Ett Statement of Applicability (SoA) är ett obligatoriskt dokument i ISO 27001 där du deklarerar vilka av de 93 säkerhetskontrollerna i Annex A som ni implementerar och motiverar varför. Ett välskrivet SoA ger smidig certifiering, medan ett otydligt SoA leder till månader av extraarbete.
Den här artikeln visar hur du skapar ett korrekt SoA som uppfyller ISO 27001:2022-kraven och revisorernas förväntningar.
Vad är ett Statement of Applicability?
Ett SoA är bryggan mellan din riskbedömning och implementerade säkerhetsåtgärder. För varje av de 93 kontrollerna i ISO 27001:2022 Annex A dokumenterar du om den är applicerbar och motiverar ditt val.
Statement of Applicability fungerar som ditt kontrakt med revisorer och intressenter om vilken säkerhetsnivå ni har valt. Du måste överväga varje säkerhetskontroll, ingen kontroll kan exkluderas utan motivering.
De 93 kontrollerna i ISO 27001:2022
ISO 27001:2022 innehåller 93 kontroller fördelade på fyra huvudkategorier:
Organisatoriska kontroller (37 st): Styrning, policyer, HR-säkerhet, leverantörshantering, incidenthantering
Personsäkerhetskontroller (8 st): Bakgrundskontroller, säkerhetsutbildning, anställningsavtal
Fysiska kontroller (14 st): Säkra områden, utrustningssäkerhet, skrivbordspolicy
Tekniska kontroller (34 st): Åtkomstkontroll, kryptering, loggning, säkerhetskopiering
Varje kontroll måste bedömas individuellt för din organisation. Du hittar den kompletta listan i ISO/IEC 27001:2022 Annex A.
Så skapar du ett Statement of Applicability
1. Genomför riskbedömningen först
Starta med din riskbedömning enligt ISO 27001. Den identifierar vilka hot och sårbarheter ni har, vilket styr vilka av de 93 säkerhetskontrollerna som är nödvändiga för er organisation.
2. Dokumentera varje kontroll
ISO 27001:2022 kräver att SoA innehåller: vilka kontroller som är nödvändiga, motivering för varje val (både inkluderade och exkluderade), samt om kontrollen är implementerad eller inte.
Bästa praxis är att även inkludera: referens till risker från riskbedömningen, referens till policy eller process, ansvarig person och hur kontrollen verifieras.
Revisorer granskar alla exkluderingar noggrant. Varje "nej" kräver stark motivering baserad på er verksamhet och riskbedömning.
3. Koppla till risk treatment plan
Statement of Applicability är en del av er risk treatment plan. Säkerställ att SoA stämmer överens med era riskbehandlingsbeslut och att alla nödvändiga kontroller från riskbedömningen finns med.
SoA och ISO 27001-revisioner
Revisorer använder Statement of Applicability som checklista och kontrollerar:
-
Fullständighet: Alla 93 kontroller i Annex A måste bedömas.
-
Motiveringar: Varje val måste vara logiskt och grundat i er riskbedömning.
-
Konsekvens: SoA måste stämma med verkligheten. Revisorer begär vanligtvis ut refererade policyer och processer.
-
Implementation: Markerade kontroller måste fungera i praktiken. Revisorer testar implementationen.
-
Koppling till risk treatment: SoA måste stämma överens med er godkända risk treatment plan.
Vanliga frågor
Kan vi exkludera många kontroller för att göra det enklare?
Nej. Revisorer granskar varje exkludering noggrant. 80-90% av Annex A-kontrollerna är relevanta för de flesta organisationer. Exkludera endast med starka, verifierbara motiv baserade på riskbedömning.
Hur specifika ska motiveringar vara?
Så specifika att en utomstående förstår varför ni gjort valet. Undvik standardfraser. Inkludera konkreta siffror, systemnamn och riskreferenser från er riskbedömning.
Vilket verktyg ska vi använda för SoA?
Små organisationer kan använda Excel eller Google Sheets. Större organisationer bör använda en GRC-plattform för integrerad riskhantering, automatisk versionskontroll och revisionsloggar.
