När företag implementerar ett ledningssystem för informationssäkerhet enligt ISO 27001, är ett centralt dokument Statement of Applicability (SoA). Men vad är egentligen en SoA, varför är den viktig och hur används den i praktiken?
Vad är en SoA?
En Statement of Applicability är ett dokument som listar alla säkerhetskontroller från ISO 27001:s bilaga A och anger:
- Vilka kontroller som är relevanta för organisationen.
- Om de är implementerade eller inte.
- Motiveringen till varför en kontroll är inkluderad eller exkluderad.
SoA fungerar som en översikt över organisationens säkerhetsarbete och är en obligatorisk del av ISO 27001-certifieringen.
Syftet med SoA
Syftet med SoA är att:
- Skapa transparens kring vilka säkerhetsåtgärder som används.
- Visa efterlevnad av ISO 27001-kraven.
- Underlätta revisioner genom att ge en tydlig bild av vilka kontroller som är implementerade.
- Stödja riskhantering genom att koppla kontroller till identifierade risker.
Kort sagt, SoA är ett styrdokument som visar hur organisationen uppfyller standardens krav och hanterar informationssäkerhetsrisker.
Hur används SoA?
I praktiken används dokumentet som:
- Referensdokument vid interna och externa revisioner.
- Underlag för ledningens beslut kring säkerhetsinvesteringar.
- Kommunikationsverktyg i vissa fall för att visa kunder och partners att organisationen arbetar strukturerat med informationssäkerhet.
SoA är inte bara ett krav utan ett praktiskt verktyg för planering och uppföljning av informationssäkerhetsarbetet.
Vill du veta mer om hur vi kan hjälpa din organisation att implementera ISO 27001? Kontakta oss idag!
