，不同的實現(xiàn)方式其實現(xiàn)結(jié)果的穩(wěn)定性也是不一樣的，通過管理要求實現(xiàn)難免出現(xiàn)有的人為了工作方便而不設置屏保。

適用性聲明是ISO27001信息安全管理體系的一項特色要求。借助適用性聲明，在獲證組織與相關(guān)方組織之間可以傳遞更豐富的信息。信息技術(shù)本就是日新月異、快速變化的領(lǐng)域，如何確保組織在變化的環(huán)境中，穩(wěn)定的管控信息的安全，核心還是依賴于及時的信息安全風險評估機制，如果只是關(guān)注教條的執(zhí)行標準中的附錄A的要求，最終只能造成管理資源的浪費，無法真正實現(xiàn)信息安全管理的目標。

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網(wǎng)絡搜索廣匯聯(lián)合，快人一步，成就管理者風范。

少妇的滋味在线_色综合一区二区_水蜜桃4美国伦理_中国一级黄_91九色网站,国产又黄又猛又粗又爽的小说网站,妇与子乱肉肉视频,日本大尺度激情做爰hd昼颜

淺析ISO27001附錄A與適用性聲明SoA的關(guān)系

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網(wǎng)絡搜索廣匯聯(lián)合，快人一步，成就管理者風范。

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網(wǎng)絡搜索廣匯聯(lián)合，快人一步，成就管理者風范。