ISO/IEC 27001

Anvendelseserklæring (SoA): Den komplette veiledningen

Oppnå ISO 27001 på den enkle måten med ISMS.online

Se det i aksjon
Av Max Edwards | Oppdatert 14. mars 2024

Statement of Applicability (SoA) utgjør en grunnleggende del av styringssystemet for informasjonssikkerhet (ISMS). SoA er et av de viktigste dokumentene du må utvikle for ISO 27001-sertifisering. I denne veiledningen vil vi dekke hva det er, og hva du skal inkludere når du oppretter en.

Gå til emnet

Hva er en erklæring om anvendelse?

Enkelt sagt, i sin søken etter å beskytte verdifulle informasjonsressurser og administrere informasjonsbehandlingsfasilitetene, opplyser SoA hvilke ISO 27001-kontroller og retningslinjer som brukes av organisasjonen. Den måler mot vedlegg A-kontrollen satt i ISO 27001-standarden (beskrevet på baksiden av det ISO-standarddokumentet som referansekontrollmål og -kontroller).

Anvendelseserklæringen finnes i 6.1.3 av hovedkravene for ISO 27001, som er en del av den bredere 6.1, fokusert på handlinger for å møte risikoer og muligheter.

SoA er derfor en integrert del av den obligatoriske ISO 27001-dokumentasjonen som må presenteres for en ekstern revisor når ISMS gjennomgår en uavhengig revisjon, for eksempel av et UKAS revisjonssertifiseringsorgan.

Hvem gjelder ISO 27001 for?

ISO 27001 gjelder for alle typer og størrelser av organisasjoner, inkludert offentlige og private selskaper, offentlige enheter og ideelle organisasjoner. Den røde tråden uavhengig av organisasjonsstørrelse, type, geografi eller sektor er at organisasjonen har som mål å demonstrere beste praksis i sin tilnærming til informasjonssikkerhetsstyring. Beste praksis kan selvsagt tolkes annerledes.

ISO-standarden handler om å utvikle et system for håndtering av informasjonssikkerhetsrisiko. Så avhengig av organisasjonens ledelses appetitt på informasjonsrisiko og omfanget av eiendeler for å håndtere risiko rundt, kan kontrollene og retningslinjene som brukes, variere betydelig fra en organisasjon til en annen, men likevel oppfylle ISO 27001-kontrollmålene.

Det som imidlertid er klart er at oppnåelse av ISO 27001-sertifisering gjennom en uavhengig revisjon fra et godkjent ISO-sertifiseringsorgan, vil bety at organisasjonen har nådd et anerkjent nivå av kontroll (beste praksis som standard) for informasjonsmidlene og behandlingsfasiliteter.

ISO 27001-sertifisering gir interesserte parter som sterke kunder og prospekter en høyere grad av tillit enn egenutviklede metoder eller alternative standarder som ikke har samme uavhengige revisjon eller internasjonal anerkjennelse.

Gratis nedlasting

Få din guide til
ISO 27001 suksess

Alt du trenger å vite om å oppnå ISO 27001 første gang

Få din gratis guide

Hvorfor er SoA viktig?

Sammen med omfanget av styringssystemet for informasjonssikkerhet, (4.3 i ISO 27001), gir SoA et sammendrag av kontrollene som brukes av organisasjonen. SoA er et kjernekrav for å oppnå ISO-sertifisering av ISMS og vil sammen med omfanget være noe av det første som en revisor vil se etter i sitt revisjonsarbeid.

Denne dokumentasjonen må være tilgjengelig for gjennomgang under trinn 1-sertifiseringsrevisjonen, men vil bare bli boret i under trinn 2-revisjonen, når revisor skal teste noen av ISO 27001-kontrollene og sikre at de ikke bare beskriver, men demonstrerer tilstrekkelig. kontrollmålene nås.

Revisor vil gjennomgå informasjonsaktivabeholdningen, vurdere risikoene, deres evaluering og behandlinger, og se etter fysiske bevis på at organisasjonen har implementert kontrollene den har hevdet for å håndtere risikoen på tilfredsstillende måte.

SoA og Scope vil dekke organisasjonens produkter og tjenester, dens informasjonsressurser, prosesseringsfasiliteter, systemer som er i bruk, involverte personer og forretningsprosesser, enten det er en virtuell enpersonsbedrift eller en internasjonal virksomhet med flere nettsteder med tusenvis av ansatte.

