Akademin hem
Bloggar
Vad är Statement of Applicability (SoA) i ISO 27001?
En del av ISO 27001-samlingen
En del av NIS2-samlingen

Vad är Statement of Applicability (SoA) i ISO 27001?

ISO 27001 insamling
Vad är Statement of Applicability (SoA) i ISO 27001?
NIS2 samling
Vad är Statement of Applicability (SoA) i ISO 27001?
Cyberday blogg
Vad är Statement of Applicability (SoA) i ISO 27001?

Statement of Applicability (även känt som SoA) är ett av de obligatoriska dokumenten för ISO 27001-certifiering. I ett nötskal förklarar SoA vilka säkerhetskontroller (av de nuvarande totalt 93) från ISO 27001-standarden som är relevanta för din organisation, om du redan har implementerat dem och hur du har gjort det.

Alltför ofta ses SoA som ett statiskt dokument, trots att det bör spela en aktiv roll i efterlevnaden, den kontinuerliga förbättringen och övervakningen av de övergripande ISO 27001-framstegen.

I den här bloggen går vi igenom huvudsyftet med och fördelarna med ett väl fungerande SoA-dokument. Vi kommer också att förklara dess viktigaste roller i en god hantering av informationssäkerhet som baseras på ISO 27001.

Vad är Statement of Applicability (SoA) i ISO 27001?

Statement of Applicability förklarar vilka säkerhetskontroller från Annex A-listan i ISO 27001-standarden som är relevanta för din organisation, om du redan har implementerat dem och hur du har gjort det.

Bra att veta: Det exakta innehållet, syftet och namngivningen av SoA är specifikt för ISO 27001-standarden, men den allmänna idén med att lista krav eller kontroller och tydligt visa din status och ditt svar för varje krav kan tillämpas på alla typer av efterlevnadsrapportering - t.ex. mot alla ramverk för informationssäkerhet.

I ett typiskt SoA-dokument listar du alla de 93 kontrollerna i ISO 27001:2022 (ofta i en Excel-fil) och visar följande saker för varjekontroll:

  • Tillämplighetsstatus (tillämplig eller icke tillämplig)
  • Stark motivering för varje icke-tillämplig kontroll
  • Status för implementering
  • Hänvisningar till mer bevis/detaljer om implementering
Utdrag ur ett traditionellt SoA-dokument

Det är viktigt att förstå att kontrollförteckningen i ISO 27001 noggrant har tagits fram av branschexperter och testats under årens lopp av hundratusentals organisationer. Av denna anledning kan du verkligen inte motivera vissa grundläggande kontroller som icke tillämpliga och du behöver starka skäl för alla kontroller som du har beslutat att inte implementera.

Också av det skäl som beskrivs ovan ser de flesta SoA-dokument från certifierade organisationer mestadels gröna ut (dvs. kontrollen har implementerats) med eventuellt ett par kontroller som definierats som icke tillämpliga. Men även i dessa fall kan det finnas stora variationer i hur långt man har kommit i implementeringen av de tillämpliga kontrollerna.

Ett smart SoA-dokument kan hämta mer implementeringsinformation från ditt ISMS, så att du också kan använda SoA som ett verktyg för att övervaka implementeringen och styrkan i implementeringen av varje kontroll direkt från SoA.

Exempel på en automatiserad sammanfattning av ett SoA-dokument som skapar sig själv genom ISMS-uppgiftsinnehåll

De viktigaste syftena med SoA är bland annat:

  • Demonstrera implementering av kontroller: Kontrollistan i ISO 27001 innehåller 93 kontroller som täcker alla olika aspekter av informationssäkerhet. SoA kommunicerar med en blick hur stark din nuvarande kontrollimplementering ser ut.
  • Ger en överblick över ISMS: SoA är ofta ett av de bästa sätten att få en överblick över ert ISMS, eftersom det ger en ögonblicksbild av de säkerhetsåtgärder som för närvarande finns på plats.
  • Underlättar certifieringsprocessen: SoA är ett nyckeldokument i ISO 27001-certifieringsrevisioner. Certifieringsrevisioner kräver att alla avsnitt i standarden granskas, och SoA används vanligtvis som den centrala punkten för navigering mot mer detaljerad dokumentation som bevisar implementeringen.
  • Stödjer riskhantering för informationssäkerhet: SoA säkerställer att du måste titta på alla rekommenderade kontroller i ISO 27001 holistiskt när du beslutar om behandlingen av vissa informationssäkerhetsrisker.
  • Stödjer kontinuerlig förbättring: Efter att du har uppnått initial efterlevnad eller certifiering en gång måste ditt säkerhetsarbete kontinuerligt förbättras. Du kanske vill skärpa implementeringen av vissa kontroller, efter incidenter eller uppmärksammade risker. En bra SoA bör hjälpa dig att förstå det aktuella djupet i implementeringen av olika kontroller.

3 huvudskäl till varför SoA är så viktigt

1. Det är ett obligatoriskt dokument för certifiering

  • ISO 27001 kräver uttryckligen en SoA som en del av ISMS-dokumentationen.
  • Detta innebär att du inte kan klara ISO 27001-certifieringen utan ett SoA-dokument.
  • Revisorn kommer att använda SoA som en viktig referens för att bedöma implementering och urval av kontroller .

2. Det visar på en motiverad säkerhetsstrategi

  • SoA visar att organisationen noggrant valt ut säkerhetskontroller baserat på resultaten av riskbedömningen
  • SoA ger särskilt en tydlig motivering för alla kontroller som har uteslutits från kontrollistan i bilaga A.
  • Detta tillvägagångssätt kommer t.ex. att undvika att förbise kritiska säkerhetsåtgärder som ingår i alla mogna program för informationssäkerhet.

3. Den fungerar som en färdplan för implementering och revisioner

  • SoA fungerar som en guide för att förbättra efterlevnaden av ISO 27001 för de interna säkerhetsteamen, eftersom de kan spåra implementeringen av nödvändiga kontroller.
  • Revisorerna använder SoA för att verifiera om kontrollerna är operativa och effektiva. Revisorerna kan t.ex. påpeka kontroller som är alltför vagt implementerade.
  • SoA stöder också kontinuerlig förbättring, eftersom organisationer bör uppdatera den i takt med att riskmiljön eller de egna säkerhetsbehoven utvecklas.

4 huvudroller för SoA i informationssäkerhetsarbetet

Nedan går vi igenom fyra viktiga roller som ett välstrukturerat SoA-dokument spelar i en effektiv hantering av informationssäkerhet. Att förstå dessa roller hjälper organisationer att implementera säkerhetskontroller på ett effektivt sätt och samtidigt säkerställa efterlevnad av lagstadgade krav och affärskrav.

1. SoA hjälper dig att aktivt förbättra efterlevnaden

SoA bör inte bara vara en lista över kontroller och länkar till statiska policyer som talar om dessa kontroller. Det bör vara en levande referens för säkerhetsstyrning.

När du skapar SoA genom ett ISMS-verktyg kan du spåra förbättringen av din efterlevnadspoäng och den grad av försäkran du har för att poängen är korrekt. Detta innebär i princip hur starkt du har implementerat relevanta kontroller och hur mycket detaljer det finns i ISMS för att backa upp denna implementeringsstatus (dessa detaljer är t.ex. namngivna ägare, genomförda granskningar, länkade tekniker, länkade register eller andra relaterade bevis som visar implementeringen).

Spåra din nuvarande efterlevnadspoäng och försäkran om ett SoA-dokument i Cyberday

2. SoA ger struktur och överblick för granskningar och revisioner

Oavsett om du genomför en intern eller extern revision baserad på ISO 27001 kommer SoA att vara ditt viktigaste dokument. Revisorer förlitar sig på SoA för att se dina säkerhetsåtgärder med ISO 27001-strukturen.

