浅析ISO27001附录A与适用性声明SoA的关系
发布时间:2020-10-20 作者:广汇联合 来源:广汇联合
从SoA的推荐形式可以看出,ISO27001:2013的附录A应理解为必须考虑的参考资料而不是必须执行管理要求。基于这样的认知,ISO27002:2013中对附录A的解释才显得合理。例如A.8.2.2信息的标记,说明有“信息及相关资产的标记有时有负面作用。分级的资产容易被识别,从而被内部人员或外部攻击者窃取。”,可见选取该控制项存在负面作用,应当依据具体的信息安全风险和相关的其它管理条件决定是否选取,而不是盲目的采纳。
另一方面,这也对要求供应商获取ISO27001认证的组织传递了更多的信息,即不应当仅仅要求供应商获取ISO27001的认证证书,同时应当查阅供应商的SoA,从而可以确认供应商实施了哪些方面的信息安全控制,控制的程度如何,例如,对ISO27001:2013的附录A.11.2.9清理桌面和屏幕策略,其考虑的风险是敏感信息被非授权人员看到,所以建议电脑的屏幕自动锁屏,办公桌面等不要放置敏感文件。针对电脑屏幕的自动锁屏这项控制,有的组织采用管理要求实现,有的组织采用域策略强制执行实现,显然,不同的实现方式其实现结果的稳定性也是不一样的,通过管理要求实现难免出现有的人为了工作方便而不设置屏保。
适用性声明是ISO27001信息安全管理体系的一项特色要求。借助适用性声明,在获证组织与相关方组织之间可以传递更丰富的信息。信息技术本就是日新月异、快速变化的领域,如何确保组织在变化的环境中,稳定的管控信息的安全,核心还是依赖于及时的信息安全风险评估机制,如果只是关注教条的执行标准中的附录A的要求,最终只能造成管理资源的浪费,无法真正实现信息安全管理的目标。