Kraftige utdannede kunder med betydelig informasjonsrisiko (f.eks. på grunn av GDPR eller andre kommersielle informasjonsressurser) vil kanskje se omfanget og SoA før de kjøper fra en leverandør, for å sikre at ISO-sertifiseringen faktisk tar for seg områdene av virksomheten som er involvert i deres eiendeler.

Det nytter ikke å ha en ISO-sertifisering med Scope og SoA for et hovedkontor i Storbritannia når selve informasjonsbehandlingsrisikoen finner sted i en offshore-bygning med ressurser utenfor rekkevidde! Det er faktisk en av grunnene til at sertifiseringsorganene nå oppfordrer til «hele organisasjonen» Scopes, noe som selvfølgelig kan bety at det kreves en mye bredere og dypere erklæring om anvendelighet.

Oppsummert viser en godt presentert og lettfattelig SoA forholdet mellom gjeldende og implementerte vedlegg A-kontroller gitt risikoene og informasjonsmidlene i omfang. Det vil gi stor tillit til en revisor eller en annen interessert part at organisasjonen tar informasjonssikkerhetsstyring på alvor, spesielt hvis alt er satt sammen i et helhetlig styringssystem for informasjonssikkerhet.

Hva er vedlegg A ISO 27001?

Vedlegg A til ISO 27001 er en katalog over målene og kontrollene for informasjonssikkerhetskontroll som må vurderes under implementeringen av ISO 27001. Den tekniske termen som brukes for ISO handler om "begrunnelse" av kontrollen, SoA vil vise om vedlegg A-kontrollen er:

  • Gjelder og implementert som kontroll nå
  • Gjelder, men ikke implementert som en kontroll (f.eks. kan det være en del av en forbedring for fremtiden og fanget opp i 10.2 som en del av en forbedring, eller ledelsen er forberedt på å tolerere risikoen gitt deres andre implementerte kontrollprioriteringer)
  • Ikke aktuelt (merk at hvis noe anses som uaktuelt, vil revisor se etter å forstå hvorfor det er så dokumentert at det også bør føres i SoA).

Kontrollene må gjennomgås og regelmessig oppdateres i løpet av den 3-årige ISO-sertifiseringslivssyklusen. Dette er en del av den pågående forbedringsfilosofien for informasjonssikkerhetsstyring som er innebygd i standarden. Gitt den økende veksten i cyberkriminalitet, beveger cybersikkerhet seg også raskt, så alt mindre enn en årlig gjennomgang av kontroller vil potensielt øke organisasjonens trusseleksponering.

Hvor mange kontroller er det i ISO 27001?

Det er 114 vedlegg A-kontroller fordelt på 14 forskjellige kategorier. ISO 27001 vedlegg A-kontrollene er oppført nedenfor.

Hvilke kontroller bør jeg inkludere?

Anvendelseserklæringen er hovedleddet mellom din informasjonssikkerhetsrisikovurdering og behandlingsarbeid, og viser 'hvor' du har valgt å implementere informasjonssikkerhetskontroller fra 114 kontrollmålene. (En god SoA vil også kunne bore inn for å vise "hvordan" de har blitt implementert også.)

Mens vedlegg A-kontrollene gir en nyttig sjekkliste for vurdering, kan det å bare implementere alle 114 kontrollene fra "nedenfra og opp" være dyrt og gå glipp av de grunnleggende målene med standarden. Dessverre vil noen informasjonssikkerhetskonsulenter og -leverandører som selger "fullstendige ISO 27001 dokumentasjonsverktøysett" gå inn for denne tilnærmingen, men det er feil måte å administrere informasjonssikkerhet på.

Det er en grunn til at kjernekravene i ISO 27001 fra 4.1-10.2 er der. De hjelper organisasjonen med den forretnings- og strategiledede tilnærmingen der du ser ovenfra og ned. Etter å ha vurdert problemene, interessepartene, omfanget og informasjonsmidlene, kan organisasjonen identifisere risikoene, deretter evaluere dem og vurdere behandlinger for disse risikoene.

Risikoen rundt den verdifulle informasjonen og behandlingsfasiliteter, enheter, involverte personer osv. bør vurderes med informasjonens konfidensialitet, integritet og tilgjengelighet (CIA) i tankene.

Denne sammenbruddet av CIA er også et viktig aspekt for revisor å forstå og demonstrere at organisasjonen har mer helhetlig vurdert risikoen. Avgjørende betyr det også at SoA har blitt utviklet med den mer omfattende tilnærmingen, snarere enn bare én del, f.eks. bare vurdert risikoen for tap av informasjon fra et brudd.

