適用性聲明是組織描述應用于ISO27001信息安全管理系統(tǒng)(ISMS)的控制目標和控制措施。《信息技術安全技術信息安全管理系統(tǒng)要求》第3.16條指出，與組織信息安全管理系統(tǒng)相關并適用于組織信息安全管理系統(tǒng)(ISMS)控制目標和控制措施的文件化陳述。控制目標和控制措施是基于風險評估和風險處理過程的結果和結論。法律法規(guī)的要求。合同業(yè)務和組織對信息安全業(yè)務的要求。

由此可見，重視組織信息安全管理體系ISMS的規(guī)劃結果，是現(xiàn)場審核評價選擇適用性聲明是否合理的基礎。在不影響組織正常運行的前提下，應盡可能設置異常情況。在緊急極限條件下，善于運用順向跟蹤和逆向追溯相結合的靈活多樣的審計方法，充分釋放組織信息安全風險；現(xiàn)場審核充分顯示不易察覺或忽視的風險。

1.組織選擇和不選擇適用性聲明的合理性應逐一確認。
適用性聲明共有133個控制目標和措施。大多數(shù)組織通常采用，但許多組織刪除了A.10.9電子商務服務。

在實施ISO27001信息安全管理系統(tǒng)時，一些組織認為，如果使用ISO27001信息安全管理系統(tǒng)進行交易，則屬于電子商務服務，但事實并非如此。作者認為，只要交易活動與后臺物流及相關服務集成在IT系統(tǒng)中，就構成電子商務服務。例如，銀行通過“線下”電話營銷等形式為客戶提供金融產(chǎn)品服務，并外包服務。想象一下，作為一家銀行，如何確保外包商在向客戶提供服務的過程中獲得的信息被銀行完全授權，而不產(chǎn)生非授權使用？外包商在提供服務時如何識別客戶身份？確保信息傳輸中沒有“張冠李戴”或由此產(chǎn)生的信息泄露。顯然，如果組織有上述活動，不選擇“電子商務服務”的控制目標和控制措施是不合理的。

隨著非網(wǎng)絡交易形式的不斷增加，如證券、保險、電信、委托房屋銷售等，雖然可能沒有在線交易，但也可能導致個人隱私甚至組織商業(yè)利益泄露。竊聽。假裝。計算改變或依賴，甚至可能導致組織信息系統(tǒng)癱瘓，因此不能刪除A.10.9.1電子商務和A.10.9.3公共可用信息等控制措施。

2.評估使用過程中使用最常見、最頻繁的信息資產(chǎn)和衍生物的風險，制定并實施有效的控制措施。