关于ISO27001认证审查中适用性声明的合理性的讨论。

适用性声明是组织描述应用于ISO27001信息安全管理系统(ISMS)的控制目标和控制措施。《信息技术安全技术信息安全管理系统要求》第3.16条指出，与组织信息安全管理系统相关并适用于组织信息安全管理系统(ISMS)控制目标和控制措施的文件化陈述。控制目标和控制措施是基于风险评估和风险处理过程的结果和结论。法律法规的要求。合同业务和组织对信息安全业务的要求。

由此可见，重视组织信息安全管理体系ISMS的规划结果，是现场审核评价选择适用性声明是否合理的基础。在不影响组织正常运行的前提下，应尽可能设置异常情况。在紧急极限条件下，善于运用顺向跟踪和逆向追溯相结合的灵活多样的审计方法，充分释放组织信息安全风险；现场审核充分显示不易察觉或忽视的风险。

1.组织选择和不选择适用性声明的合理性应逐一确认。
适用性声明共有133个控制目标和措施。大多数组织通常采用，但许多组织删除了A.10.9电子商务服务。

在实施ISO27001信息安全管理系统时，一些组织认为，如果使用ISO27001信息安全管理系统进行交易，则属于电子商务服务，但事实并非如此。作者认为，只要交易活动与后台物流及相关服务集成在IT系统中，就构成电子商务服务。例如，银行通过“线下”电话营销等形式为客户提供金融产品服务，并外包服务。想象一下，作为一家银行，如何确保外包商在向客户提供服务的过程中获得的信息被银行完全授权，而不产生非授权使用？外包商在提供服务时如何识别客户身份？确保信息传输中没有“张冠李戴”或由此产生的信息泄露。显然，如果组织有上述活动，不选择“电子商务服务”的控制目标和控制措施是不合理的。

随着非网络交易形式的不断增加，如证券、保险、电信、委托房屋销售等，虽然可能没有在线交易，但也可能导致个人隐私甚至组织商业利益泄露。窃听。假装。计算改变或依赖，甚至可能导致组织信息系统瘫痪，因此不能删除A.10.9.1电子商务和A.10.9.3公共可用信息等控制措施。

2.评估使用过程中使用最常见、最频繁的信息资产和衍生物的风险，制定并实施有效的控制措施。