Selv om organisasjonen vil vurdere risikoen fra sin virksomhet som trukket opp ovenfra, er det verdt å nevne at et av kontrollområdene i vedlegg A som alltid vil være gjeldende er "Identifisering av gjeldende lovgivning og kontraktsmessige krav" i A.18.1.1 . Dette vil bety at du også vurderer kravene i relevante lover, forskrifter og kontraktskrav. Det blir mye mer fremtredende på grunn av EUs GDPR for de som behandler EU-borgerinformasjon og i økende grad over hele verden også med andre personvernstandarder som POPI i Sør-Afrika, LGPD i Brasil og CCPA i California.

For å forstå forventningene til personvernregelverket, tilsier det også effektivt at mange av ISO 27001-kontrollene kreves, enten du tror de er det eller ikke. Så en smart revisor vil forvente en forståelse av gjeldende lovgivning som påvirker organisasjonen din, og hvordan det også informerer ditt valg av gjeldende kontroller i SoA-begrunnelsen.

Noen informasjonssikkerhetsrisikoer kan selvsagt avsluttes helt, overføres til en annen part, behandles eller tolereres. Alle disse vedlegg A-kontrollene hjelper deg deretter å vurdere og, der det er hensiktsmessig, implementere overføringen, behandle eller tolerere filosofien rundt risikoene. SoA viser deretter hvilke sikkerhetstiltak fra vedlegg A-kontrollene du bruker og hvordan du har implementert dem, dvs. dine retningslinjer og prosedyrer.

Vedlegg A-kontrollmålene og kontrollene som er oppført i ISO 27001-standarden er ikke foreskrivende, men må vurderes, og at begrunnelse for anvendelighet er avgjørende for en uavhengig sertifisering fra et ISO-sertifiseringsorgan.

Få et forsprang på 81 %

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på.
Alt du trenger å gjøre er å fylle ut de tomme feltene.

Bestill en demonstrasjon

ISO 27002 og erklæringen om anvendelighet

Enten uavhengig sertifisering er et mål eller kanskje bare overholdelse, kombinert med den komplementære ISO 27002-veiledningen, er vedlegg A-kontrollene et positivt grunnlag å bygge på for enhver organisasjon som ønsker å forbedre sin informasjonssikkerhetsstilling og gjøre forretninger sikrere.

ISO 27002, er tilleggsstandarden til ISO 27001, gir en anbefaling og nyttig disposisjon for informasjonssikkerhetskontroller og gir dermed en meget god katalog over kontrollmål og kontroller for behandling av risikoer samt veiledning om hvordan disse implementeres.

Hvilke sikkerhetstiltak (vedlegg A kontroller) du implementerer for å håndtere disse risikoene vil faktisk avhenge av organisasjonen din, dens risikovilje og omfanget samt gjeldende lovgivning. Men uansett hva det er, må det presenteres i Statement of Applicability hvis du ønsker å oppnå en ISO 27001-sertifisering!

Hvilken informasjon må inkluderes i SoA?

Så la oss oppsummere hvilken informasjon som minimum må inkluderes for SoA.

  • En liste over de 114 vedlegg A-kontrollene
  • Om kontrollen er iverksatt eller ikke
  • Begrunnelse for inkludering eller ekskludering
  • En kort beskrivelse eller hvordan hver gjeldende kontroll implementeres, med referanse til policyen og kontrollen som beskriver den i riktig detalj

Som nevnt ovenfor er SoA et vindu inn i organisasjonens ISMS. Hvis du ikke er i stand til å vise hvordan vinduet åpner seg i dybden og sammenhengen til styringssystemet for informasjonssikkerhet, kan det skape problemer. Se for deg situasjonen når revisor dukker opp og regnearket som viser 114-kontrollene er godt utdatert med de faktiske ledelseskontrollene på plass.

En av de vanligste årsakene til å mislykkes i en ISO 27001-revisjon er fordi revisor ikke er i stand til å trekke tillit til administrasjonen av ISMS og dokumentasjonen er dårlig administrert eller mangler. Å ha et frittstående SoA 'dokument' i stedet for integrert og automatisert dokumentasjon av en SoA øker denne risikoen.

Hvordan lager du erklæringen om anvendelse?

