適用性聲明是組織描述應(yīng)用于ISO27001信息安全管理系統(tǒng)(ISMS)的控制目標(biāo)和控制措施?！缎畔⒓夹g(shù)安全技術(shù)信息安全管理系統(tǒng)要求》第3.16條指出，與組織信息安全管理系統(tǒng)相關(guān)并適用于組織信息安全管理系統(tǒng)(ISMS)控制目標(biāo)和控制措施的文件化陳述。控制目標(biāo)和控制措施是基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論。法律法規(guī)的要求。合同業(yè)務(wù)和組織對信息安全業(yè)務(wù)的要求。

由此可見，重視組織信息安全管理體系ISMS的規(guī)劃結(jié)果，是現(xiàn)場審核評價選擇適用性聲明是否合理的基礎(chǔ)。在不影響組織正常運(yùn)行的前提下，應(yīng)盡可能設(shè)置異常情況。在緊急極限條件下，善于運(yùn)用順向跟蹤和逆向追溯相結(jié)合的靈活多樣的審計方法，充分釋放組織信息安全風(fēng)險；現(xiàn)場審核充分顯示不易察覺或忽視的風(fēng)險。

1.組織選擇和不選擇適用性聲明的合理性應(yīng)逐一確認(rèn)。
適用性聲明共有133個控制目標(biāo)和措施。大多數(shù)組織通常采用，但許多組織刪除了A.10.9電子商務(wù)服務(wù)。

在實(shí)施ISO27001信息安全管理系統(tǒng)時，一些組織認(rèn)為，如果使用ISO27001信息安全管理系統(tǒng)進(jìn)行交易，則屬于電子商務(wù)服務(wù)，但事實(shí)并非如此。作者認(rèn)為，只要交易活動與后臺物流及相關(guān)服務(wù)集成在IT系統(tǒng)中，就構(gòu)成電子商務(wù)服務(wù)。例如，銀行通過“線下”電話營銷等形式為客戶提供金融產(chǎn)品服務(wù)，并外包服務(wù)。想象一下，作為一家銀行，如何確保外包商在向客戶提供服務(wù)的過程中獲得的信息被銀行完全授權(quán)，而不產(chǎn)生非授權(quán)使用？外包商在提供服務(wù)時如何識別客戶身份？確保信息傳輸中沒有“張冠李戴”或由此產(chǎn)生的信息泄露。顯然，如果組織有上述活動，不選擇“電子商務(wù)服務(wù)”的控制目標(biāo)和控制措施是不合理的。

隨著非網(wǎng)絡(luò)交易形式的不斷增加，如證券、保險、電信、委托房屋銷售等，雖然可能沒有在線交易，但也可能導(dǎo)致個人隱私甚至組織商業(yè)利益泄露。竊聽。假裝。計算改變或依賴，甚至可能導(dǎo)致組織信息系統(tǒng)癱瘓，因此不能刪除A.10.9.1電子商務(wù)和A.10.9.3公共可用信息等控制措施。

2.評估使用過程中使用最常見、最頻繁的信息資產(chǎn)和衍生物的風(fēng)險，制定并實(shí)施有效的控制措施。