ISO/IEC 27001

Statement of Applicability (SoA): Den komplette vejledning

Opnå ISO 27001 på den nemme måde med ISMS.online

Se det i aktion
Af Max Edwards | Opdateret 14. marts 2024

Statement of Applicability (SoA) udgør en grundlæggende del af dit informationssikkerhedsstyringssystem (ISMS). SoA er et af de vigtigste dokumenter, du skal udvikle til ISO 27001-certificering. I denne guide vil vi dække, hvad det er, og hvad du skal inkludere, når du opretter en.

Gå til emnet

Hvad er en erklæring om anvendelighed?

Kort sagt, i sin søgen efter at beskytte værdifulde informationsaktiver og administrere informationsbehandlingsfaciliteterne, oplyser SoA, hvilke ISO 27001 kontroller og politikker, der anvendes af organisationen. Det benchmarker i forhold til bilag A-kontrol, der er fastsat i ISO 27001-standarden (beskrevet bagerst i dette ISO-standarddokument som referencekontrolmål og -kontroller).

Anvendelighedserklæringen findes i 6.1.3 af hovedkravene til ISO 27001, som er en del af den bredere 6.1, der fokuserer på handlinger for at imødegå risici og muligheder.

SoA er derfor en integreret del af den obligatoriske ISO 27001-dokumentation, der skal præsenteres for en ekstern revisor, når ISMS gennemgår en uafhængig revision, f.eks. af et UKAS-auditcertificeringsorgan.

Hvem gælder ISO 27001 for?

ISO 27001 gælder for alle typer og størrelser af organisationer, herunder offentlige og private virksomheder, offentlige enheder og non-profit organisationer. Den røde tråd uanset organisationens størrelse, type, geografi eller sektor er, at organisationen sigter mod at demonstrere best practice i sin tilgang til informationssikkerhedsstyring. Best practice kan selvfølgelig fortolkes forskelligt.

ISO-standarden handler om at udvikle et system til styring af informationssikkerhedsrisici. Så afhængigt af organisationens lederskabs appetit på informationsrisiko og omfanget af aktiver til at håndtere risici omkring, kan de anvendte kontroller og politikker variere betydeligt fra én organisation til en anden, men stadig opfylde ISO 27001-kontrolmålene.

Hvad der dog er klart er, at opnåelsen af ​​ISO 27001-certificering gennem en uafhængig revision fra et godkendt ISO-certificeringsorgan vil betyde, at organisationen har nået et anerkendt niveau af kontrol (best practice som standard) for informationsaktiverne og behandlingsfaciliteterne.

ISO 27001-certificering giver interesserede parter såsom stærke kunder og prospekter en højere grad af tillid end selvudviklede metoder eller alternative standarder, der ikke bærer den samme uafhængige revision eller internationale anerkendelse.

Gratis download

Få din guide til
ISO 27001 succes

Alt hvad du behøver at vide om at opnå ISO 27001 første gang

Få din gratis guide

Hvorfor er SoA vigtigt?

Sammen med omfanget af informationssikkerhedsstyringssystemet (4.3 i ISO 27001) giver SoA et opsummerende vindue over de kontroller, som bruges af organisationen. SoA'en er et kernekrav for at opnå ISO-certificering af ISMS og vil sammen med omfanget være en af ​​de første ting, som en revisor vil kigge efter i deres revisionsarbejde.

Denne dokumentation skal være tilgængelig til gennemgang under trin 1-certificeringsrevisionen, selvom den kun vil blive boret i under trin 2-revisionen, hvor revisoren vil teste nogle af ISO 27001-kontrollerne og sikre, at de ikke kun beskriver, men demonstrerer tilstrækkeligt. kontrolmålene nås.

Revisor vil gennemgå opgørelsen af ​​informationsaktiver, overveje risiciene, deres evaluering og behandlinger og se efter fysiske beviser for, at organisationen på tilfredsstillende vis har implementeret de kontroller, den har hævdet for at imødegå risikoen.

SoA og Scope vil dække organisationens produkter og tjenester, dens informationsaktiver, behandlingsfaciliteter, systemer i brug, involverede personer og forretningsprocesser, uanset om det er en virtuel enkeltmandsvirksomhed eller en multi-site international operation med tusindvis af medarbejdere.

