從SoA的推薦形式可以看出，ISO27001:2013的附錄A應理解為必須考慮的參考資料而不是必須執行管理要求。基于這樣的認知，ISO27002:2013中對附錄A的解釋才顯得合理。例如A.8.2.2信息的標記，說明有“信息及相關資產的標記有時有負面作用。分級的資產容易被識別，從而被內部人員或外部攻擊者竊取。”，可見選取該控制項存在負面作用，應當依據具體的信息安全風險和相關的其它管理條件決定是否選取，而不是盲目的采納。
另一方面，這也對要求供應商獲取ISO27001認證的組織傳遞了更多的信息，即不應當僅僅要求供應商獲取ISO27001的認證證書，同時應當查閱供應商的SoA，從而可以確認供應商實施了哪些方面的信息安全控制，控制的程度如何，例如，對ISO27001:2013的附錄A.11.2.9清理桌面和屏幕策略，其考慮的風險是敏感信息被非授權人員看到，所以建議電腦的屏幕自動鎖屏，辦公桌面等不要放置敏感文件。針對電腦屏幕的自動鎖屏這項控制，有的組織采用管理要求實現，有的組織采用域策略強制執行實現，顯然，不同的實現方式其實現結果的穩定性也是不一樣的，通過管理要求實現難免出現有的人為了工作方便而不設置屏保。
適用性聲明是ISO27001信息安全管理體系的一項特色要求。借助適用性聲明，在獲證組織與相關方組織之間可以傳遞更豐富的信息。信息技術本就是日新月異、快速變化的領域，如何確保組織在變化的環境中，穩定的管控信息的安全，核心還是依賴于及時的信息安全風險評估機制，如果只是關注教條的執行標準中的附錄A的要求，最終只能造成管理資源的浪費，無法真正實現信息安全管理的目標。


ISO22000體系內部審核有哪些方式
如何進行高新技術企業季報年報的填報
圖片侵權賠償金額如何確定？
ISO9001認證:設置質量控制點的注意事項(上)
國家高新技術企業，科創板上市會更容易嗎？
企業實施ISO14001環境管理體系產品和服務對象
專利怎么轉讓，專利轉讓條件和注意事項說明
河北認證公司常規3體系認證，需要具備哪些基本條件和準備資料