SoA(適用性聲明)是 ISO 27001 認證的核心文件。並不是所有控制條文都要照單全收,而是要依據企業自身的風險狀況,決定哪些措施要做、哪些不需要,並在文件中清楚標註。要不要做:每個控制項都需標註「適用 / 不適用」。為什麼不做:不適用必須有合理理由,並且符合風險評估結果。怎麼落實:若採用,要寫明是透過制度、工具,還是外部服務來執行。
ISO 27001 續約必做清單
第一次通過 ISO 27001 只是起點,隔年續約才是真考驗。這時候稽核員要看的不是你的計畫,而是「你有沒有真的做到」。所有訓練、演練、測試,都需要留下實際紀錄。續約/再驗證前,您準備好了嗎?ISO 27001 企業必備實踐項目↓
鼎新可以協助什麼?
在 ISO 27001 的導入與續約過程中,企業不僅需要制度文件,還需要具體的工具與外部服務來支撐。
