「適用性聲明」是組織描述應用於ISO27001信息安全管理體系(ISMS)的控制目標和控制措施��� 。在
ISO27001:2005��� 、GB/T22080-2008《信息技術安全技術信息安全管理體系要求》標準3.16條款指出:與組織信息安全管理體系相關並適用於組織信息安全管理體系(ISMS)的控制目標和控制措施的文件化的陳述��� 。控制目標和控制措施是基於風險評估和風險處理過程的結果和結論��� 、法律法規的要求��� 、合同業務和組織對信息安全業務要求��� 。
由此可見��� ,重視組織信息安全管理體系ISMS策劃結果��� ,是現場審核評價所選用適用性聲明是否合理的基礎��� ,應儘可能在不影響組織正常運作前提下��� ,設定異常��� 、緊急極限條件��� ,善於運用「順向追蹤」和「逆向追溯"相結合的靈活多樣的審核方式��� ,讓組織信息安全風險得以充分釋放;讓不易察覺或容易被忽視的風險在現場審核得以充分顯現��� 。
1��� 、需逐條確認組織「選用」與「不選用」適用性聲明的合理性
適用性聲明共有133條控制目標與控制措施��� 。組織通常會採納其中的絕大部分��� ,但對於A.10.9「電子商務服務」這3條��� ,許多組織都將其刪減��� 。
一些組織在實施ISO27001信息安全管理體系時認為��� ,若用Internet網等進行交易��� ,才屬於電子商務服務��� ,其實不然��� 。筆者認為:只要交易活動與後台物流及相關服務集成在一個IT系統中完成��� ,就構成電子商務服務��� 。如某銀行通過「線下型」電話推銷等形式向客戶進行理財產品服務��� ,並把服務予以外包��� 。試想��� ,作為銀行如何保證外包方在向客戶提供服務過程中』其所獲得信息是被銀行充分授權且不會產生非授權使用?外包方在提供服務過程中如何對客戶身份進行甄別?確保信息傳遞中不發生「張冠李戴"或由此帶來的信息泄露��� 。很顯然��� ,若組織存在上述活動��� ,不選用「電子商務服務」控制目標與控制措施是不合理的��� 。
隨着非網絡交易形式日益增多��� ,如存在推銷活動的證券��� 、保險��� 、電信和委託房屋買賣等,雖可能不存在「在線交易」��� ,但卻同樣可能造成個人私隱乃至組織商業利益被泄露��� 、竊聽��� 、冒充��� 、算改或抵賴等��� ,甚至它還有可能引起組織信息系統癱瘓��� ,故不能刪減A.10.9.1「電子商務」與A.10.9.3「公共可用信息」等控制措施��� 。
2��� 、需對使用最普通��� 、最頻繁的信息資產和使用過程中所產生衍生物的風險予以評估��� ,制定��� 、實施有效的控制措施
每天使用的手機��� ,台式��� 、便攜式電腦��� ,U盤��� ,存儲設備和光盤等��� ,已成為最普通��� 、最頻繁的使用物品��� ,並已成為開展工作不可或缺的信息交換工具��� 。隨着信息技術曰新月異��� ,這些產品的功能不斷增加��� 、升級換代周期大為縮短��� ,如手機具有信息存儲等功能之外��� ,還可進行電子商務活動等��� 。在現場審核時��� ,要關注使用這些信息資產及由此產生如電磁波輻射以及商業間諜等衍生物風險��� ,特別需高度關注組織對這些風險管理的有效性��� 。