Stærkt uddannede kunder med betydelig informationsrisiko (f.eks. på grund af GDPR eller andre kommercielle informationsaktiver) vil måske gerne se omfanget og SoA, før de køber fra en leverandør, for at sikre, at ISO-certificeringen faktisk adresserer de områder af virksomheden, der er involveret i deres aktiver.

Det nytter ikke at have en ISO-certificering med Scope og SoA for et britisk hovedkontor, når den faktiske informationsbehandlingsrisiko finder sted i en offshore-bygning med ressourcer uden for scope! Det er faktisk en af ​​grundene til, at certificeringsorganerne nu opfordrer til 'hele organisationens' Scopes, hvilket naturligvis kan betyde, at der kræves en meget bredere og dybere erklæring om anvendelighed.

Sammenfattende viser et godt præsenteret og letforståeligt SoA forholdet mellem de gældende og implementerede Annex A-kontroller givet risici og informationsaktiver i omfang. Det vil give stor tillid til en revisor eller en anden interesseret part, at organisationen tager informationssikkerhedsstyring alvorligt, især hvis det hele er samlet i et holistisk informationssikkerhedsstyringssystem.

Hvad er bilag A ISO 27001?

Bilag A til ISO 27001 er et katalog over de informationssikkerhedskontrolmål og kontroller, der skal tages i betragtning under implementeringen af ​​ISO 27001. Det tekniske udtryk, der bruges for ISO, handler om 'begrundelse' af kontrollen. SoA vil vise, om bilag A-kontrollen er:

  • Anvendelig og implementeret som en kontrol nu
  • Anvendelig, men ikke implementeret som en kontrol (det kan f.eks. være en del af en forbedring for fremtiden og fanget i 10.2 som en del af en forbedring, eller ledelsen er parat til at tolerere risikoen givet deres andre implementerede kontrolprioriteter)
  • Ikke relevant (bemærk, at hvis noget anses for ikke at være anvendeligt, vil revisor se efter at forstå, hvorfor det er så dokumenteret, at der også skal opbevares dette i SoA).

Kontrollerne skal gennemgås og regelmæssigt opdateres i løbet af den 3-årige ISO-certificeringslivscyklus. Dette er en del af den løbende forbedringsfilosofi for informationssikkerhedsstyring, der er indlejret i standarden. I betragtning af den stigende vækst i cyberkriminalitet bevæger cybersikkerhed sig også hurtigt, så alt mindre end en årlig gennemgang af kontrollerne ville potentielt øge organisationens trusselseksponering.

Hvor mange kontroller er der i ISO 27001?

Der er 114 bilag A kontroller opdelt i 14 forskellige kategorier. ISO 27001 Annex A-kontrollerne er anført nedenfor.

Hvilke kontroller skal jeg inkludere?

Anvendelseserklæringen er hovedleddet mellem din informationssikkerhedsrisikovurdering og behandlingsarbejde og viser 'hvor' du har valgt at implementere informationssikkerhedskontroller fra de 114 kontrolmål. (En god SoA vil også være i stand til at bore i for at vise 'hvordan' de også er blevet implementeret.)

Mens bilag A-kontrollerne giver en nyttig tjekliste til overvejelse, kan det være dyrt at implementere alle 114 kontroller fra "nedefra og op" og gå glip af standardens grundlæggende mål. Desværre vil nogle informationssikkerhedskonsulenter og udbydere, der sælger 'komplette ISO 27001-dokumentationsværktøjssæt', gå ind for denne tilgang, men det er den forkerte måde at udføre informationssikkerhedsstyring på.

Der er en grund til, at kernekravene i ISO 27001 fra 4.1-10.2 er der. De hjælper med at tage organisationen på den forretnings- og strategiledede tilgang, hvor du ser fra toppen og ned. Efter at have overvejet problemerne, de interesserede parter, omfanget og informationsaktiverne, kan organisationen identificere risiciene, derefter evaluere dem og overveje behandlinger for disse risici.

Risiciene omkring den værdifulde information og behandlingsfaciliteterne, enheder, involverede personer osv. bør evalueres med oplysningernes fortrolighed, integritet og tilgængelighed (CIA) i tankerne.

