Inom en organisation bör alla samarbeten och processer genomgå en riskbedömning och när det gäller informationssäkerhet kan ett SoA (Statement of Applicability eller uttalande om lämplighet på svenska) vara ett användbart verktyg för detta ändamål.
Ett SoA är en integrerad del av ISO 27001-standarden och fungerar som en länk mellan riskbedömning och riskhantering i en organisation. I praktiken är det ett uttalande om vilken nivå av informationssäkerhet en organisation aktivt har beslutat om i en viss process och varför de respektive valen om vad som ska inkluderas har gjorts.
Nedan ger vi dig en översikt över vilken roll SoA spelar enligt standarden och, inte minst, vilka de viktigaste delarna i ett SoA-dokument är.
Vad är ett SoA-dokument enligt ISO 27001
På engelska står SoA för "Statement of Applicability" ("uttalande om lämplighet" på svenska) och är en integrerad och väsentlig del av ISO 27001-standarden för informationssäkerhet. SoA-dokumentet innehåller en obligatorisk lista över kontroller som anges i standarden och som är relevanta för organisationen att implementera som en del av riskhanteringen. SoA fungerar som en länk mellan riskbedömning och riskhantering i organisationen och beskriver den aktiva informationssäkerhetsnivå som organisationen har valt för en viss process, samt de övriga till-och bortval som har gjorts.
Med ett SoA-dokument förhåller sig organisationen aktivt till de kontrollmål för de val som ska implementeras i den aktuella processen. Det stödjer och dokumenterar därmed de val som organisationen gör, och dokumentet kan ses som en inventering av organisationens arbete med informationssäkerhet, samt en handlingsplan för konkreta aktiviteter för att implementera säkerhetsåtgärderna.
Även om ISO 27001 är referensen för informationsskyddsåtgärderna kan organisationen naturligtvis lägga till andra kontroller och kontrollmål om det behövs.
Vilka är de viktigaste elementen i ett SoA?
Förteckningen över åtgärder som en organisation måste inkludera i ett SoA finns i ISO 27001 Bilaga A.
Den kräver huvudsakligen att organisationen har en policy för informationssäkerhet på plats. I ett SoA ställs sedan frågor om alla kontrollområden - inklusive följande:
- Hantering av åtkomst
- Operativ säkerhet
- Kommunikationssäkerhet
- Informationssystem
- Relation till leverantörer
- Hantering av säkerhetsöverträdelser
Förberedelsen av SoA-dokumentet görs efter att riskbedömningen har genomförts - detta säkerställer att SoA matchar de risker som har identifierats.
Det som gör ett SoA-dokument till ett oumbärligt verktyg för informationssäkerhet är att det krävs att dokumentet förser motiveringar för varför vissa åtgärder är uteslutna och andra inkluderade. Detta innebär att organisationen inte kan undgå att överväga alla informationssäkerhetskontroller - även de som inte är tillämpliga i varje enskilt fall.
Det slutliga SoA-dokumentet måste också godkännas av organisationens ledning.
SoA och revisioner
Den löpande kontrollen av informationssäkerheten kräver mätning och internrevision. I grund och botten handlar det om att besvara fyra frågor:
- Har vi det vi säger att vi har?
- Gör vi det vi säger att vi gör?
- Uppfyller informationssäkerhetssystemet sitt syfte?
- Fungerar informationssäkerhetssystemet som avsett?
När man som organisation behöver granska något, krävs en gedigen och konkret grund för att göra det. Ett SoA kan ge er exakt det. Genom att konkretisera kraven från ISO 27001 i policyer, kontrollbeskrivningar och rutiner får ni en handfast utgångspunkt för er revision.
Programvara för SoA kan göra jobbet enklare
Om ni drömmer om att uppnå fullständig ISMS-efterlevnad kan du behöva investera i programvara som matchar behovet.
På RISMA har vi utvecklat ett komplett ISO 27001-programvarusystem som ger dig en överblick och en handlingsplan för att systematisera informationssäkerheten i din organisation. Systemet består av ett brett utbud av verktyg som gör det enkelt och tydligt att arbeta med informationssäkerhet. Bland annat riskkatagolisering, visualisering av riskmatriser, handlingsplaner, gap-analys och revision av databehandling- och naturligtvis möjligheten att ta fram ett komplett SoA-dokument.
Du kan enkelt få en överblick över säkerhetspolicyer, skapa specifika kontrollbeskrivningar och procedurer samt rapportera om hur handlingsplanerna fortskrider.
