Izjava o primjenjivosti, na engleskom Statement of Applicability ili SoA, jedan je od najvažnijih dokumenata u ISO 27001. Ona povezuje rizike tvrtke s kontrolama iz Annexa A i za svaku kontrolu navodi primjenjuje li se, je li uvedena i zašto. Revizori je redovito gledaju među prvima jer iz nje brzo vide odražava li sustav stvarno stanje. Ovaj tekst objašnjava što SoA sadrži i kako je ispravno izraditi.
Ovo je dio našeg pregleda sigurnosnog programa. Izradu SoA i prateće dokumentacije vodimo kroz upravljanje, rizik i usklađenost.
Što je SoA
SoA je most između rizika i kontrola. Procjena rizika kaže čemu je tvrtka izložena, Annex A nudi katalog mogućih kontrola, a SoA spaja to dvoje: za svaku kontrolu iz Annexa A bilježi je li primjenjiva, je li već uvedena i koje je obrazloženje. Time pokazuje da izbor kontrola nije proizvoljan, nego utemeljen na riziku.
Što SoA sadrži
Za svaku kontrolu iz Annexa A, SoA u pravilu navodi sljedeće.1
Stavka
Što bilježi
Kontrola
Naziv i oznaka kontrole iz Annexa A.
Primjenjivost
Primjenjuje li se kontrola na tvrtku.
Status
Je li kontrola uvedena ili je u planu.
Obrazloženje
Zašto se kontrola primjenjuje ili zašto je izostavljena.
Tipičan sadržaj Izjave o primjenjivosti.
Zašto je revizori gledaju prvu
SoA daje revizoru brzu sliku cijelog sustava: koje su kontrole odabrane, zašto i jesu li uvedene. Iz nje se odmah vidi je li izbor utemeljen na riziku ili je netko samo prepisao popis. Nedosljednosti, primjerice kontrola označena kao uvedena koja u praksi ne postoji, brzo se otkriju i podrivaju povjerenje u cijeli sustav.
Kako izraditi dobru SoA
Dobra SoA je točna, obrazložena i usklađena sa stvarnošću.
01
Krenite od procjene rizika
Izbor kontrola mora proizlaziti iz rizika, ne obrnuto.
02
Obradite svaku kontrolu
Za svaku kontrolu iz Annexa A navedite primjenjivost i status.
03
Obrazložite odluke
Posebno jasno obrazložite kontrole koje izostavljate.
04
Uskladite sa stvarnošću
Status mora odgovarati onome što je stvarno uvedeno.
05
Održavajte dokument
Ažurirajte SoA kad se rizici ili kontrole promijene.
Dokument koji za svaku kontrolu iz Annexa A norme ISO 27001 navodi je li primjenjiva, je li uvedena i obrazloženje. Povezuje procjenu rizika s konkretnim kontrolama i obvezan je dio ISO 27001.
Zašto revizori gledaju SoA prvu?+
Jer daje brzu sliku cijelog sustava: koje su kontrole odabrane, zašto i jesu li uvedene. Iz nje se odmah vidi je li izbor utemeljen na riziku, a nedosljednosti se brzo otkriju.
Smije li se kontrola izostaviti iz SoA?+
Kontrola se smije označiti kao neprimjenjiva, ali se to mora jasno obrazložiti. Annex A je katalog, a ne lista obaveza, pa je izostavljanje dopušteno uz utemeljeno obrazloženje.
Koja je najčešća greška u SoA?+
Označiti kontrolu kao uvedenu iako u praksi ne postoji, da bi dokument izgledao potpuno. Revizor to provjerava, a nesklad između SoA i stvarnosti čest je uzrok pada na reviziji.
Izvori
1ISO/IEC. ISO/IEC 27001:2022: Information security management systems. International Organization for Standardization, 2022. Poveznica
2ISO/IEC. ISO/IEC 27002:2022: Information security controls. International Organization for Standardization, 2022. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