Så lenge SoA har riktig informasjon, er nøyaktig og oppdatert, kan du lage SoA fra papir, regneark, dokumenter eller profesjonelle systemer som automatiserer den som en del av deres bredere GRC (Governance, Regulation & Compliance)-evne .

I en ideell verden vil din SoA neppe endre seg (ikke minst fordi sertifiseringsorganer kan ta betalt for versjonsendringer av SoA). Imidlertid bør det som sitter under SoA, dvs. det bankende hjertet til selve ISMS, være dynamisk som en levende pustende representasjon av ditt utviklende informasjonssikkerhetslandskap.

SoA må gjennomgås når retningslinjene og kontrollene dine gjennomgås (minst årlig), så det vil fortsatt ha fordel av å være en effektiv prosess gitt de 114 kontrollene for vurdering.

Å slå opp et regneark med kontrollene som en sjekkliste er et stykke kake og ganske raskt å gjøre. Men å gjøre det med tillit til at alt tidligere informasjonssikkerhetsplanlegging og implementeringsarbeid rundt eiendelene, risikoene og kontrollene har blitt gjort i riktig rekkefølge og uttrykt som oppsummeringen SoA er ikke fullt så enkelt. En revisor vil ønske å se hva som ligger under den enkle overlinjen på 114 rader i et regneark.

I gamle dager betydde det virkelig mye arbeid å presentere SoA som et 200 sider omfattende dokument, spesielt for å holde det oppdatert etter hvert som retningslinjene og kontrollene utviklet seg. Det er nå mye bedre og enklere måter å automatisere SoA og dra nytte av det harde arbeidet som allerede er gjort i andre deler av ISMS.

Hvordan spare tid når du skriver en erklæring om anvendelse

SoA tar vanligvis lang tid for en organisasjon å sette sammen på grunn av det som informerer den. Hvis vi tenker på trinnene som er involvert i opprettelsen, og arbeidet som trengs for det, er det ikke rart:

  • Vurder problemene, interesserte parter og omfanget av ISMS
  • Identifiser informasjonsmidlene og behandlingsfasiliteter og enheter som er i fare
  • Evaluer og vurder risikoene knyttet til sikkerheten til informasjonen ved å bruke konfidensialitet, integritet og tilgjengelighet
  • Vurder disse risikoene og avgjør deretter hvilke av de 114 vedlegg A-kontrollene som er nødvendige
  • Forstå og evaluere gjeldende lovgivning (og eventuelle sentrale kontraktsforpliktelser fra sterke kunder) for å fremheve andre kontrollområder
  • Bestem deg for hvordan du implementerer kontrollen når det gjelder policy, prosedyre, personer, teknologi etc
  • Deretter oppretter du selve SoA-dokumentet med disse begrunnelsene om anvendelighet klare
  • Ideelt sett kobler du til kontrolldetaljene, risikoene og eiendelene for å vise at ISMS fungerer
  • Og administrere det fortløpende.

    SoA er en liten, men veldig viktig del av et svært omfattende ISMS. Godt gjort vil det sette organisasjonen opp for revisjonssuksess og tillitsbygging for smarte kunder og andre interessenter. Gjøres det dårlig, vil det nesten helt sikkert forstyrre og forsinke tiden til sertifisering og kan bety tap av virksomhet eller fremtidig mulighet fra manglende oppnåelse eller opprettholdelse av sertifisering.

Få fart på SoA-prosessen med ISMS.online

ISMS.online er et omfattende styringssystem for informasjonssikkerhet som blant mange andre ting forenkler administrasjonen og administrasjonen av dine informasjonsressurser, risikoer, retningslinjer og kontroller, alt på ett sted.

Det betyr også at opprettelsen av SoA kan automatiseres og presenteres enkelt og effektivt. Derfor, i tillegg til andre fordeler som å koste mindre tid for å oppnå ISO 27001-suksess, fremskynder det ISO-sertifiseringsreisen også.

Fokuser energien din på å drive virksomheten din slik du vil, og bruk tid på det du trenger å oppnå for å lykkes, og bekymre deg mindre om hvordan du gjør det. ISMS.online gjør det så enkelt å få arbeidet gjort, inkludert SoA til en brøkdel av kostnadene og tiden for alternativer.

Bestill en plattformdemo
komplett overholdelsesløsning

Vil du utforske?
Start din gratis prøveperiode.

Registrer deg for din gratis prøveversjon i dag og få hands on med alle samsvarsfunksjonene som ISMS.online har å tilby

Finn ut mer

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer