適用性聲明是組織描述應用于ISO27001信息安全管理系統(ISMS)的控制目標和控制措施?！缎畔⒓夹g安全技術信息安全管理系統要求》第3.16條指出，與組織信息安全管理系統相關并適用于組織信息安全管理系統(ISMS)控制目標和控制措施的文件化陳述?？刂颇繕撕涂刂拼胧┦腔陲L險評估和風險處理過程的結果和結論。法律法規的要求。合同業務和組織對信息安全業務的要求。

由此可見，重視組織信息安全管理體系ISMS的規劃結果，是現場審核評價選擇適用性聲明是否合理的基礎。在不影響組織正常運行的前提下，應盡可能設置異常情況。在緊急極限條件下，善于運用順向跟蹤和逆向追溯相結合的靈活多樣的審計方法，充分釋放組織信息安全風險；現場審核充分顯示不易察覺或忽視的風險。

1.組織選擇和不選擇適用性聲明的合理性應逐一確認。
適用性聲明共有133個控制目標和措施。大多數組織通常采用，但許多組織刪除了A.10.9電子商務服務。

在實施ISO27001信息安全管理系統時，一些組織認為，如果使用ISO27001信息安全管理系統進行交易，則屬于電子商務服務，但事實并非如此。作者認為，只要交易活動與后臺物流及相關服務集成在IT系統中，就構成電子商務服務。例如，銀行通過“線下”電話營銷等形式為客戶提供金融產品服務，并外包服務。想象一下，作為一家銀行，如何確保外包商在向客戶提供服務的過程中獲得的信息被銀行完全授權，而不產生非授權使用？外包商在提供服務時如何識別客戶身份？確保信息傳輸中沒有“張冠李戴”或由此產生的信息泄露。顯然，如果組織有上述活動，不選擇“電子商務服務”的控制目標和控制措施是不合理的。

隨著非網絡交易形式的不斷增加，如證券、保險、電信、委托房屋銷售等，雖然可能沒有在線交易，但也可能導致個人隱私甚至組織商業利益泄露。竊聽。假裝。計算改變或依賴，甚至可能導致組織信息系統癱瘓，因此不能刪除A.10.9.1電子商務和A.10.9.3公共可用信息等控制措施。

2.評估使用過程中使用最常見、最頻繁的信息資產和衍生物的風險，制定并實施有效的控制措施。