組織在遵循 ISO 27001 標準時,即使未使用雲端服務,仍建議透過 SOA(適用性聲明書)等方法將此納入考慮:
1. **SOA 的適用性聲明書**:
- SOA 可用於指定特定的控制措施是否適用於組織的 ISMS。
- 對於未使用雲端服務的組織,可以在 SOA 中排除與雲端服務相關的控制措施,並在適用性聲明書中明確說明這一點。
2. **排除不適用的控制措施**:
- SOA 允許組織排除不適用的控制措施,以確保 ISMS 符合組織的實際情況和風險。
- 如果組織確定不使用雲端服務,可以在 SOA 中排除相關的控制措施。
3. **適用性聲明書的重要性**:
- 適用性聲明書是 ISMS 的核心文件之一,確定了組織選擇實施的控制措施範圍,並說明了每個控制措施的適用性情況。
- 通過適當地使用適用性聲明書,組織可以確保 ISMS 與其業務需求和風險情況保持一致,並且不浪費資源實施不必要的控制措施。
總的來說,即使組織不使用雲端服務,仍建議通過 SOA 和適用性聲明書將此納入 ISMS 的考慮範圍,以確保 ISMS 符合組織的實際情況和風險。
全站熱搜
留言列表