Dina interna revisorer kan göra samma sak och granska dina egna säkerhetsrutiner med hjälp av SoA, vilket samtidigt säkerställer att revisionerna kan delas upp i mindre delar och ändå ha en påvisbar täckning av hela standarden.

Om din SoA också innehåller tillräckligt med information om kontrollernas genomförande kan dina internrevisioner fokusera på den första nivån för att undersöka om de detaljer som finns på SoA-nivån faktiskt är operativa.

SoA som används av en internrevisor i revisionsberättelsen

SoA kommer också att bidra till ledningens genomgångar - genom att ge högsta ledningen en översikt över vår nuvarande implementering av ISO 27001-kontroller, innan vi går in på mer detaljer.

3. SoA stödjer kontinuerlig förbättring

ISO 27001-standarden kan inte ge dig exakta detaljer om hur du implementerar varje kontroll. Det finns gott om utrymme för att implementera vissa kontroller med ett lättare tillvägagångssätt och gå djupare på vissa kontroller - de som du ser de största riskerna relaterade till.

Ett smart SoA-dokument kan användas för att vägleda dig i hur du ska tänka när det gäller att stärka implementeringen av kontroller. Du kan förstå vilka kontroller som redan är implementerade på ett mycket kraftfullt sätt och i vilka fall du kan ha enkla åtgärder tillgängliga.

Betydande förändringar i antingen verksamheten eller hotmiljön bör också synas som förbättringar i genomförandet av kontrollerna.

Är du nöjd med djupet i din nuvarande implementering av kontrollen, eller bör du gå längre?

4. SoA stödjer kommunikation om kundsäkerhet

Statement of Applicability är också ett av de mest populära dokumenten som dina kunder eller andra intressenter kan vilja se. Eftersom alla ISO 27001-certifierade organisationer är väl förtrogna med SoA, kanske de vill se din version.

SoA är ett av de dokument som vissa organisationer gör tillgängliga för sina intressenter på begäran. Detta kan t.ex. göras på din webbplats /säkerhetssida eller t.ex. på en ISMS-apps sida för förtroendecenter, som kan tillhandahålla en länk "på begäran" till din senast publicerade live SoA.

SoA delas för intressenter genom en Cyberday förtroendecenter

Avslutande tankar

Sammanfattningsvis kan sägas att ett korrekt använt Statement of Applicability-dokument hjälper dig att driva det löpande säkerhets- och efterlevnadsarbetet. Det är obligatoriskt för certifiering och ett nyckeldokument för alla som vill förbättra sin efterlevnad av ISO 27001.

Om du hanterar din informationssäkerhet i ett korrekt ISMS-verktyg behöver du inte göra något extra arbete för att sammanställa SoA-dokumentet - all nödvändig information bör alltid finnas tillgänglig i ditt ISMS! I det här fallet är SoA den viktigaste rapporten i ditt ISMS, som ger en översikt ur ISO 27001- och kontrollimplementeringsperspektiv.

Skrivet av
Aleksi Pulkkanen
4.3.2025
@
apulkkanen
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

Implementering av ISMS: jämförelse av dokument, wikis, ISMS-verktyg och GRC

Det finns några olika tillvägagångssätt för att bygga upp ett ISMS. I det här inlägget jämför vi dessa olika metoder och hjälper dig att förstå vilken som kan passa bäst för din organisations behov av säkerhetshantering.
6.3.2025

Vad är Statement of Applicability (SoA) i ISO 27001?

I den här bloggen går vi igenom huvudsyftet med och fördelarna med ett välfungerande Statement of Applicability-dokument. Vi förklarar också varför SoA är viktigt och vilka fyra nyckelroller det kan spela i arbetet med informationssäkerhet.
4.3.2025

Varför är efterlevnad av ISO 27001 nu viktigare än någonsin?

År efter år har ISO 27001-standarden förblivit en av guldstandarderna för informationssäkerhet. Den globala standarden har förblivit relevant, men var har ISO 27001 sitt ursprung? Och varför ökar dess popularitet bara?
27.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet