ISO 27001 轉版筆記 -2- 主條文跟控制項之基本認知、適用性聲明書之修訂
ISO 27001 有所謂的主條文 跟 Annex (控制項)
主條文要求的項目,都必須要在你的程序書內實作出程序,來達成這些要求,不可以有項目忽略。
控制項的部分,比較偏向實作跟細節,如果某個控制項經過考慮,你覺得你的組織根本沒有這部分的業務,那就可以排除,不一定要把這項納入你的程序書。
以 2013 版為例,A.18.1.5:密碼控制措施的規定,以台灣而言,沒有相關的密碼控制法規,如果你的組織也沒有強制必須要有這類規定,那就可以考慮排除這項,也不必在程序書內訂定相關程序。
而不管納入或是排除,都必須有理由,所有的資訊都彙整到「適用性聲明書」內,此聲明書就是規範所有控制項是否納入/排除,以及理由。
而 2005 轉版到 2013 後,控制項的項次編號有大幅異動、增刪,所以轉版的其中一項無聊工作,就是要好好的大改適用性聲明書,把舊版的項次對應到新版的項次。
2005 → 2013 的對應表非常重要,請參考:
適用性聲明書範例:
Leave a Reply