適用性聲明是組織描述應用于ISO27001信息安全管理系統(ISMS)的控制目標和控制措施?！缎畔⒓夹g(shù)安全技術(shù)信息安全管理系統要求》第3.16條指出，與組織信息安全管理系統相關(guān)并適用于組織信息安全管理系統(ISMS)控制目標和控制措施的文件化陳述?？刂颇繕撕涂刂拼胧┦腔陲L(fēng)險評估和風(fēng)險處理過(guò)程的結果和結論。法律法規的要求。合同業(yè)務(wù)和組織對信息安全業(yè)務(wù)的要求。

由此可見(jiàn)，重視組織信息安全管理體系ISMS的規劃結果，是現場(chǎng)審核評價(jià)選擇適用性聲明是否合理的基礎。在不影響組織正常運行的前提下，應盡可能設置異常情況。在緊急極限條件下，善于運用順向跟蹤和逆向追溯相結合的靈活多樣的審計方法，充分釋放組織信息安全風(fēng)險；現場(chǎng)審核充分顯示不易察覺(jué)或忽視的風(fēng)險。

1.組織選擇和不選擇適用性聲明的合理性應逐一確認。
適用性聲明共有133個(gè)控制目標和措施。大多數組織通常采用，但許多組織刪除了A.10.9電子商務(wù)服務(wù)。

在實(shí)施ISO27001信息安全管理系統時(shí)，一些組織認為，如果使用ISO27001信息安全管理系統進(jìn)行交易，則屬于電子商務(wù)服務(wù)，但事實(shí)并非如此。作者認為，只要交易活動(dòng)與后臺物流及相關(guān)服務(wù)集成在IT系統中，就構成電子商務(wù)服務(wù)。例如，銀行通過(guò)“線(xiàn)下”電話(huà)營(yíng)銷(xiāo)等形式為客戶(hù)提供金融產(chǎn)品服務(wù)，并外包服務(wù)。想象一下，作為一家銀行，如何確保外包商在向客戶(hù)提供服務(wù)的過(guò)程中獲得的信息被銀行完全授權，而不產(chǎn)生非授權使用？外包商在提供服務(wù)時(shí)如何識別客戶(hù)身份？確保信息傳輸中沒(méi)有“張冠李戴”或由此產(chǎn)生的信息泄露。顯然，如果組織有上述活動(dòng)，不選擇“電子商務(wù)服務(wù)”的控制目標和控制措施是不合理的。

隨著(zhù)非網(wǎng)絡(luò )交易形式的不斷增加，如證券、保險、電信、委托房屋銷(xiāo)售等，雖然可能沒(méi)有在線(xiàn)交易，但也可能導致個(gè)人隱私甚至組織商業(yè)利益泄露。竊聽(tīng)。假裝。計算改變或依賴(lài)，甚至可能導致組織信息系統癱瘓，因此不能刪除A.10.9.1電子商務(wù)和A.10.9.3公共可用信息等控制措施。

2.評估使用過(guò)程中使用最常見(jiàn)、最頻繁的信息資產(chǎn)和衍生物的風(fēng)險，制定并實(shí)施有效的控制措施。