Denne nedbrydning af CIA er også et vigtigt aspekt for revisoren at forstå og demonstrere, at organisationen mere holistisk har overvejet risikoen. Afgørende betyder det også, at SoA er blevet udviklet med den mere omfattende tilgang, snarere end blot én del, f.eks. kun betragtede risikoen for tab af information fra et brud.

Selvom organisationen vil overveje risiciene fra dens drift som trukket ovenfra, er det værd at nævne, at et af kontrolområderne i bilag A, der altid vil være gældende, er "Identifikation af gældende lovgivning og kontraktmæssige krav" i A.18.1.1 . Dette vil betyde, at du også overvejer kravene i relevante love, regler og kontraktmæssige krav. Det bliver meget mere fremtrædende på grund af EU GDPR for dem, der behandler EU-borgeroplysninger og i stigende grad også over hele verden med andre privatlivsstandarder såsom POPI i Sydafrika, LGPD i Brasilien og CCPA i Californien.

For at forstå forventningerne til privatlivsreglerne dikterer det også effektivt, at mange af ISO 27001-kontrollerne er påkrævet, uanset om du tror, ​​de er det eller ej. Så en smart revisor vil forvente en forståelse af den gældende lovgivning, der påvirker din organisation, og hvordan det også informerer om dit valg af relevante kontroller i SoA-begrundelsen.

Nogle informationssikkerhedsrisici kan naturligvis bringes til ophør helt, overføres til en anden part, behandles eller tolereres. Alle disse bilag A-kontroller hjælper dig derefter med at overveje og, hvor det er relevant, implementere overførsel, behandle eller tolerere filosofien omkring risici. SoA viser derefter, hvilke sikkerhedsforanstaltninger fra bilag A kontroller, du bruger, og hvordan du har implementeret dem, dvs. dine politikker og procedurer.

Kontrolmålene og kontrollerne i bilag A som anført i ISO 27001-standarden er ikke præskriptive, men skal tages i betragtning, og begrundelsen for anvendelighed er afgørende for en uafhængig certificering fra et ISO-certificeringsorgan.

Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

ISO 27002 og erklæringen om anvendelighed

Uanset om uafhængig certificering er et mål eller måske blot overholdelse, når det kombineres med den supplerende ISO 27002-vejledning, er bilag A-kontrollerne et positivt grundlag at bygge på for enhver organisation, der ønsker at forbedre sin informationssikkerhedsposition og drive forretning mere sikkert.

ISO 27002, er den supplerende standard til ISO 27001, giver et adfærdskodeks og nyttig skitse for informationssikkerhedskontroller og giver dermed et meget godt katalog over kontrolmål og kontroller til behandling af risici samt vejledning i, hvordan de implementeres.

Hvilke sikkerhedsforanstaltninger (Anneks A kontroller), du implementerer for at håndtere disse risici, vil faktisk afhænge af din organisation, dens risikovillighed og omfanget samt den gældende lovgivning. Men uanset hvad det er, skal det præsenteres i erklæringen om anvendelighed, hvis du ønsker at opnå en ISO 27001-certificering!

Hvilke oplysninger skal medtages i SoA?

Så lad os opsummere, hvilke oplysninger der som minimum skal inkluderes for SoA.

  • En liste over de 114 bilag A-kontroller
  • Om kontrollen er implementeret eller ej
  • Begrundelse for dets medtagelse eller udelukkelse
  • En kort beskrivelse eller hvordan hver relevant kontrol implementeres med henvisning til den politik og kontrol, der beskriver den i den rigtige detalje

Som nævnt ovenfor er SoA et vindue ind i organisationens ISMS. Hvis du ikke er i stand til at vise, hvordan dette vindue åbner i dybden og sammenhængende karakter af informationssikkerhedsstyringssystemet, kan det skabe problemer. Forestil dig situationen, når revisor dukker op, og regnearket, der viser 114-kontrollerne, er godt forældet med de faktiske ledelseskontroller på plads.

En af de mest almindelige årsager til at fejle en ISO 27001-revision er, at revisor ikke er i stand til at skabe tillid til administrationen af ​​ISMS, og dokumentationen er dårligt styret eller mangler. At have et selvstændigt SoA 'dokument' frem for integreret og automatiseret dokumentation af en SoA øger denne risiko.

Hvordan opretter du erklæringen om anvendelighed?

