适用性声明(SoA)是ISO 27001的强制性文件,说明附录A每项控制的纳入或排除理由。
SoA列出所有93项附录A控制,说明哪些适用,说明排除理由并引用实施文件。是风险评估和已实施控制之间的纽带,是每次认证审核的焦点。
每项排除的控制必须有记录的有效理由。审核员验证没有未处理的风险。
控制选择必须源于风险评估和处理结果。是风险-控制的可追溯性。
当风险、控制或ISMS范围变化时必须更新。
技术上可以,需有效理由。但安全策略等基本控制很难证明不适用。
是的。是认证审核员首先审查的文件之一。是控制审核的路线图。
需要此领域的评估?