SoA: Statement of Applicability - hvilken rolle spiller den?

Hva er et SoA-dokument i henhold til ISO 27001

SoA står for "Statement of Applicability" og er en integrert og viktig del av ISO 27001-standarden for informasjonssikkerhet. SoA-dokumentet inneholder en obligatorisk liste over kontroller som er spesifisert i standarden, og som er relevante for organisasjonen å implementere som en del av risikostyringen. SoA fungerer som en kobling mellom risikovurdering og risikohåndtering i organisasjonen, og beskriver det aktive informasjonssikkerhetsnivået som organisasjonen har valgt for en gitt prosess, samt hvilke tilvalg og fravalg som er gjort.

Med et SoA-dokument tar organisasjonen aktivt stilling til hvilke kontrollmål som skal inkluderes og ekskluderes i den pågående prosessen. Det støtter opp under og dokumenterer de valgene organisasjonen har tatt, og dokumentet kan ses på som en oversikt over organisasjonens arbeid med informasjonssikkerhet. Altså en handlingsplan for konkrete aktiviteter for å implementere sikkerhetstiltakene.

Selv om ISO 27001 er selve referanserammen for informasjonsbeskyttelsestiltakene, kan organisasjonen selvsagt også legge til andre kontroller og kontrollmålinger om nødvendig.

LES OGSÅ: Forstå de viktigste prinsippene for informasjonssikkerhet

Hva er de viktigste elementene i en SoA?

Listen over tiltak som organisasjonen må ta opp i en SoA, finner du i vedlegg A til ISO 27001.

Overordnet sett kreves det at organisasjonen har retningslinjer for informasjonssikkerhet på plass. Deretter stiller en SoA spørsmål om alle kontrollområder, inkludert:

• Tilgangsstyring
• Driftssikkerhet
• Kommunikasjonssikkerhet
• Informasjonssystemer
• Leverandørforhold
• Håndtering av sikkerhetsbrudd
  
  

SoA-dokumentet utarbeides etter at risikovurderingen er gjennomført, dette sikrer at SoA-dokumentet samsvarer med de risikoene som er identifisert.

Det som gjør en SoA til et uunnværlig verktøy for informasjonssikkerhet, er at dokumentet må inneholde begrunnelser for hvorfor visse tiltak er valgt fra og andre er valgt til. Dette betyr i seg selv at organisasjonen ikke kan fravelge å vurdere alle informasjonssikkerhetskontroller - selv de som ikke er aktuelle i hvert enkelt tilfelle.

Det utfylte SoA-dokumentet må også godkjennes av organisasjonens ledelse.

SoA og audit

Løpende kontroll av informasjonssikkerheten krever måling og internrevisjon. I bunn og grunn handler det om å svare på fire spørsmål:

1. Har vi det vi sier vi har?
2. Gjør vi det vi sier vi gjør?
3. Oppfyller informasjonssikkerhetssystemet sitt formål?
4. Fungerer informasjonssikkerhetssystemet etter hensikten?

Når dere som organisasjon skal revidere noe, trenger dere et solid og konkret grunnlag for å gjøre det. En SoA kan gi deg nettopp det. Ved å gjøre kravene i ISO 27001 mer konkret hva gjelder retningslinjene, kontrollbeskrivelser og prosedyrer, får du et håndfast utgangspunkt for revisjonen.

Programvare for SoA kan gjøre jobben enklere

Hvis du drømmer om å oppnå full ISMS-samsvar, kan det hende du blir nødt til å investere i ny programvare som bedre oppfyller dine behov.

Vi i RISMA har utviklet et komplett ISO 27001-programvaresystem som gir deg oversikt og en handlingsplan for å systematisere informasjonssikkerheten i organisasjonen. Systemet består av en rekke verktøy som gjør arbeidet med informasjonssikkerhet enkelt og oversiktlig. Disse inkluderer en risikokatalog, visualisering av risikomatriser, handlingsplaner, gap-analyser og databehandlerrevisjoner - og selvfølgelig muligheten til å hente ut et komplett SoA-dokument.

Det er enkelt å få oversikt over sikkerhetsretningslinjene, opprette spesifikke kontrollbeskrivelser og prosedyrer og, viktigst av alt, rapportere om fremdriften i handlingsplanene.

LES OGSÅ: ISO 27001: Bestepraksis for å ivareta informasjonssikkerheten