Så længe SoA'en har de rigtige oplysninger, er nøjagtige og opdaterede, kan du oprette SoA'en fra papir, regneark, dokumenter eller professionelle systemer, der automatiserer det som en del af deres bredere GRC-kapacitet (Governance, Regulation & Compliance) .

I en ideel verden vil din SoA næppe ændre sig (ikke mindst fordi certificeringsorganer kan opkræve betaling for versionsændringer af SoA). Men det, der ligger under SoA, dvs. det bankende hjerte i selve ISMS'en, bør være dynamisk som en levende åndedrætsrepræsentation af dit udviklende informationssikkerhedslandskab.

SoA skal gennemgås, når dine politikker og kontroller gennemgås (mindst årligt), så det vil stadig drage fordel af at være en effektiv proces i betragtning af de 114 kontroller til overvejelse.

At slå et regneark op med kontrollerne som en tjekliste er et stykke kage og ret hurtigt at gøre. Men at gøre det med tillid til, at alt det tidligere informationssikkerhedsplanlægning og implementeringsarbejde omkring aktiverne, risici og kontroller er blevet udført i den rigtige rækkefølge og udtrykt som resuméet, er SoA ikke helt så ligetil. En revisor vil gerne se, hvad der ligger under den enkle overlinje på 114 rækker i et regneark.

I gamle dage betød det virkelig en masse arbejde at præsentere SoA som et 200 sider omfattende dokument, især for at holde det opdateret, efterhånden som politikkerne og kontrollerne udviklede sig. Der er nu meget bedre og nemmere måder at automatisere SoA og drage fordel af det hårde arbejde, der allerede er udført i andre dele af ISMS.

Sådan sparer du tid, når du skriver din erklæring om anvendelighed

SoA tager typisk lang tid for en organisation at sammensætte på grund af det, der informerer den. Hvis vi tænker på de trin, der er involveret i dens oprettelse, og det arbejde, der er nødvendigt for det, er det ikke så mærkeligt:

  • Overvej spørgsmålene, interesserede parter og omfanget af ISMS
  • Identificer de informationsaktiver og behandlingsfaciliteter og -enheder, der er i fare
  • Evaluer og vurder de risici, der er forbundet med sikkerheden af ​​oplysningerne ved hjælp af fortrolighed, integritet og tilgængelighed
  • Vurder disse risici og beslut derefter, hvilke af de 114 bilag A-kontroller, der er nødvendige
  • Forstå og evaluere gældende lovgivning (og eventuelle vigtige kontraktforpligtelser fra magtfulde kunder) for at fremhæve andre kontrolområder
  • Beslut dig for, hvordan kontrollen implementeres med hensyn til politik, procedure, mennesker, teknologi mv
  • Opret derefter selve SoA-dokumentet med disse begrundelser om anvendelighed klare
  • Ideelt link til kontroldetaljerne, risiciene og aktiverne for at vise, at ISMS fungerer
  • Og administrere det løbende.

    SoA er en lille, men meget vigtig del af et meget omfattende ISMS. Godt gjort, vil det sætte organisationen op til revisionssucces og tillidsskabelse for smarte kunder og andre interessenter. Hvis det er gjort dårligt, vil det næsten helt sikkert forstyrre og forsinke tiden til certificering og kan betyde tab af forretning eller fremtidige muligheder på grund af manglende opnåelse eller opretholdelse af certificering.

Fremskynd SoA-processen med ISMS.online

ISMS.online er et omfattende informationssikkerhedsstyringssystem, der blandt mange andre ting letter administrationen og styringen af ​​dine informationsaktiver, risici, politikker og kontroller, alt sammen på ét sted.

Det betyder også, at oprettelsen af ​​SoA kan automatiseres og præsenteres enkelt og effektivt. Ud over andre fordele, såsom at det koster mindre tid at opnå ISO 27001-succes, fremskynder det derfor også ISO-certificeringsrejsen.

Fokuser din energi på at drive din virksomhed, som du vil, og brug tid på, hvad du skal opnå for succes, og bekymre dig mindre om, hvordan du gør det. ISMS.online gør det hele så nemt at få dit arbejde gjort, inklusive SoA til en brøkdel af omkostningerne og tiden for alternativer.

Book en platformsdemo
komplet compliance-løsning

Vil du udforske?
Start din gratis prøveperiode.

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Find ud af mere

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere