钛学术_期刊_重新认识适用性声明.pdf

T互联网+安全

■nternet

重新认识适用性声明

—————__—_—__—_一里苎兰￡J州壅皇坠垩!：竺竖墨皇坚竺望

【摘要l信息安全管理体系与其它的ISO的管理体系有一个显著的差别，就是在描述认证范围时，除了有组织名称、组织业务及

组织地点，还有一项适用性声明的版本。在IS027001标准中虽然要求形成适用性声明，但没有详细的解释或样例，自从信息安全管

理体系导入中国以来，主流的思想都认为适用性声明中条款类似于质量管理体系中的管理要求，只要与业务有相关性的都必须执行，

实际上这样理解并不全面。

【关键词】信息安全管理体系适用性声明

一、引言的列，例如用于ISO／IEC27001不要求但通常对后续审查有

2017年3月，ISO组织发布了对应IS027001：2013用的详细信息；这些详细信息可以是对如何