ISO27001適用性聲明SoA包含：
ISO27001適用性聲明SoA選擇的控制項以及理由，包括控制項是否已實施的狀態(tài)描述（例如：已完全實施，正在實施中，還未開始）。
ISO27001適用性聲明SoA刪減控制項的理由：選擇控制項的理由在一定程度上取決于控制項對降低信息安全風險方面的效果。參考信息安全風險評估結(jié)果和信息安全風險處理計劃，以及實施必要控制措施所期望的信息安全風險修正應(yīng)該是充分的。
ISO27001適用性聲明SoA刪減的原因可包括： 已確定該控制項不是實現(xiàn)所選信息安全風險處理選項所必需的；該控制項不適用,因為它不在ISMS的范圍內(nèi)(例如如果組織的所有系統(tǒng)開發(fā)都是內(nèi)部開發(fā)，則A.14.2.7外包開發(fā)可以不適用)；該控制項由自定義的控制項控制（例如如果已經(jīng)采用DLP系統(tǒng)管控移動介質(zhì)的使用，則A.8.3.1移動介質(zhì)的管理可以不適用，A.8.3.1的要求為編制移動介質(zhì)使用的規(guī)程文件）。
注：自定義的管控措施即不包含在ISO/IEC27001：2013附錄A里的控制措施
如果需要，可以將一個有用的適用性聲明SoA作為一個表生成，該表包含ISO/IEC27001:2013附錄A中所有114個控件，并加上ISO/IEC27001:2013附錄A中未提及的其他控制措施。表中的一列可以指示控制項是否實施風險處理選項所需要，或者是否可以排除。下一列可以包含選擇或排除控件的理由。表的最后一列可以指示控件的當前實施狀態(tài)。可以使用更多的列，例如用于ISO/IEC27001不要求但通常對后續(xù)審查有用的詳細信息；這些詳細信息可以是對如何實施控制的更詳細描述，也可以是對更詳細描述的交叉引用，以及與實施控制相關(guān)的文件化信息或政策。
所以可以對適用性聲明SoA的理解不應(yīng)停留在應(yīng)對ISO27001標準附錄的一個表，它其實是一個項目進度表，記錄每一項對組織有價值的信息安全控制項的實施進度。


供應(yīng)商管理和審核關(guān)鍵點“指南”！
企業(yè)申請高新技術(shù)企業(yè)的誤區(qū)、為什么有些企業(yè)不敢申報高新技術(shù)企業(yè)申報
到哪申報ISO質(zhì)量管理體系如何辦理，費用是多少
電熱鍋3C認證怎么辦理？費用多少？
SEDEX驗廠過程中審核文件明細
守合同重信用證書查詢官網(wǎng)
質(zhì)量與工具：防錯技術(shù)推行指南
查詢美國專利的網(wǎng)站