ISO 27001 轉版筆記 -2- 主條文跟控制項之基本認知、適用性聲明書之修訂

ISO 27001 有所謂的主條文 跟 Annex (控制項)

主條文要求的項目,都必須要在你的程序書內實作出程序,來達成這些要求,不可以有項目忽略。

控制項的部分,比較偏向實作跟細節,如果某個控制項經過考慮,你覺得你的組織根本沒有這部分的業務,那就可以排除,不一定要把這項納入你的程序書。

以 2013 版為例,A.18.1.5:密碼控制措施的規定,以台灣而言,沒有相關的密碼控制法規,如果你的組織也沒有強制必須要有這類規定,那就可以考慮排除這項,也不必在程序書內訂定相關程序。

而不管納入或是排除,都必須有理由,所有的資訊都彙整到「適用性聲明書」內,此聲明書就是規範所有控制項是否納入/排除,以及理由。

而 2005 轉版到 2013 後,控制項的項次編號有大幅異動、增刪,所以轉版的其中一項無聊工作,就是要好好的大改適用性聲明書,把舊版的項次對應到新版的項次。

2005 → 2013 的對應表非常重要,請參考:

適用性聲明書範例:

You Might Also Like

Leave a Reply

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料