從SoA的推薦形式可以看出，ISO27001:2013的附錄A應(yīng)理解為必須考慮的參考資料而不是必須執(zhí)行管理要求。基于這樣的認(rèn)知，ISO27002:2013中對(duì)附錄A的解釋才顯得合理。例如A.8.2.2信息的標(biāo)記，說(shuō)明有“信息及相關(guān)資產(chǎn)的標(biāo)記有時(shí)有負(fù)面作用。分級(jí)的資產(chǎn)容易被識(shí)別，從而被內(nèi)部人員或外部攻擊者竊取。”，可見(jiàn)選取該控制項(xiàng)存在負(fù)面作用，應(yīng)當(dāng)依據(jù)具體的信息安全風(fēng)險(xiǎn)和相關(guān)的其它管理?xiàng)l件決定是否選取，而不是盲目的采納。
另一方面，這也對(duì)要求供應(yīng)商獲取ISO27001認(rèn)證的組織傳遞了更多的信息，即不應(yīng)當(dāng)僅僅要求供應(yīng)商獲取ISO27001的認(rèn)證證書(shū)，同時(shí)應(yīng)當(dāng)查閱供應(yīng)商的SoA，從而可以確認(rèn)供應(yīng)商實(shí)施了哪些方面的信息安全控制，控制的程度如何，例如，對(duì)ISO27001:2013的附錄A.11.2.9清理桌面和屏幕策略，其考慮的風(fēng)險(xiǎn)是敏感信息被非授權(quán)人員看到，所以建議電腦的屏幕自動(dòng)鎖屏，辦公桌面等不要放置敏感文件。針對(duì)電腦屏幕的自動(dòng)鎖屏這項(xiàng)控制，有的組織采用管理要求實(shí)現(xiàn)，有的組織采用域策略強(qiáng)制執(zhí)行實(shí)現(xiàn)，顯然，不同的實(shí)現(xiàn)方式其實(shí)現(xiàn)結(jié)果的穩(wěn)定性也是不一樣的，通過(guò)管理要求實(shí)現(xiàn)難免出現(xiàn)有的人為了工作方便而不設(shè)置屏保。
適用性聲明是ISO27001信息安全管理體系的一項(xiàng)特色要求。借助適用性聲明，在獲證組織與相關(guān)方組織之間可以傳遞更豐富的信息。信息技術(shù)本就是日新月異、快速變化的領(lǐng)域，如何確保組織在變化的環(huán)境中，穩(wěn)定的管控信息的安全，核心還是依賴(lài)于及時(shí)的信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，如果只是關(guān)注教條的執(zhí)行標(biāo)準(zhǔn)中的附錄A的要求，最終只能造成管理資源的浪費(fèi)，無(wú)法真正實(shí)現(xiàn)信息安全管理的目標(biāo)。


ISO22000體系內(nèi)部審核有哪些方式
如何進(jìn)行高新技術(shù)企業(yè)季報(bào)年報(bào)的填報(bào)
圖片侵權(quán)賠償金額如何確定？
ISO9001認(rèn)證:設(shè)置質(zhì)量控制點(diǎn)的注意事項(xiàng)(上)
國(guó)家高新技術(shù)企業(yè)，科創(chuàng)板上市會(huì)更容易嗎？
企業(yè)實(shí)施ISO14001環(huán)境管理體系產(chǎn)品和服務(wù)對(duì)象
專(zhuān)利怎么轉(zhuǎn)讓?zhuān)瑢?zhuān)利轉(zhuǎn)讓條件和注意事項(xiàng)說(shuō)明
河北認(rèn)證公司常規(guī)3體系認(rèn)證，需要具備哪些基本條件和準(zhǔn)備資料